استاندارد امنیت داده در صنعت کارتهای پرداخت یا PCI DSS، مجموعهای از الزامات است که به سازمانها کمک میکند سیستمهای پرداخت خود را در مقابل نفوذهای اطلاعاتی، کلاهبرداری و سرقت دادههای متعلق به دارندگان کارتهای اعتباری محافظت کنند. استاندارد PCI DSS که توسط شورای استانداردهای امنیتی PCI تدوین شده است، برای تمام کسبوکارهای که دادههای متعلق به دارندگان کارتهای اعتباری بزرگترین سرویسهای کارت اعتباری دنیا یعنی American Express، Discover، JCB، MasterCard و Visa را پردازش، ذخیره یا منتقل میکنند، ضروری است.
با وجود اینکه خود استاندارد PCI DSS یک الزام قانونی نیست، فروشندگان اینترنتی به خاطر الزامات قرارداد با شرکتهای کارت اعتباری و موسسات مالی در سراسر دنیا، باید خود را با آن تطبیق دهند. برای مثال بانکها قبل از صدور مجوز پرداخت با کارتهای اعتباری از طریق تلفن همراه، حضوری یا اینترنتی برای فروشندگان، آنها را ملزم به تطبیق با PCI DSS میکنند.
شرکتهایی که عدم تطبیقپذیری آنها با این استاندارد محرز شود با جریمههایی تا 100 هزار دلار در ماه و افزایش هزینهی تراکنشها روبهرو میشوند و حتی ممکن است روابط سازمانی آنها با بانک خود برای همیشه قطع شده و در معرض خطر جدی واردشدن در لیست MATCH (هشدار به فروشندگان برای کنترل سطح بالای خطر) قرار بگیرند که به آن معناست که دیگر هیچوقت مجوز پردازش پرداخت با کارتهای اعتباری را نخواهند داشت.
تطبیقپذیری با PCI DSS از دوازده پیشنیاز اصلی و 250 کنترل مربوط به آنها تشکیل شده است. این پیشنیازها هم معیارهای امنیتی پایه مثل استفاده و بهروزرسانی فایروالها و تغییردادن رمزهای عبور پیشفرض و هم معیارهای پیچیدهتر را شامل میشوند که مستلزم توسعه و نگهداری سیستمها و برنامههای کاربردی امن هستند.
برای نشاندادن و اثبات تطبیقپذیری با PCI DSS، فروشندگان باید یک پرسشنامهی خودارزیابی (SAQ) را پر کنند. این پرسشنامه چندین نسخهی مختلف دارد که انواع مختلف کسبوکارها و روشهای مختلف پردازش پرداخت را پوشش میدهند. شرکتهای بزرگ ملزم به انجام ممیزی توسط یک سازمان ثالث دارند که توسط شورای PCI صلاحیت آن تایید شده باشد.
راهکارهای جلوگیری از نشت داده (DLP) از مفیدترین ابزارهای موجود در بازار برای تطبیقپذیری با PCI DSS هستند. از آنجایی که سیاستهای موجود در این راهکارها به جای دستگاهها یا کل شبکه مستقیماً روی دادههای حساس اعمال میشود، این راهکارها میتوانند تضمین کنند که اطلاعات صاحبان کارتهای اعتباری شناسایی شده، از آنها لاگ تهیه شود و بهگونهای کنترل شوند که پیشنیازهای PCI DSS برآورده شود. بیایید نگاهی نزدیکتر به پیشنیازهایی داشته باشیم که ابزارهای DLP به برآوردهشدن آنها کمک میکنند.
میخواهید درباره DLP بیشتر بدانید؟
این مقاله به شما کمک میکند:
حفاظت از دادههای ذخیرهشدهی متعلق به دارندگان کارت
پیشنیاز سوم PCI DSS دربارهی نیاز به حفاظت از دادههای ذخیرهشدهی متعلق به دارندگان کارت است. سازمانها برای انجام این کار باید بدانند دادهها در چه مکانهایی از سرورهای آنها قرار دارند و ابزارهای لازم برای استفادهی کنترلشده از این دادهها را داشته باشند. راهکارهای DLP از طریق امکانات لازم برای یافتن محتوا، شرکتها را قادر میسازند که کل شبکهی خود را اسکن کرده و مکانهای ذخیرهسازی دادههای حساس، نحوهی استفاده از این دادهها و نحوهی انتقال آنها را متوجه شوند.
راهکارهایی مانند محافظ اندپوینت این کار را با استفاده از سیاستهایی از پیش تعریف شده برای تطبیقپذیری با استانداردهایی مانند PCI DSS انجام میدهند. این به آن معناست که شرکتها دیگر مجبور نیستند وقت خود را برای ساختن سیاستها از صفر تا صد تلف کنند: توسعهدهندگان DLP قبلا مشخص کردهاند که در چه جاهایی باید از دادههای حساس محافظت کرد و تعریفهای دادههای حساس را به صورت پیشساخته در راهکار DLP قرار دادهاند.
