در دنیای امروز که تراکنش‌های مالی بیشتر از همیشه به‌صورت الکترونیکی انجام می‌شوند، حفاظت از اطلاعات کارت‌های بانکی اهمیت ویژه‌ای دارد. استاندارد PCI DSS مجموعه‌ای از الزامات امنیتی است که برای محافظت از داده‌های کارت‌های اعتباری ایجاد شده است. این استاندارد به کسب‌وکارها کمک می‌کند تا از نشت اطلاعات مالی جلوگیری کرده و امنیت پرداخت‌های الکترونیکی را تضمین کنند.

استاندارد PCI DSS چیست؟

استاندارد Payment Card Industry Data Security Standard یک چارچوب امنیتی است که توسط شورای استانداردهای امنیتی (PCI SSC) برای محافظت از داده‌های کارت‌های بانکی و تراکنش‌های الکترونیکی توسعه یافته است. این استاندارد شامل مجموعه‌ای از الزامات امنیتی است که شرکت‌ها و سازمان‌هایی که اطلاعات کارت‌های اعتباری و نقدی را پردازش، ذخیره یا انتقال می‌دهند، باید رعایت کنند. هدف اصلی PCI DSS کاهش خطرات مرتبط با سرقت اطلاعات کارت‌های بانکی و جلوگیری از دسترسی غیرمجاز به این داده‌های حساس است.

تاریخچه استاندارد PCI DSS

استاندارد PCI DSS در سال ۲۰۰۴ توسط پنج شرکت بزرگ ارائه‌دهنده کارت‌های اعتباری یعنی Visa، MasterCard، American Express، Discover و JCB ایجاد شد. هدف این استاندارد مقابله با افزایش حملات سایبری و کاهش خطر سرقت اطلاعات کارت‌های بانکی در تراکنش‌های الکترونیکی بود. پیش از ایجاد PCI DSS هر یک از این شرکت‌ها چارچوب‌های امنیتی مخصوص خود را داشتند، اما با رشد جرایم سایبری و نیاز به یک استاندارد یکپارچه، تصمیم گرفتند یک مجموعه قوانین مشترک را تدوین کنند.

در سال ۲۰۰۶ شورای استانداردهای امنیتی PCI (PCI SSC) تأسیس شد تا مدیریت و توسعه PCI DSS را بر عهده بگیرد. از آن زمان تاکنون این استاندارد چندین بار به‌روزرسانی شده است تا با تهدیدات جدید و فناوری‌های نوین سازگار شود. نسخه‌های جدید PCI DSS، مانند نسخه‌های ۳.۲ و ۴.۰ الزامات سخت‌گیرانه‌تری را برای حفاظت از داده‌های پرداختی معرفی کرده‌اند. امروزه، رعایت PCI DSS نه‌تنها برای شرکت‌های مالی بلکه برای تمامی کسب‌وکارهایی که اطلاعات کارت‌های بانکی را پردازش، ذخیره یا انتقال می‌دهند، ضروری است.

اصول و الزامات استاندارد PCI DSS

استاندارد PCI DSS شامل ۱۲ الزام اصلی است که در ۶ اصل کلی دسته‌بندی شده‌اند. این اصول به ایجاد یک چارچوب امنیتی برای محافظت از داده‌های کارت‌های اعتباری کمک می‌کنند و سازمان‌ها را ملزم به رعایت اقدامات امنیتی مشخصی می‌نمایند. رعایت این الزامات برای جلوگیری از حملات سایبری، کاهش خطر نشت اطلاعات و افزایش اعتماد مشتریان ضروری است.

