کسب و کار در سراسر جهان از استاندارد امنیت دادههای صنعت کارت پرداخت (PCI DSS) برای حفاظت از دادههای کارتهای پرداخت در مراحل قبل، حین و پس از خرید استفاده میکنند. این استاندارد برای تمامی نهادهای درگیر در پردازش کارت پرداخت از جمله کسب و کار، پردازشگران، پذیرندگان، صادرکنندگان و ارائهدهندگان خدمات طراحی شده است. از تاریخ ۳۱ مارس ۲۰۲۴، شورای استانداردهای امنیتی PCI (PCI SSC) به طور رسمی نسخه PCI DSS v3.2.1 را بازنشسته کرده است. نسخههای فعال فعلی استاندارد، PCI DSS v4.0 و v4.0.1 هستند که از این پس به عنوان PCI DSS v4.x شناخته میشوند.
در این مصاحبه، جرمی کینگ، معاون منطقهای شورای استانداردهای امنیتی PCI برای اروپا، با مایکل آمینزاده، معاون خدمات تطابق و ریسک شرکت VikingCloud که یک شرکت ارزیاب امنیتی واجد شرایط (QSA) است، گفتگو میکند. QSA یک سازمان امنیتی مستقل است که توسط شورای استانداردهای امنیتی PCI تأیید شده تا تطابق یک نهاد با PCI DSS را تأیید کند.
جرمی کینگ: سلام مایکل. به عنوان یک شرکت QSA، VikingCloud به طور نزدیک با کسب و کار در تمامی اندازهها و پیچیدگیها همکاری میکند. بیایید بحث را با این موضوع شروع کنیم که چرا اکنون زمان مناسبی برای سازمانها است تا الزامات آیندهنگر PCI DSS v4.x را درک کرده و برای آن برنامهریزی کنند، به جای اینکه منتظر سال آینده بمانند.
مایکل آمینزاده: در چشمانداز متغیر تهدیدات امروزی که کسبوکارها با آن مواجه هستند، اهمیت امنیت دادهها غیرقابل انکار است، به ویژه برای کسبوکارهایی که دادههای دارنده کارت را مدیریت میکنند.
نسخه PCI DSS v4.0 اولین بهروزرسانی بزرگ این استاندارد در بیش از یک دهه گذشته است و اکنون به طور کامل اجرا شده است. این نسخه شامل بسیاری از بهروزرسانیها و الزامات جدید است. از میان ۶۴ الزام جدید، ۵۱ الزام آیندهنگر هستند و از تاریخ ۳۱ مارس ۲۰۲۵ لازمالاجرا خواهند شد. همچنین، PCI DSS v4.0.1 در ژوئن ۲۰۲۴ با اصلاحات محدود منتشر شد که شامل بهروزرسانیهای جزئی و ارائه راهنماییهای بیشتر برای الزامات است.
جرمی کینگ: بله، شورا به سازمانها دو سال فرصت داده است تا تأثیر الزامات جدید و تغییرات در PCI DSS v4.x را درک کنند و اطمینان حاصل کنند که برای زمان لازمالاجرا شدن آماده هستند. اما اگر هنوز چند ماه تا اجرای الزامات آینده فرصت باقی است، چرا باید زودتر به این سمت حرکت کنند؟
مایکل آمینزاده: دیگر زود نیست. تنها هشت ماه برای کسب و کار باقی مانده تا برای تغییرات در PCI DSS v4.x برنامهریزی و آمادهسازی کنند. ما به طور فعال مشتریان VikingCloud را تشویق کردهایم تا ارزیابیهای شکاف در برابر الزامات آینده را برای آمادهسازی برای سال آینده انجام دهند. سازمانهایی که PCI DSS v4.x را زودتر پذیرفتهاند، پیامی روشن درباره اهمیت امنیت پرداخت و حفاظت از دادههای مشتریان خود ارسال کردهاند. و در دنیای امروزی که مصرفکنندگان آگاه از مسائل سایبری هستند، این مسئله تقاضا میشود.
این اهمیت همچنان در چشمانداز جهانی صنعت ما افزایش مییابد. ما همچنان میبینیم که کسب و کار به زنجیره تأمین دیجیتالی خود وابستهاند و این امر برای توانایی آنها در انجام عملیات حیاتی است. ارائهدهندگان خدمات شخص ثالث (TPSP) آنها باید اطمینان حاصل کنند که در تطابق مشتریانشان با PCI DSS v4.x حمایت میکنند.
