در 31 مارس 2024، PCI DSS نسخه 3.2.1 بازنشسته خواهد شد و انتقال به PCI DSS v4.0 برای سازمانهایی که درگیر امنیت دادههای پرداخت هستند ضروری است. در این انتقال، PCI SSC هشت قدمی را که باید در سفر خود به PCI DSS v4.0 بردارید، شناسایی کرده است.
مرحله اول: اکنون شروع کنید
مهمترین مرحله در سفر سازمان شما به PCI DSS v4.0 این است که از هم اکنون شروع کنید. تاریخ بازنشستگی PCI DSS v3.2.1 به سرعت نزدیک می شود و قبل از اینکه متوجه شوید اینجا خواهد بود. هر چه زودتر بفهمید PCI DSS v4.0 چه معنایی برای سازمان شما دارد، زودتر می توانید برنامه ریزی و اولویت بندی کار را برای اطمینان از انتقال روان و کارآمد شروع کنید.
مرحله دوم: قوی بمانید
همانطور که سازمان شما شروع به اجرای تغییرات برای مطابقت با PCI DSS v4.0 می کند، مهم است که اجازه ندهید هیچ کنترل امنیتی نسخه 3.2.1 لغزش یابد. به حفظ و نظارت بر همه کنترلهای امنیتی PCI DSS موجود خود ادامه دهید، حتی اگر تمرکز شما بر اجرای الزامات جدید برای نسخه 4.0 باشد.
اگر سازمان شما با PCI DSS جدید است، از رویکرد تعریف شده برای نسخه 4.0 استفاده کنید زیرا دستورالعمل های خاصی را در مورد چگونگی دستیابی به اهداف امنیتی ارائه می دهد. حتی اگر با PCI DSS آشنایی داشته باشید، الزامات تعریف شده و روشهای آزمایش ممکن است مسیر انتقال واضحتری نسبت به رویکرد سفارشیشده برای سازمان شما ارائه دهد.
با انجام اقدامات لازم برای حفظ هوشیاری کنترلهای امنیتی خود در حین آماده شدن برای نسخه 4.0، سازمان شما میتواند در طول سفر خود برای رسیدن به آخرین نسخه استاندارد قوی بماند.
مرحله سوم: الزامات را درک کنید
وقتی نوبت به درک تغییرات PCI DSS v4.0 می رسد، بهترین مکان برای شروع مطالعه خلاصه تغییرات PCI DSS v3.2.1 به PCI DSS v4.0 است. این سند که در کتابخانه اسناد PCI SSC قرار دارد، خلاصه و توضیحات ارزشمندی از تغییرات بین PCI DSS نسخه 3.2.1 و نسخه 4.0 ارائه می دهد. همچنین شامل جدول خلاصه ای از نیازمندی های جدید است که تمام الزامات جدید را به همراه کاربرد و تاریخ های اجرایی آنها فهرست می کند.
علاوه بر خلاصه تغییرات، راهنمایی های جدید و گسترده زیادی در خود استاندارد وجود دارد. این راهنمایی اضافی به ارائه درک واضح تری از نیازمندی ها و همچنین توضیح مفاهیم جدید معرفی شده در PCI DSS v4.0، مانند تجزیه و تحلیل ریسک هدفمند و کنترل های امنیت شبکه کمک می کند.
سازمان هایی که از پرسشنامه های خودارزیابی (SAQs) استفاده می کنند نیز باید استاندارد را مطالعه کنند، زیرا راهنمایی دقیق ارائه شده برای هر یک از الزامات در اسناد SAQ گنجانده نشده است. همچنین بهروزرسانیهایی در SAQها وجود دارد، و مهم است که نهادهای خودارزیابی کننده SAQ متناظر خود را بخوانند تا دامنه کامل تغییرات را درک کنند.