۱. ایجاد و حفظ یک شبکه امن

• اولین گام در رعایت PCI DSS تأمین امنیت شبکه است. این اصل شامل نصب و نگهداری فایروال‌های قوی برای جلوگیری از دسترسی غیرمجاز (الزام ۱)
• تغییر رمزهای پیش‌فرض تجهیزات و نرم‌افزارها به منظور جلوگیری از سوءاستفاده مهاجمان (الزام ۲)

۲. حفاظت از اطلاعات دارندگان کارت

• برای جلوگیری از نشت اطلاعات، داده‌های کارت‌های بانکی باید به‌صورت امن ذخیره شوند (الزام ۳)
• هنگام انتقال از طریق شبکه‌های عمومی، رمزنگاری شوند تا از رهگیری آن‌ها جلوگیری شود (الزام ۴)

۳. مدیریت آسیب‌پذیری‌ها

• سازمان‌ها باید به‌روزرسانی مستمر نرم‌افزارها و سیستم‌ها را برای رفع آسیب‌پذیری‌های امنیتی انجام دهند (الزام ۶)
• همچنین از نرم‌افزارهای آنتی‌ویروس معتبر برای مقابله با بدافزارها استفاده کنند (الزام ۵)

۴. کنترل دسترسی به داده‌ها

• دسترسی به اطلاعات کارت اعتباری باید بر اساس اصل «نیاز به دانستن» محدود شود (الزام ۷)
• هر کاربر دارای شناسه یکتای ورود به سیستم باشد (الزام ۸)
• دسترسی فیزیکی به داده‌های حساس نیز کنترل شود (الزام ۹)

۵. نظارت و آزمایش مداوم سیستم‌ها و شبکه‌ها

• تمامی فعالیت‌های شبکه و دسترسی به داده‌های حساس باید ثبت و نظارت شوند تا از فعالیت‌های غیرمجاز جلوگیری شود (الزام ۱۰)
• سازمان‌ها باید به‌طور منظم تست‌های نفوذ و ارزیابی‌های امنیتی را انجام دهند تا نقاط ضعف شناسایی و رفع شوند (الزام ۱۱)

۶. تدوین و اجرای سیاست‌های امنیتی

• یک سیاست امنیتی قوی باید تدوین و اجرا شود تا تمامی کارکنان از الزامات امنیتی آگاه باشند و آن‌ها را رعایت کنند (الزام ۱۲)

چه کسب‌وکارهایی باید PCI DSS را رعایت کنند؟

هر کسب‌وکاری که اطلاعات کارت‌های پرداخت را پردازش، ذخیره یا انتقال می‌دهد، ملزم به رعایت استاندارد PCI DSS است. این استاندارد برای حفظ امنیت داده‌های مالی مشتریان و جلوگیری از سرقت اطلاعات بانکی ضروری است.

1. بانک‌ها و مؤسسات مالی:

مامی بانک‌ها، شرکت‌های ارائه‌دهنده کارت‌های اعتباری و سایر مؤسسات مالی که تراکنش‌های بانکی را مدیریت می‌کنند، باید PCI DSS را رعایت کنند تا از امنیت اطلاعات مشتریان اطمینان حاصل شود.

2. فروشگاه‌های اینترنتی:

وب‌سایت‌هایی که پرداخت آنلاین از طریق کارت‌های بانکی را می‌پذیرند، باید اطلاعات مشتریان را با استفاده از روش‌های امن پردازش و انتقال دهند.

3. شرکت‌های ارائه‌دهنده خدمات پرداخت (PSP):

پردازشگرهای پرداخت و درگاه‌های واسط بانکی که تراکنش‌های کارت را انجام می‌دهند، باید از استاندارد PCI DSS پیروی کنند تا امنیت داده‌های مالی تضمین شود.

4. اپراتورهای مخابراتی و شرکت‌های فناوری مالی (Fintech):

شرکت‌هایی که خدمات مالی دیجیتال مانند کیف پول‌های الکترونیکی، پرداخت‌های موبایلی یا درگاه‌های پرداخت دیجیتال ارائه می‌دهند، باید این استاندارد را رعایت کنند.

5. شرکت‌های هاستینگ و ارائه‌دهندگان خدمات ابری:

ارائه‌دهندگانی که از زیرساخت‌های ابری برای ذخیره و پردازش داده‌های پرداختی استفاده می‌کنند، باید با الزامات PCI DSS همخوانی داشته باشند.

