DLP چگونه امنیت صنعت پرداخت را تامین می‌کند؟

استاندارد PCI DSS

استاندارد امنیت داده‌ در صنعت کارت‌های پرداخت یا PCI DSS، مجموعه‌ای از الزامات است که به سازمان‌ها کمک می‌کند سیستم‌های پرداخت خود را در مقابل نفوذهای اطلاعاتی، کلاهبرداری و سرقت داده‌های متعلق به دارندگان کارت‌های اعتباری محافظت کنند. استاندارد PCI DSS که توسط شورای استانداردهای امنیتی PCI تدوین شده است، برای تمام کسب‌وکارهای که داده‌های متعلق به دارندگان کارت‌های اعتباری بزرگترین سرویس‌های کارت اعتباری دنیا یعنی American Express، Discover، JCB، MasterCard و Visa را پردازش، ذخیره یا منتقل می‌کنند، ضروری است.

با وجود اینکه خود استاندارد PCI DSS یک الزام قانونی نیست، فروشندگان اینترنتی به خاطر الزامات قرارداد با شرکت‌های کارت اعتباری و موسسات مالی در سراسر دنیا، باید خود را با آن تطبیق دهند. برای مثال بانک‌ها قبل از صدور مجوز پرداخت‌ با کارت‌های اعتباری از طریق تلفن همراه، حضوری یا اینترنتی برای فروشندگان، آن‌ها را ملزم به تطبیق با PCI DSS می‌کنند.

شرکت‌هایی که عدم تطبیق‌پذیری آن‌ها با این استاندارد محرز شود با جریمه‌هایی تا 100 هزار دلار در ماه و افزایش هزینه‌ی تراکنش‌ها روبه‌رو می‌شوند و حتی ممکن است روابط سازمانی آن‌ها با بانک خود برای همیشه قطع شده و در معرض خطر جدی واردشدن در لیست MATCH (هشدار به فروشندگان برای کنترل سطح بالای خطر) قرار بگیرند که به آن معناست که دیگر هیچ‌وقت مجوز پردازش پرداخت با کارت‌های اعتباری را نخواهند داشت.

تطبیق‌پذیری با PCI DSS از دوازده پیش‌نیاز اصلی و 250 کنترل مربوط به آن‌ها تشکیل شده است. این پیش‌نیازها هم معیارهای امنیتی پایه مثل استفاده و به‌روزرسانی فایروال‌ها و تغییردادن رمزهای عبور پیش‌فرض و هم معیارهای پیچیده‌تر را شامل می‌شوند که مستلزم توسعه و نگهداری سیستم‌ها و برنامه‌های کاربردی امن هستند.

برای نشان‌دادن و اثبات تطبیق‌پذیری با PCI DSS، فروشندگان باید یک پرسشنامه‌ی خودارزیابی (SAQ) را پر کنند. این پرسشنامه چندین نسخه‌ی مختلف دارد که انواع مختلف کسب‌وکارها و روش‌های مختلف پردازش پرداخت را پوشش می‌دهند. شرکت‌های بزرگ ملزم به انجام ممیزی توسط یک سازمان ثالث دارند که توسط شورای PCI صلاحیت آن تایید شده باشد.

راهکارهای جلوگیری از نشت داده (DLP) از مفیدترین ابزارهای موجود در بازار برای تطبیق‌پذیری با PCI DSS هستند. از آن‌جایی که سیاست‌های موجود در این راهکارها به جای دستگاه‌ها یا کل شبکه مستقیماً روی داده‌های حساس اعمال می‌شود، این راهکارها می‌توانند تضمین کنند که اطلاعات صاحبان کارت‌های اعتباری شناسایی شده، از آن‌ها لاگ تهیه شود و به‌گونه‌ای کنترل شوند که پیش‌نیازهای PCI DSS برآورده شود. بیایید نگاهی نزدیک‌تر به پیش‌نیازهایی داشته باشیم که ابزارهای DLP به برآورده‌شدن آن‌ها کمک می‌کنند.

می‌خواهید درباره DLP بیشتر بدانید؟

این مقاله به شما کمک می‌کند:

حفاظت از داده‌های ذخیره‌شده‌‌ی متعلق به دارندگان کارت

پیش‌نیاز سوم PCI DSS درباره‌ی نیاز به حفاظت از داده‌های ذخیره‌شده‌ی متعلق به دارندگان کارت است. سازمان‌ها برای انجام این کار باید بدانند داده‌ها در چه مکان‌هایی از سرورهای آن‌ها قرار دارند و ابزارهای لازم برای استفاده‌ی کنترل‌شده از این داده‌ها را داشته باشند. راهکارهای DLP از طریق امکانات لازم برای یافتن محتوا، شرکت‌ها را قادر می‌سازند که کل شبکه‌ی خود را اسکن کرده و مکان‌های ذخیره‌سازی داده‌های حساس، نحوه‌ی استفاده از این داده‌ها و نحوه‌ی انتقال آن‌ها را متوجه شوند.

راهکارهایی مانند محافظ اندپوینت این کار را با استفاده از سیاست‌هایی از پیش تعریف شده برای تطبیق‌پذیری با استانداردهایی مانند PCI DSS انجام می‌دهند. این به آن معناست که شرکت‌ها دیگر مجبور نیستند وقت خود را برای ساختن سیاست‌ها از صفر تا صد تلف کنند: توسعه‌دهندگان DLP قبلا مشخص کرده‌اند که در چه جاهایی باید از داده‌های حساس محافظت کرد و تعریف‌های داده‌های حساس را به صورت پیش‌ساخته در راهکار DLP قرار داده‌اند.

