در 31 مارس 2024، PCI DSS نسخه 3.2.1 بازنشسته خواهد شد و انتقال به PCI DSS v4.0 برای سازمان‌هایی که درگیر امنیت داده‌های پرداخت هستند ضروری است. در این انتقال، PCI SSC هشت قدمی را که باید در سفر خود به PCI DSS v4.0 بردارید، شناسایی کرده است.

 

مرحله اول: اکنون شروع کنید

مهمترین مرحله در سفر سازمان شما به PCI DSS v4.0 این است که از هم اکنون شروع کنید. تاریخ بازنشستگی PCI DSS v3.2.1 به سرعت نزدیک می شود و قبل از اینکه متوجه شوید اینجا خواهد بود. هر چه زودتر بفهمید PCI DSS v4.0 چه معنایی برای سازمان شما دارد، زودتر می توانید برنامه ریزی و اولویت بندی کار را برای اطمینان از انتقال روان و کارآمد شروع کنید.

 

مرحله دوم: قوی بمانید

همانطور که سازمان شما شروع به اجرای تغییرات برای مطابقت با PCI DSS v4.0 می کند، مهم است که اجازه ندهید هیچ کنترل امنیتی نسخه 3.2.1 لغزش یابد. به حفظ و نظارت بر همه کنترل‌های امنیتی PCI DSS موجود خود ادامه دهید، حتی اگر تمرکز شما بر اجرای الزامات جدید برای نسخه 4.0 باشد.

اگر سازمان شما با PCI DSS جدید است، از رویکرد تعریف شده برای نسخه 4.0 استفاده کنید زیرا دستورالعمل های خاصی را در مورد چگونگی دستیابی به اهداف امنیتی ارائه می دهد. حتی اگر با PCI DSS آشنایی داشته باشید، الزامات تعریف شده و روش‌های آزمایش ممکن است مسیر انتقال واضح‌تری نسبت به رویکرد سفارشی‌شده برای سازمان شما ارائه دهد.

با انجام اقدامات لازم برای حفظ هوشیاری کنترل‌های امنیتی خود در حین آماده شدن برای نسخه 4.0، سازمان شما می‌تواند در طول سفر خود برای رسیدن به آخرین نسخه استاندارد قوی بماند.

 

مرحله سوم: الزامات را درک کنید

وقتی نوبت به درک تغییرات PCI DSS v4.0 می رسد، بهترین مکان برای شروع مطالعه خلاصه تغییرات PCI DSS v3.2.1 به PCI DSS v4.0 است. این سند که در کتابخانه اسناد PCI SSC قرار دارد، خلاصه و توضیحات ارزشمندی از تغییرات بین PCI DSS نسخه 3.2.1 و نسخه 4.0 ارائه می دهد. همچنین شامل جدول خلاصه ای از نیازمندی های جدید است که تمام الزامات جدید را به همراه کاربرد و تاریخ های اجرایی آنها فهرست می کند.

علاوه بر خلاصه تغییرات، راهنمایی های جدید و گسترده زیادی در خود استاندارد وجود دارد. این راهنمایی اضافی به ارائه درک واضح تری از نیازمندی ها و همچنین توضیح مفاهیم جدید معرفی شده در PCI DSS v4.0، مانند تجزیه و تحلیل ریسک هدفمند و کنترل های امنیت شبکه کمک می کند.

سازمان هایی که از پرسشنامه های خودارزیابی (SAQs) استفاده می کنند نیز باید استاندارد را مطالعه کنند، زیرا راهنمایی دقیق ارائه شده برای هر یک از الزامات در اسناد SAQ گنجانده نشده است. همچنین به‌روزرسانی‌هایی در SAQها وجود دارد، و مهم است که نهادهای خودارزیابی کننده SAQ متناظر خود را بخوانند تا دامنه کامل تغییرات را درک کنند.

هنگامی که الزامات نسخه 4.0 را درک کردید، آنها را بر اساس کنترل های امنیتی فعلی خود ترسیم کنید و تأثیری که ممکن است تغییرات بر سازمان شما داشته باشد را تجزیه و تحلیل کنید. ممکن است متوجه شوید که قبلاً برخی از الزامات نسخه 4.0 را برآورده کرده اید، بنابراین می توانید تلاش های انتقال خود را در جایی که بیشتر مورد نیاز است اولویت بندی کنید.