شرکتها با دانستن این که داده کجا قرار دارد و چگونه استفاده میشود، میتوانند بهجای درپیشگرفتن یک رویکرد گسترده و همهجانبه برای حصول تطبیقپذیری، شروع به ایجاد استراتژیهای بهینه برای حفاظت از داده کنند که به طور اختصاصی برای حل مشکلات شناساییشده طراحی شدهاند.
سازمانها به محض مستقرشدن راهکارهای DLP میتوانند انتقال و ذخیرهسازی دادههای حساس روی اندپوینتهای شرکت را کنترل کنند. میتوان انتقال دادههای حساس از طریق کانالهای محافظتنشده روی اینترنت یا دستگاههای جداشدنی رمزگذارینشده را مسدود کرد. سازمانها میتوانند لیستهای سفیدی از مقاصد مجاز مانند USBهای رمزگذاریشده یا آدرسهای ایمیلی که خود شرکت در اختیار کارکنان گذاشته تعریف کنند.
محدودکردن دسترسی به دادههای صاحبان کارت
هفتمین پیشنیاز برای تطبیقپذیری با PCI DSS، یعنی دسترسی محدود به اطلاعات حساس را نیز به راحتی میتوان از طریق اسکنهای کشف محتوای DLP برآورده ساخت. این ابزارهای اسکن قدرتمند با جستجو در کامپیوترهای کارکنان میتوانند دادههای حساسی را که روی دستگاههای افراد فاقد مجوز قرار دارند شناسایی کرده و بهسرعت داده را حذف، یا در همان مکانی که قرار دارد رمزگذاری کنند. سازمانها با این کار میتوانند اطمینان حاصل کنند که هرگونه تخلف از سیاستهای صدور مجوز (Authorization) به سرعت تشخیص داده شده و اصلاح شود.
نظارت بر تمام دسترسیها
شرکتها برای برآوردهکردن پیشنیاز شماره 10 استاندارد PCI DSS باید از تمام رویدادهای امنیتی و بخشهای حیاتی سیستم لاگ بگیرند. با وجود این که نرمافزار آنتیویروس میتواند لاگهایی از حوادث امنیتی فراهم کند، راهکارهای DLP از تلاشهای ناموفق برای انتقال داده بدون مجوز و نحوهی جلوگیری از آن نیز لاگ تهیه میکنند، لذا با این روش میتوان ثابت کرد که یک شرکت به صورت فعال از دادههای خود در مقابل نفوذ اطلاعاتی محافظت میکند.
به علاوه ثبت لاگ و گزارش به شرکتها کمک میکند راجع به پیادهسازی یا عدم پیادهسازی ابزارهای مختلف در استراتژیهای آیندهی خود برای حفاظت از داده، تصمیمات آگاهانهتری بگیرند.
تست مداوم سیستمها و فرایندهای امنیتی
ابزارهای DLP از طریق اسکنهای خودکار و دستی، شرکتها را قادر میسازند میزان بهرهوری استراتژیهای حفاظت از دادهی خود را با سنجش امنیت دادههای حساس بسنجند و از این طریق پیشنیاز شماره 11 استاندارد PCI DSS را برآورده کنند. سازمانها با مونیتورکردن جابهجاییهای دادههای حساس میتوانند متوجه شوند کارکنان آموزشهای امنیتی را در عمل پیاده میکنند یا خیر. همچنین در صورتی که جایی از بهروشها (Best Practices) استفاده نشود، سازمان میتواند از آن اطلاع پیدا کند.
سازمانها همچنین میتوانند متوجه شوند که راهکارهای اعمالشده موثر واقع شده یا آسیبپذیریها به قوت خود باقی ماندهاند. این امر میتواند درک بهتری نسبت به سیاستهای اتخاذشده به سازمانها بدهد تا بتوانند بفهمند کدام سیاستها برای آنها مفید واقع شده و کدام سیاستها بیفایده بودهاند. همچنین سازمانها نقاط کور احتمالی را در استراتژیهای حفاظت از داده کشف میکنند.
جمعبندی
تطبیقپذیری با استاندارد PCI DSS برای هر شرکتی که با بانکها و سرویسهای پرداخت با کارت اعتباری سر و کار دارد ضروری است. ابزارهای DLP میتوانند به شرکتها در کشف، مونیتورکردن و کنترل محلهای ذخیرهسازی داده، نحوهی استفاده و همچنین نحوهی انتقال آن کمک کرده و آنها را یک گام به تطبیقپذیری با PCI DSS نزدیکتر کنند.
آیا سازمان شما از DLP استفاده میکند؟
مشاوران لیان به شما کمک میکنند بهترین راهکار را انتخاب کنید.