در PCI DSS v4.x، کسب و کار تجارت الکترونیک که پرسشنامه خودارزیابی (SAQ) نوع A را تکمیل میکنند، اکنون موظفاند حداقل هر سه ماه یک بار توسط یک فروشنده اسکن تأیید شده (ASV) اسکن آسیبپذیری انجام دهند. هنگامی که TPSPها برای ارائه و مدیریت راهحل تجارت الکترونیک یک کسب و کار استفاده میشوند، این الزام تطابقی باید گنجانده شود و کسب و کار باید نشان دهد که این کار به نمایندگی از آنها انجام میشود، به ویژه هنگامی که چندین TPSP خدمات مختلف را در یک راهحل تجارت الکترونیک ارائه میدهند.
مجرمان از نقاط ضعف موجود در زنجیره تأمین برای دسترسی به سیستمها و وارد کردن بدافزار سوءاستفاده میکنند. بنابراین، استفاده از TPSPهای سازگار با PCI در زنجیره تأمین شما خطر نقض دادهها را کاهش میدهد.
جرمی کینگ: بله، در واقع شورا اخیراً یک راهنمای منابع جدید منتشر کرده است: اسکنهای آسیبپذیری و فروشندگان تأیید شده اسکن برای کسانی که سؤالاتی درباره اسکنهای ASV دارند، با تمرکز بر کسب و کار SAQ نوع A که برای اولین بار الزامات PCI DSS بند 11.3.2 را تکمیل میکنند. چه تغییرات دیگری در PCI DSS v4.x به کسب و کار کمک میکند که فرآیندهای امنیتی مناسبی پیادهسازی کنند؟
مایکل آمینزاده: یکی از عواملی که به چشم ما آمد این بود که بسیاری از الزامات جدید بر نقشها و مسئولیتها تمرکز دارند. این به سادگی به این معناست که کارکنان بدانند و آموزش دیدهاند که در چه نقشها و فعالیتهایی مشارکت دارند. بسیاری فکر میکنند این مسئله واضح است، اما زمانی که کارکنان نقش خود را تغییر میدهند یا بیمار هستند یا در تعطیلات هستند، ممکن است مشخص نباشد چه کسی در چه زمینهای آموزش دیده است. در حالی که این ممکن است یک قدم ساده برای بهبود امنیت به نظر برسد، پیچیدگی سازمانی و تغییرات مداوم این امر ساده را پیچیده میکند. مسئله فقط مستندسازی نیست (برای مثال یک ماتریس اختصاص مسئولیتها)، بلکه داشتن یک فرآیند ثابت و اثبات شده است که اطمینان حاصل کند مستندات بهروزرسانی شده و به صورت مستمر به اشتراک گذاشته میشود. در دنیای امنیت سایبری، “یک بار و تمام شد” کافی نیست.
یکی دیگر از الزامات جدید PCI DSS v4.x، الزام 12.5.2 است که سازمان را ملزم میکند تا یک تمرین تأیید دامنه سالانه انجام دهد.
جرمی کینگ: بله، من واقعاً خوشحال شدم که تأیید دامنه به یک الزام واقعی تبدیل شد. سازمانها باید هر سال تمام بخشهای دامنه PCI DSS خود را تأیید کنند. زیرا در این دنیای متغیر پرداختها، همه چیز دائماً در حال تغییر است. و این مستقیماً به مستندسازی نقشها و مسئولیتها منجر میشود. دانستن اینکه دادههای دارنده کارت را چگونه و در کجا مدیریت میکنید و اینکه کارکنان شما به درستی آموزش دیدهاند، واقعاً مسئلهای واضح و مهم است، نه؟
مایکل آمینزاده: قطعاً، و همین موضوعات بخش بزرگی از PCI DSS v4.x را تشکیل میدهد. پذیرش الزامات PCI DSS v4.x به بهبود امنیت پرداخت سازمان شما کمک میکند، فرآیندها و آموزشهای اضافی به شما و کارکنانتان سود خواهد رساند و شما را برای پاسخگویی به الزامات جدید که از ۳۱ مارس ۲۰۲۵ اجرا میشوند، آماده میکند.
جرمی کینگ: مایکل، این اطلاعات بسیار مفید و ارزشمندی برای جامعه ما بود. با پذیرش الزامات آیندهنگر PCI DSS v4.x، کسبوکار شما میتواند نشان دهد که امنیت را جدی میگیرد و برای آیندهای که چشمانداز امنیت دادهها همواره در حال تغییر است، آماده است.
کسبوکارها میتوانند لیستی از شرکتهای QSA تأیید شده توسط PCI SSC و شرکتهای ASV را در وبسایت ما پیدا کنند. شرکتهای QSA محصولات و خدمات متنوعی را برای کمک به بهبود امنیت سازمانها ارائه میدهند و شرکتهای ASV اسکنهای آسیبپذیری خارجی را ارائه میکنند.