شرکت‌ها با دانستن این که داده کجا قرار دارد و چگونه استفاده می‌شود، می‌توانند به‌جای درپیش‌گرفتن یک رویکرد گسترده و همه‌جانبه برای حصول تطبیق‌پذیری، شروع به ایجاد استراتژی‌های بهینه برای حفاظت از داده کنند که به طور اختصاصی برای حل مشکلات شناسایی‌شده طراحی شده‌اند.

سازمان‌ها به محض مستقرشدن راهکارهای DLP می‌توانند انتقال و ذخیره‌سازی داده‌های حساس روی اندپوینت‌های شرکت را کنترل کنند. می‌توان انتقال داده‌های حساس از طریق کانال‌های محافظت‌نشده روی اینترنت یا دستگاه‌های جداشدنی رمزگذاری‌نشده را مسدود کرد. سازمان‌‎ها می‌توانند لیست‌های سفیدی از مقاصد مجاز مانند USBهای رمزگذاری‌شده یا آدرس‌های ایمیلی که خود شرکت در اختیار کارکنان گذاشته تعریف کنند.

محدودکردن دسترسی به داده‌های صاحبان کارت

هفتمین پیش‌نیاز برای تطبیق‌پذیری با PCI DSS، یعنی دسترسی محدود به اطلاعات حساس را نیز به راحتی می‌توان از طریق اسکن‌های کشف محتوای DLP برآورده ساخت. این ابزارهای اسکن قدرتمند با جستجو در کامپیوترهای کارکنان می‌توانند داده‌های حساسی را که روی دستگاه‌های افراد فاقد مجوز قرار دارند شناسایی کرده و به‌سرعت داده را حذف، یا در همان مکانی که قرار دارد رمزگذاری کنند. سازمان‌ها با این کار می‌توانند اطمینان حاصل کنند که هرگونه تخلف از سیاست‌های صدور مجوز (Authorization) به سرعت تشخیص داده شده و اصلاح شود.

نظارت بر تمام دسترسی‌ها

شرکت‌ها برای برآورده‌کردن پیش‌نیاز شماره 10 استاندارد PCI DSS باید از تمام رویدادهای امنیتی و بخش‌های حیاتی سیستم لاگ بگیرند. با وجود این که نرم‌افزار آنتی‌ویروس می‌تواند لاگ‌هایی از حوادث امنیتی فراهم کند، راهکارهای DLP از تلاش‌های ناموفق برای انتقال داده بدون مجوز و نحوه‌ی جلوگیری از آن نیز لاگ تهیه می‌کنند، لذا با این روش می‌توان ثابت کرد که یک شرکت به صورت فعال از داده‌های خود در مقابل نفوذ اطلاعاتی محافظت می‌کند.

به علاوه ثبت لاگ و گزارش به شرکت‌ها کمک می‌کند راجع به پیاده‌سازی یا عدم پیاده‌سازی ابزارهای مختلف در استراتژی‌های آینده‌ی خود برای حفاظت از داده‌، تصمیمات آگاهانه‌تری بگیرند.

تست مداوم سیستم‌ها و فرایندهای امنیتی

ابزارهای DLP از طریق اسکن‌های خودکار و دستی، شرکت‌ها را قادر می‌سازند میزان بهره‌وری استراتژی‌های حفاظت از داده‌ی خود را با سنجش امنیت داده‌های حساس بسنجند و از این طریق پیش‌نیاز شماره 11 استاندارد PCI DSS را برآورده کنند. سازمان‌ها با مونیتورکردن جابه‌جایی‌های داده‌های حساس می‌توانند متوجه شوند کارکنان آموزش‌های امنیتی را در عمل پیاده می‌کنند یا خیر. هم‌چنین در صورتی که جایی از به‌روش‌ها (Best Practices) استفاده نشود، سازمان می‌تواند از آن اطلاع پیدا کند.

سازمان‌ها هم‌چنین می‌توانند متوجه شوند که راهکارهای اعمال‌شده موثر واقع شده‌ یا آسیب‌پذیری‌ها به قوت خود باقی مانده‌اند. این امر می‌تواند درک بهتری نسبت به سیاست‌های اتخاذشده به سازمان‌ها بدهد تا بتوانند بفهمند کدام سیاست‌ها برای آن‌ها مفید واقع شده و کدام سیاست‌ها بی‌فایده بوده‌اند. هم‌چنین سازمان‌ها نقاط کور احتمالی را در استراتژی‌های حفاظت از داده کشف می‌کنند.

جمع‌بندی

تطبیق‌پذیری با استاندارد PCI DSS برای هر شرکتی که با بانک‌ها و سرویس‌های پرداخت با کارت اعتباری سر و کار دارد ضروری است. ابزارهای DLP می‌توانند به شرکت‌ها در کشف، مونیتورکردن و کنترل محل‌های ذخیره‌سازی داده، نحوه‌ی استفاده و هم‌چنین نحوه‌ی انتقال آن کمک کرده و آن‌ها را یک گام به تطبیق‌پذیری با PCI DSS نزدیک‌تر کنند.

آیا سازمان شما از DLP استفاده می‌کند؟

مشاوران لیان به شما کمک می‌کنند بهترین راهکار را انتخاب کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.