هنگامی که الزامات نسخه 4.0 را درک کردید، آنها را بر اساس کنترل های امنیتی فعلی خود ترسیم کنید و تأثیری که ممکن است تغییرات بر سازمان شما داشته باشد را تجزیه و تحلیل کنید. ممکن است متوجه شوید که قبلاً برخی از الزامات نسخه 4.0 را برآورده کرده اید، بنابراین می توانید تلاش های انتقال خود را در جایی که بیشتر مورد نیاز است اولویت بندی کنید.
با آشنایی کامل با تغییرات PCI DSS v4.0، سازمان شما برای تکمیل یک انتقال روان و کارآمد بهتر آماده خواهد شد.
مرحله چهارم: اعتبارسنجی مناسب را انتخاب کنید
هنگام انتقال به PCI DSS v4.0، در نظر بگیرید که کدام رویکرد اعتبار سنجی برای سازمان شما مناسب است. دو گزینه وجود دارد: رویکرد تعریف شده و رویکرد سفارشی. رویکرد تعریفشده از روش سنتی برای پیادهسازی و اعتبارسنجی الزامات PCI DSS، با استفاده از الزامات و روشهای آزمایش بیانشده در استاندارد پیروی میکند. رویکرد سفارشی به سازمان ها اجازه می دهد تا کنترل های امنیتی سفارشی را طراحی کنند که می تواند برای برآورده کردن هدف رویکرد سفارشی مورد نیاز استفاده شود. اگر رویکرد سفارشیسازی شده را در نظر میگیرید، مطمئن شوید که به طور کامل آنچه مورد نیاز است را درک کردهاید و قبل از اقدام به اعتبارسنجی رویکرد سفارشی، تأیید کنید که پیادهسازی شما با تحلیل ریسک اضافی و الزامات مستندسازی مطابقت دارد.
برای سازمانهایی که از کنترلهای جبرانکننده برای برآوردن یک الزام در نسخه 3.2.1 استفاده میکنند، الزامات بهروز شده و گزینههای اعتبارسنجی نسخه 4.0 را بررسی کنید تا بهترین رویکرد را تعیین کنید.
در نهایت، انتخاب رویکرد اعتبارسنجی مناسب به استراتژی امنیتی سازمان و رویکرد مدیریت ریسک بستگی دارد. هر دو گزینه را به دقت در نظر بگیرید تا مطمئن شوید که رویکرد مناسبی را برای سازمان خود انتخاب کرده اید.
برای کسب اطلاعات بیشتر در مورد رویکرد سفارشی، مجموعه وبلاگ رویکرد سفارشی را بخوانید و پاسخ Kandyce Young به سؤالات ذینفعان را در این ویدیوی “سوالات با شورا” تماشا کنید.
مرحله پنجم: کار را انجام دهید
هنگام انجام کار، مطمئن شوید که همه را درگیر کنید. برنامه انتقال خود را در تمام بخش ها و عملکردها به اشتراک بگذارید، و اطمینان حاصل کنید که همه نقش خود را می دانند و انتظار چه چیزی را دارند. نقش ها و مسئولیت ها را برای هر نیاز به وضوح تعریف کنید.
مدیریت اثربخش پروژه برای انتقال موفقیت آمیز حیاتی است. این شامل حفظ برنامه های دقیق پروژه، تعریف نقاط عطف قابل دستیابی و به موقع، و پیگیری مداوم پیشرفت شما است.
در نهایت همه چیز را مستند کنید. سیاست ها و رویه هایی را برای حمایت از اجرای مداوم و مداوم کنترل های امنیتی ایجاد کنید. همچنین برخی از الزامات مستندات جدید در PCI DSS v4.0 وجود دارد که ممکن است لازم باشد به آنها توجه کنید.
مرحله ششم: از شرکای قابل اعتماد استفاده کنید
آموزش و آموزش کارکنان خود در مورد نقش آنها در ایمن نگه داشتن داده های شما و انجام PCI DSS ضروری است. هر گونه شکاف مهارتی را شناسایی کنید و تیم های خود را در مورد فن آوری های جدیدی که در حال پیاده سازی هستید آموزش دهید. این امر به ویژه برای مشاغل کوچک صادق است، جایی که هر عضو تیم باید آموزش ببیند و از نقش خود در انتقال آگاه شود.
