استشارات PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع)

انتقل العالم الآن إلى عصر جديد يستخدم فيه طرق أكثر تقدّمًا وفعالية لإتمام المعاملات المالية، فمع انتشار التجارة الإلكترونية وتحوّل الأعمال رقميًا؛ لم تعد طرق الدفع النقدية مُجديةً، وبدلًا منها شاع استخدام وسائل الدفع الإلكترونية، مثل: البطاقات الائتمانية (Credit Card) والبطاقات المصرفية (Debit Card) وغيرها.

وبالرغم من الفوائد والحلول الضخمة التي وفّرتها تلك الطرق، إلا أنها أصبحت مصدرًا رئيس للقلق وعدم الآمان بالنسبة للأشخاص والمؤسسات على حد سواء، حيث كثرت محاولات الاحتيال للحصول على المعلومات الخاصة بالبطاقات. وهذا ما دعى إلى ضرورة تطوير معايير قياسية وطُرق مُثلى تلتزم بها الشركات التي تقوم بمعالجة واستخدام معلومات بطاقات الدفع من المستهلكين.

وفي عام 2006، شكّلت العلامات التجارية الخمس الكبرى لصناعة البطاقات (أميركان إكسبريس، وDiscover Card، وماستركارد، وفيزا، وشركة JCB الدولية) مجلس معايير أمان صناعة المدفوعات PCI، لتعزيز الوعي بمعايير أمن المدفوعات والتأكّد من التزام المنظّمات بها.

وفي ظل سعيها إلى تحقيق هذا الهدف، قام المجلس بتشكيل معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS)، وهو أحد أهم المعايير العالمية وأكثرها شهرة واستخدامًا وشمولاً في هذا المجال.

ما هي شهادة PCI DSS؟

هي مجموعة إرشادية من معايير الدفع التي تحدد الحد الأدنى من المتطلبات الأمنية التي يجب تلبيتها لأي مزوّد خدمات يريد تخزين بيانات البطاقة الائتمانية أو معالجتها أو نقلها.

وأصبحت هذه المعايير تُعرف باسم معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) وهي اختصار لـ “Payment Card Industry – Data Security Standard”.

وشهادة الـ PCI DSS عبارة عن إثبات، من مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC)، تُفيد بأنّ شركتك تُطبّق أهم القواعد والإجراءات والعمليات والممارسات كجزءًا أساسي من إطار عملها؛ لتوفير بيئة آمنة لجميع النُظم التي تقبل أو تتعامل أو تُخزّن أو تُرسل معلومات تخص بطاقات الدفع الإلكتروني.

ماهي آلية عمل PCI DSS؟

عند إدخال العميل لمعلومات بطاقته الإئتمانية عبر أحد المواقع أو في أحد أجهزة سحب النقود، كتلك التي نجدها عند الكاشير في السوبرماركت على سبيل المثال، تُرسَل تلك المعلومات عبر الإنترنت للبنك الصادرة عنه البطاقة بحيث يتم التأكّد من صحة المعلومات المُدخلة، ومن ثم تتم عملية سحب المبلغ المطلوب من العميل وإيداعه في حساب البائع.

وهنا يأتي دور معيار PCI DSS بالتأكّد من أن هذه البيانات تُرسَل بشكل آمن ومشفر عبر الإنترنت، ويتم فرض قوانين صارمة عليها؛ لتفادي عملية التجسس والسرقة والاستخدام غير المصرح به لجميع نقاط التواصل في النظام، سواء كانت أجهزة حاسوب، أو جوال، أو خوادم، وحتى خط الإنترنت المستخدم والتطبيقات الأخرى في الشبكة.

ماهي فائدة شهادة PCI DSS؟

هناك فوائد عديدة في امتثال معايير أمان صناعة البطاقات، وهذا ما يُفسّر الأرقام التي ظهرت في دراسة حديثة تُشير إلى ازدياد الامتثال العام لـ PCI DSS بين الشركات العالمية، بما يصل إلى 55.4٪. وفيما يلي بعض تلك الفوائد:

  1. تعزير وتحسين الأمان لتقليل خطر حدوث انتهاكات أمنية.
  2. تحسين علاقتك مع عملائك وتعزيز الثقة لديهم.
  3. زيادة الأرباح بسبب زيادة ثقة العملاء.
  4. تجنب الغرامات التنظيمية باهظة الثمن
  5. تحسين سمعة العلامة التجارية للشركات، وبناء الثقة مع جميع الأطراف (عملاء، وشركاء، ومورّدين)
  6. يعتبر معيار PCI DSS معيارًا ذائع الصيت في مجال الأمن والحماية، ومُعترف به دوليًا وعالميًا، مما يعني أنّ الحصول على شهادته ستُضيف لشركتك الكثير من الناحية التنافسية.
  7. يقدّم المعيار توجيهات وإرشادات محددة بشأن ما ينبغي فعله لحماية البيانات، والتي يمكن تطبيقها على أي منظمة تستخدم أي طريقة لمعالجة بيانات بطاقات الدفع أو تخزينها.
  8. سيساعدك على الاستعداد للامتثال للوائح أو استراتيجيات الأمان الأُخرى.

نطاق معيار PCI DSS

يمكن تطبيق PCI DSS عبر المنظّمة بأكملها، أو على أقسام فرعية منها إذا قامت بتقسيم عمليات معالجة بيانات البطاقات أو نقلها أو تخزينها بشكل صحيح.

وينطبق المعيار على جميع الأشخاص والعمليات والتقنيات التي تشارك في معالجة أو نقل أو تخزين بيانات حاملي البطاقات الائتمانية. ومتطلبات المعيار لا تُغطّي النظم الإلكترونية فقط، بل تمتد لتشمل السجلات الورقية، مثل الإيصالات واستمارات بريدية وتسجيلات المحادثات الهاتفية، إذا كانت تُخزِّن بيانات البطاقات.

ما هي مستويات شهادة PCI DSS؟

هناك أربعة مستويات مختلفة للامتثال لـ PCI DSS تعتمد على مقدار المدفوعات التي تجريها المؤسسات كل عام (فترة 12 شهرًا). وهي:

 

  • المستوى الأول (PCI DSS Level 1):

للشركات التي تقوم بمعالجة عدد كبير (أكثر من 6 مليون في السنة) من عمليات السحب على فيزا أو ماستركارد.

 

  • المستوى الثاني (PCI DSS Level 2):

للشركات التي تقوم بمعالجة عدد يتراوح (من 1 مليون إلى 6 مليون في السنة) من عمليات السحب على فيزا أو ماستركارد.

 

  • المستوى الثالث (PCI DSS Level 3):

للشركات التي تقوم بمعالجة عدد يتراوح (من 20 ألف وحتى 1 مليون في السنة) من عمليات السحب على فيزا أو ماستركارد.

 

  • المستوى الرابع (PCI DSS Level 4):

للشركات التي تقوم بمعالجة عدد (أقل من 20 ألف في السنة) من عمليات السحب على فيزا أو ماستركارد.

متطلبات الحصول على شهادة PCI DSS؟

قد تبدو رحلة الوصول إلى الامتثال الكامل لـ PCI DSS أمرًا شاقًا للغاية، ولكنه يظل ضروريًا لتجنب تبعات الفشل في تلبية متطلباته. وفيما يلي نذكر أهداف PCI-DSS الستة، مع العلم أنه يمكن توسيع كل هدف ليغطي المتطلبات الإثنى عشر المعروفة لـلمعيار: 

  • بناء شبكة آمنة
  • اتخاذ تدابير قوية لمراقبة الدخول للأنظمة
  • الحفاظ على برنامج إدارة الثغرات الأمنية
  • حماية بيانات حامل البطاقة
  • المراقبة بانتظام واختبار الشبكات
  • الحفاظ على سياسة أمن المعلومات

من يجب أن يلتزم بشهادة PCI DSS؟

يعتبر الامتثال لمعايير أمن البيانات في صناعة بطاقات الدفع (DSS) إلزاميًا لجميع الكيانات، بغض النظر عن حجم أو قيمة أو عدد المعاملات، التي تقوم بتخزين بيانات البطاقات المصرفية أو معالجتها أو نقلها، وتشمل: المؤسسات المالية، والتُجّار، ومزودي الخدمات، والمطورين وغيرهم.

كما يجب على أي شخص/مؤسسة تتعامل مع بطاقة مصرفية تتبع لعلامة تجارية رئيسية، مثل American Express أو Discover أو MasterCard أو Visa، الامتثال للمعيار.