6. شرکت‌های گردشگری و هتل‌ها:

هتل‌ها، آژانس‌های مسافرتی و خطوط هوایی که اطلاعات کارت مشتریان را برای رزروها ذخیره یا پردازش می‌کنند، باید امنیت داده‌ها را مطابق این استاندارد تضمین کنند.

7. بیمارستان‌ها و مراکز درمانی:

مؤسسات پزشکی که پرداخت‌های الکترونیکی را برای خدمات درمانی دریافت می‌کنند، ملزم به رعایت PCI DSS برای محافظت از اطلاعات مالی بیماران هستند.

8. پلتفرم‌های اشتراک خدمات و مارکت‌پلیس‌ها:

کسب‌وکارهایی که بستری برای پرداخت‌های الکترونیکی میان فروشندگان و خریداران فراهم می‌کنند (مانند اوبر، آمازون و فریلنسری)، باید از این استاندارد تبعیت کنند.

9. شرکت‌های نرم‌افزاری ارائه‌دهنده راهکارهای پرداخت:

توسعه‌دهندگانی که نرم‌افزارهای پرداختی را برای سایر کسب‌وکارها طراحی می‌کنند، باید از PCI DSS پیروی کنند تا امنیت تراکنش‌ها تضمین شود.

سطوح انطباق با PCI DSS

استاندارد PCI DSS برای تسهیل فرایند انطباق، کسب‌وکارها را بر اساس میزان تراکنش‌های سالانه آن‌ها به چهار سطح تقسیم می‌کند. هر سطح الزامات خاصی برای ممیزی، گزارش‌دهی و امنیت اطلاعات دارد. در ادامه، این سطوح را بررسی می‌کنیم:

سطح 1 (Level 1)

حجم تراکنش: بیش از 6 میلیون تراکنش در سال.

کسب‌وکارهای مشمول: بانک‌ها، شرکت‌های بزرگ ارائه‌دهنده خدمات پرداخت و فروشگاه‌های زنجیره‌ای بزرگ.

الزامات:

• ممیزی سالانه توسط یک ارزیاب امنیتی معتبر (QSA)
• اسکن‌های امنیتی سه‌ماهه توسط ارائه‌دهنده خدمات اسکن (ASV)
• ارائه گزارش رسمی انطباق (ROC)
• پیاده‌سازی و مدیریت دقیق رویدادهای امنیتی

سطح 2 (Level 2)

حجم تراکنش: بین 1 تا 6 میلیون تراکنش در سال.

کسب‌وکارهای مشمول: خرده‌فروشی‌های بزرگ، شرکت‌های پرداخت متوسط.

الزامات:

• تکمیل پرسش‌نامه خودارزیابی (SAQ)
• اسکن‌های امنیتی منظم توسط ASV
• در برخی موارد، نیاز به تأیید ارزیابی توسط یک ممیز رسمی

سطح 3 (Level 3)

حجم تراکنش: بین 20 هزار تا 1 میلیون تراکنش در سال.

کسب‌وکارهای مشمول: فروشگاه‌های اینترنتی و پلتفرم‌های آنلاین با اندازه متوسط.

الزامات:

• تکمیل و ارائه SAQ به بانک یا پردازشگر پرداخت
• اجرای اسکن‌های امنیتی دوره‌ای برای شناسایی آسیب‌پذیری‌ها
• گزارش‌گیری دقیق از تراکنش‌ها و بررسی امنیت دوره‌ای

سطح 4 (Level 4)

حجم تراکنش: کمتر از 20 هزار تراکنش در سال.

کسب‌وکارهای مشمول: فروشگاه‌های کوچک، استارتاپ‌ها و مشاغل محلی.

الزامات:

• تکمیل SAQ و ارائه آن به بانک یا پردازشگر
• انجام اسکن‌های امنیتی در صورت درخواست بانک یا شرکت پذیرنده
• توصیه به اجرای اقدامات امنیتی پایه مانند رمزنگاری داده‌ها و مدیریت دسترسی

مزایا و معایب پیروی از استاندارد PCI DSS