هنگام اجرای کنترل های امنیتی، با یک تیم امنیتی قابل اعتماد شریک شوید. از متخصصان واجد شرایط مانند حرفهایهای صنعت کارت پرداخت (PCIP)، ارزیابهای امنیت داخلی (ISA) و ارزیابهای امنیتی واجد شرایط (QSA) استفاده کنید. این افراد واجد شرایط می توانند از کاربرد مداوم و مناسب کنترل های PCI DSS پشتیبانی کنند.
برای حفاظت از دادههای پرداخت، از فناوریها و راهحلهایی استفاده کنید که بر اساس استانداردهای امنیتی آزمایش و تأیید شدهاند. PCI SSC فهرستی از محصولات و راهحلهای تایید شده بر اساس استانداردهای PCI SSC، از جمله راهحلهای رمزگذاری نقطه به نقطه (P2PE)، نرمافزار پرداخت معتبر و دستگاههای PTS تایید شده را نگهداری میکند.
مرحله هفتم: ارزیابی های خود را انجام دهید
بهترین راه برای آماده شدن برای ارزیابی PCI DSS این است که ارزیابی های خود را انجام دهید. آماده سازی برای ارزیابی باید در اسرع وقت آغاز شود. هرچه زمان بیشتری برای آماده سازی سرمایه گذاری شود، ارزیابی شما کارآمدتر و موفق تر خواهد بود.
انجام ارزیابیهای شکاف زودهنگام و اغلب به شما کمک میکند تا حوزههایی را که باید روی آنها کار کنید، شناسایی کنید. برنامهریزی اولیه کلیدی است تا بتوانیم هر شکافی را قبل از نیاز به اعتبارسنجی رسمی برطرف کنیم.
آزمایشهای منظم همچنین تأیید میکند که آیا کنترلهای امنیتی جدید یا بهروزرسانیشده شما در تمام سیستمها و حوزههای داخلی شما اجرا میشوند.
در نهایت، ایجاد خطوط ارتباطی باز با تیم ارزیابی قبل از ارزیابی مهم است. این می تواند اطمینان حاصل شود که تمام اسناد آماده هستند و به هر سوالی قبل از ارزیابی پاسخ داده می شود.
مرحله هشتم: امنیت را به عنوان یک فرآیند مستمر اولویت بندی کنید
PCI DSS v4.0 برای پشتیبانی از فرآیندهای طولانی مدت و مداوم برای محافظت از داده های پرداخت طراحی شده است. انعطافپذیری اضافی ارائه شده در PCI DSS v4.0 به سازمانها اجازه میدهد تا کنترلهای امنیتی را متناسب با نیازهای تجاری و امنیتی خود انتخاب کنند. سازمانهایی که بر حفظ کنترلهای امنیتی PCI DSS در تمام طول سال متمرکز هستند، میتوانند با سهولت بیشتری از چرخههای تکرارشونده انطباق کوتاهمدت به دنبال نقص امنیتی و اصلاح کوتاهمدت هر بار که ارزیابی میکنند، اجتناب کنند.
جلسات آموزش منظم و آگاهی کارکنان باید برای کمک به کارکنان در درک اهمیت PCI DSS و نقشی که در حفظ امنیت داده های پرداخت سازمان ایفا می کنند، برگزار شود. ایجاد امنیت در شیوههای معمول کسبوکار و گنجاندن آنها به عنوان بخشی از فرهنگ سازمانی به این اطمینان کمک میکند که اگر شکستهای کنترلی رخ دهد، میتوان به سرعت آن را شناسایی، گزارش و اصلاح کرد.
با تمرکز بر امنیت به عنوان یک فرآیند مستمر، سازمان ها اطمینان بیشتری در پیاده سازی PCI DSS v4.0 خود خواهند داشت و خطر رخدادها و رخنه های امنیتی را کاهش می دهند.