على سبيل المثال، إذا قامت شركتك بمعالجة ثلاث معاملات لبطاقات ائتمان شهريًا، يجب عليك الامتثال لمعايير PCI. أيضًا، إذا استخدمت طرق الدفع عبر طرف ثالث، يجب عليك الامتثال لمعايير PCI. وإذا لم تُخزّن بيانات بطاقة الائتمان لكنها تمر عبر خادمك، يجب عليك الامتثال لمعايير PCI.

وجدير بالذكر أنّ الاستعانة بشركة معالجة مدفوعات ممتثلة لنظام PCI DSS، مثل شركة PayPal، لا يعفي المنظّمة من الامتثال لمتطلبات PCI (رغم أنها تحد من نطاق الامتثال).

ما هي الأضرار التي تترتب على عدم الامتثال لـ PCI DSS؟

وعلى الرغم من أن الامتثال للمعايير المنصوص عليها في PCI DSS ليس مطلبًا قانونيًا من الشركات بالنسبة للحكومات المحلية، إلّا أنّ شركات البطاقات التي تتحكم في هذه المعايير قد تفرض غرامات على المنظمات التي لا تمتثل للمعايير.

وطبقاً لتقرير فيريزون (verizon) عن أمن المدفوعات، فإن نحو 28% فقط من المنظمات كانت ممتثلة بالكامل لمعايير الـ PCI في عام 2020. كا يُظهِر التقرير وجود علاقة بين الشركات التي تعرضت لخرق البيانات وعدم امتثالها لمتطلبات معيار PCI DSS.

من المهم أن تكون متوافقاً مع معايير PCI لتعزيز أمنك وتأمين معاملات بطاقات الائتمان لعملك وعملائك. بدون هذا المستوى من الحماية، أنت أكثر عرضة للهجمات السيبرانية المتزايدة، والغرامات التنظيمية الضخمة، والدعاوى القضائية، وحتى إغلاق محتمل لعملك.

وكما أنّ تكلفة خرق البيانات قد تصل إلى مئات الآلاف من الدولارات، ناهيك عن مخاطر فقدان احترام وثقة زبائنك، وتدمير سمعة علامتك التجارية.

هذا بالإضافة إلى أنك قد تواجه خطر فقدان حساب التاجر الخاص بك، مما يعني أنك لن تكون قادرًا على قبول مدفوعات بطاقة الائتمان على الإطلاق، ومن الممكن أيضًا أن تجعلك غير مؤهّل للحصول على حساب تجاري جديد لعدة سنوات.

كيف يمكن لشركة ريناد المجد لتقنية المعلومات (RMG) مساعدتك في رحلة الامتثال لـ PCI DSS؟

لدينا +60 استشاري وخبير مؤهّل ليقدّم المشورة اللازمة لمساعدتك في تحسين برامج مؤسستك الأمنية، وتحقيق متطلبات معيار PCI DSS.

وبوسع مستشارينا أن يقدّموا لك الدعم في الحقول التالية:

  • تعريف نطاق المعيار داخل المنظّمة، وتقديم الدعم في قراءة مقتضيات المعيار وتطبيقه
  • إجراء تحليل الفجوات، وتقييم وضع امتثال المنظّمة الحالي بالنسبة لمتطلبات PCI DSS
  • إقامة جلسات توعية وبرامج تدريب لفرق العمل والموظفين
  • إنشاء وتوثيق السياسات والإجراءات وفق PCI DSS
  • تقييم المخاطر ومعالجتها
  • تصميم الحلول التقنية اللازمة
  • إجراء التدقيق الداخلي

في الختام، يجب القول بأنه يتوجّب على كل صاحب عمل، أو متجر إلكتروني أو مشروع تجاري، يعتمد على طرق الدفع عبر البطاقات المصرفية لتحصيل أمواله المستحقة، تطبيق معيار PCI DSS؛ لضمان الحماية الكاملة لبيانات البطاقات الإئتمانية، وتجنّب العقوبات عند حدوث أي خرق أمني. ولا ننسى أنّ ضمان المعاملات المالية الآمنة للخدمات والالتزام بالمعايير الدولية الصارمة في مجال أمن بيانات البطاقات، تعتبر خطوات لازمة وهامة لجميع الكيانات التي تهدف إلى تحقيق التحول الرقمي المالي.

تواصل معنا اليوم وسنكون سعداء بخدمتك