با آشنایی کامل با تغییرات PCI DSS v4.0، سازمان شما برای تکمیل یک انتقال روان و کارآمد بهتر آماده خواهد شد.

 

مرحله چهارم: اعتبارسنجی مناسب را انتخاب کنید

هنگام انتقال به PCI DSS v4.0، در نظر بگیرید که کدام رویکرد اعتبار سنجی برای سازمان شما مناسب است. دو گزینه وجود دارد: رویکرد تعریف شده و رویکرد سفارشی. رویکرد تعریف‌شده از روش سنتی برای پیاده‌سازی و اعتبارسنجی الزامات PCI DSS، با استفاده از الزامات و روش‌های آزمایش بیان‌شده در استاندارد پیروی می‌کند. رویکرد سفارشی به سازمان ها اجازه می دهد تا کنترل های امنیتی سفارشی را طراحی کنند که می تواند برای برآورده کردن هدف رویکرد سفارشی مورد نیاز استفاده شود. اگر رویکرد سفارشی‌سازی شده را در نظر می‌گیرید، مطمئن شوید که به طور کامل آنچه مورد نیاز است را درک کرده‌اید و قبل از اقدام به اعتبارسنجی رویکرد سفارشی، تأیید کنید که پیاده‌سازی شما با تحلیل ریسک اضافی و الزامات مستندسازی مطابقت دارد.

برای سازمان‌هایی که از کنترل‌های جبران‌کننده برای برآوردن یک الزام در نسخه 3.2.1 استفاده می‌کنند، الزامات به‌روز شده و گزینه‌های اعتبارسنجی نسخه 4.0 را بررسی کنید تا بهترین رویکرد را تعیین کنید.

در نهایت، انتخاب رویکرد اعتبارسنجی مناسب به استراتژی امنیتی سازمان و رویکرد مدیریت ریسک بستگی دارد. هر دو گزینه را به دقت در نظر بگیرید تا مطمئن شوید که رویکرد مناسبی را برای سازمان خود انتخاب کرده اید.

برای کسب اطلاعات بیشتر در مورد رویکرد سفارشی، مجموعه وبلاگ رویکرد سفارشی را بخوانید و پاسخ Kandyce Young به سؤالات ذینفعان را در این ویدیوی “سوالات با شورا” تماشا کنید.

 

مرحله پنجم: کار را انجام دهید

هنگام انجام کار، مطمئن شوید که همه را درگیر کنید. برنامه انتقال خود را در تمام بخش ها و عملکردها به اشتراک بگذارید، و اطمینان حاصل کنید که همه نقش خود را می دانند و انتظار چه چیزی را دارند. نقش ها و مسئولیت ها را برای هر نیاز به وضوح تعریف کنید.

مدیریت اثربخش پروژه برای انتقال موفقیت آمیز حیاتی است. این شامل حفظ برنامه های دقیق پروژه، تعریف نقاط عطف قابل دستیابی و به موقع، و پیگیری مداوم پیشرفت شما است.

در نهایت همه چیز را مستند کنید. سیاست ها و رویه هایی را برای حمایت از اجرای مداوم و مداوم کنترل های امنیتی ایجاد کنید. همچنین برخی از الزامات مستندات جدید در PCI DSS v4.0 وجود دارد که ممکن است لازم باشد به آنها توجه کنید.

 

مرحله ششم: از شرکای قابل اعتماد استفاده کنید

آموزش و آموزش کارکنان خود در مورد نقش آنها در ایمن نگه داشتن داده های شما و انجام PCI DSS ضروری است. هر گونه شکاف مهارتی را شناسایی کنید و تیم های خود را در مورد فن آوری های جدیدی که در حال پیاده سازی هستید آموزش دهید. این امر به ویژه برای مشاغل کوچک صادق است، جایی که هر عضو تیم باید آموزش ببیند و از نقش خود در انتقال آگاه شود.

هنگام اجرای کنترل های امنیتی، با یک تیم امنیتی قابل اعتماد شریک شوید. از متخصصان واجد شرایط مانند حرفه‌ای‌های صنعت کارت پرداخت (PCIP)، ارزیاب‌های امنیت داخلی (ISA) و ارزیاب‌های امنیتی واجد شرایط (QSA) استفاده کنید. این افراد واجد شرایط می توانند از کاربرد مداوم و مناسب کنترل های PCI DSS پشتیبانی کنند.

برای حفاظت از داده‌های پرداخت، از فناوری‌ها و راه‌حل‌هایی استفاده کنید که بر اساس استانداردهای امنیتی آزمایش و تأیید شده‌اند. PCI SSC فهرستی از محصولات و راه‌حل‌های تایید شده بر اساس استانداردهای PCI SSC، از جمله راه‌حل‌های رمزگذاری نقطه به نقطه (P2PE)، نرم‌افزار پرداخت معتبر و دستگاه‌های PTS تایید شده را نگهداری می‌کند.

 

مرحله هفتم: ارزیابی های خود را انجام دهید

بهترین راه برای آماده شدن برای ارزیابی PCI DSS این است که ارزیابی های خود را انجام دهید. آماده سازی برای ارزیابی باید در اسرع وقت آغاز شود. هرچه زمان بیشتری برای آماده سازی سرمایه گذاری شود، ارزیابی شما کارآمدتر و موفق تر خواهد بود.

انجام ارزیابی‌های شکاف زودهنگام و اغلب به شما کمک می‌کند تا حوزه‌هایی را که باید روی آن‌ها کار کنید، شناسایی کنید. برنامه‌ریزی اولیه کلیدی است تا بتوانیم هر شکافی را قبل از نیاز به اعتبارسنجی رسمی برطرف کنیم.

آزمایش‌های منظم همچنین تأیید می‌کند که آیا کنترل‌های امنیتی جدید یا به‌روزرسانی‌شده شما در تمام سیستم‌ها و حوزه‌های داخلی شما اجرا می‌شوند.

در نهایت، ایجاد خطوط ارتباطی باز با تیم ارزیابی قبل از ارزیابی مهم است. این می تواند اطمینان حاصل شود که تمام اسناد آماده هستند و به هر سوالی قبل از ارزیابی پاسخ داده می شود.

 

مرحله هشتم: امنیت را به عنوان یک فرآیند مستمر اولویت بندی کنید

PCI DSS v4.0 برای پشتیبانی از فرآیندهای طولانی مدت و مداوم برای محافظت از داده های پرداخت طراحی شده است. انعطاف‌پذیری اضافی ارائه شده در PCI DSS v4.0 به سازمان‌ها اجازه می‌دهد تا کنترل‌های امنیتی را متناسب با نیازهای تجاری و امنیتی خود انتخاب کنند. سازمان‌هایی که بر حفظ کنترل‌های امنیتی PCI DSS در تمام طول سال متمرکز هستند، می‌توانند با سهولت بیشتری از چرخه‌های تکرارشونده انطباق کوتاه‌مدت به دنبال نقص امنیتی و اصلاح کوتاه‌مدت هر بار که ارزیابی می‌کنند، اجتناب کنند.

جلسات آموزش منظم و آگاهی کارکنان باید برای کمک به کارکنان در درک اهمیت PCI DSS و نقشی که در حفظ امنیت داده های پرداخت سازمان ایفا می کنند، برگزار شود. ایجاد امنیت در شیوه‌های معمول کسب‌وکار و گنجاندن آن‌ها به عنوان بخشی از فرهنگ سازمانی به این اطمینان کمک می‌کند که اگر شکست‌های کنترلی رخ دهد، می‌توان به سرعت آن را شناسایی، گزارش و اصلاح کرد.

با تمرکز بر امنیت به عنوان یک فرآیند مستمر، سازمان ها اطمینان بیشتری در پیاده سازی PCI DSS v4.0 خود خواهند داشت و خطر رخدادها و رخنه های امنیتی را کاهش می دهند.