ما هو الامتثال PCI؟ البحث عن أفضل استضافة المواقع PCI المتوافقة

01.06.2020
Լավագույն հոստինգ 'ما هو الامتثال PCI؟ البحث عن أفضل استضافة المواقع PCI المتوافقة
0 27 мин.

أفضل استضافة المواقع PCI المتوافقة


صناعة بطاقات الدفع – معايير أمان البيانات (PCI-DSS) هي مجموعة واسعة من المتطلبات التي اعتمدها مجلس معايير أمان PCI ، وهي تهدف إلى ضمان تدابير متسقة لأمان البيانات عبر جميع التجار عبر الإنترنت. ال مجلس معايير الأمن PCI (PCI SSC) تشمل JCB International و American Express و Discover Financial Services و VISA و MasterCard Worldwide. يلتزم أي تاجر على الإنترنت يقبل المدفوعات من خلال شركات بطاقات الائتمان الكبرى بمتطلبات PCI-DSS.

يمكن أن يكون تحقيق الامتثال والحفاظ عليه تجربة محطمة للأعصاب حتى بالنسبة للشركات الكبرى عبر الإنترنت ، ناهيك عن التجار الصغار. لكن التداعيات المكلفة لانتهاك البيانات والفشل في تلبية متطلبات الامتثال تجعل من الضروري لمقدمي الخدمات عبر الإنترنت التأكد من أن عملائهم يتعاملون بشكل آمن.

في هذه المقالة ، نناقش بعض أهم متطلبات الامتثال PCI وكيفية العثور على أفضل استضافة المواقع المتوافقة مع PCI لإدارة إستراتيجية الامتثال PCI بشكل أفضل.

ماذا يعني أن تكون متوافقًا مع PCI?

الامتثال PCI أمر لا بد منه لجميع شركات التجارة الإلكترونية التي تقبل بطاقات الائتمان ، بغض النظر عن الإيرادات وحجم المعاملات. لذلك ، لن يحدد هذان العاملان ما إذا كان عليك الالتزام بقواعد أمان البيانات التي حددتها PCI SSC أم لا ، بالنظر إلى أنه حتى أصغر شركة تجارة إلكترونية تقبل بطاقة الائتمان ملزمة بمعايير PCI-DSS ؛ ومع ذلك ، سيحدد عدد معاملات بطاقة الائتمان / الخصم التي تجريها أعمالك سنويًا أيًا من مستويات الامتثال الأربعة التي يتعين عليك تحقيقها. يواجه المستوى 1 أعلى صعوبة في الامتثال ، وهو معيار أمان يجب أن تحققه شركات التجارة الإلكترونية التي تعالج أكثر من 6000.000 بطاقة ائتمان أو خصم على مدى 12 شهرًا. من ناحية أخرى ، يتحمل المستوى 4 أقل صعوبة في الامتثال ، ويتعلق الأمر بالأعمال التجارية عبر الإنترنت التي تعالج أقل من 20000 معاملة باستخدام بطاقات الائتمان سنويًا.

في حين أن معايير PCI-DSS التي حددتها PCI SSC ليست قانونًا ، فإن الامتثال لهذه المعايير يتم فرضه من قبل شركات الائتمان نفسها. يمكن للشركات التي تم انتهاكها أن تتوقع غرامات كبيرة (5000 دولار – 100000 دولار شهريًا) وعقوبات (فقدان الحق في معالجة مدفوعات بطاقات الائتمان ، وزيادة رسوم معالجة كل معاملة ، والدفع مقابل بطاقات الائتمان التي تم اختراقها بسبب الخرق ، والانتقال حتى مستوى الامتثال ، وما إلى ذلك). يمكن أن تكون هذه الغرامات والعقوبات كارثية على الأعمال التجارية ، ناهيك عن فقدان السمعة التي يمكن أن يعانيها العمل نتيجة لخرق.

على الرغم من أن المعايير التي تم تحديدها والمحافظة عليها بواسطة PCI SSC تتلخص في النهاية في تأمين بيانات حامل البطاقة ، فإن تحقيق التوافق مع PCI يشكل العديد من حواجز الطرق لمتاجر الإنترنت العادي.

فيما يلي ، باختصار ، متطلبات امتثال PCI المغطاة في معايير PCI DSS الكاملة التي يجب على مزودي الخدمة عبر الإنترنت الالتزام بها:

  • بناء وصيانة شبكة آمنة ، والتي تتضمن تكوينات جدار الحماية والموجه ، والاختبارات المتعلقة بها ، وتكرار الاختبار ، وإدارة كلمات المرور الآمنة ؛
  • حماية بيانات حامل البطاقة من خلال تحديد معلمات التخزين والاحتفاظ بالبيانات واستخدام البيانات ومتطلبات التشفير ، وكذلك تحديد تنفيذ بروتوكولات التشفير والأمان (SSL / TLS أو SSH أو IPSec) لحماية بيانات حامل البطاقة عند إرسالها عبر الفتح ، الشبكات العامة ؛
  • تنفيذ برنامج إدارة الثغرات الأمنية ، والذي يتضمن استخدام برنامج مكافحة فيروسات يتم تحديثه بانتظام ونشط في جميع الأوقات ويولد سجلات تدقيق. ومن الجوانب الأخرى لبرنامج إدارة الثغرات الأمنية تطوير وصيانة الأنظمة والتطبيقات الآمنة ، والتي يتم تحقيقها من خلال الالتزام بتوجيهات الترميز الآمنة ومراجعة التعليمات البرمجية التابعة لجهات خارجية أو التطبيقات المخصصة فيما يتعلق بالثغرات الأمنية ؛
  • تنفيذ إجراءات التحكم في وصول المستخدم الآمنة عن طريق حماية البيانات الحساسة من الوصول غير المصرح به ، والحد من الوصول من خلال إعداد التحكم في الوصول المستند إلى الأدوار المحدد جيدًا (RBAC) ، وتعيين معرفات المستخدم الفريدة للتتبع ، باستخدام عمليات المصادقة ذات العاملين ، وتقييد الوصول المادي إلى حامل البطاقة البيانات؛
  • استخدام آليات التسجيل لتتبع ومراقبة الوصول إلى بيانات الشبكة وحامل البطاقة ، وإنشاء مسار تدقيق يجب الاحتفاظ به لمدة عام على الأقل ؛
  • إجراء عمليات فحص أمان الشبكة الداخلية المنتظمة (كل ثلاثة أشهر وبعد كل تغيير أو ترقية أو تعديل هام في الشبكة أو البنية التحتية) ، وإرسالها إلى عمليات المسح ربع السنوية لمورّد الفحص المعتمد (ASV) بعد اجتياز الفحص الأولي للامتثال ، وتنفيذ الأنظمة (الاقتحام) أنظمة الكشف وأنظمة مراقبة الملفات) للتنبيه فيما يتعلق بالتعديل غير المصرح به للملفات المهمة وتسوية النظام
  • إنشاء والحفاظ على سياسة أمن المعلومات التي يجب أن تغطي الجوانب المتعلقة بفحص الموظفين ، وتقييم المخاطر ، وتقييم نقاط الضعف ، والوصول عن بعد ، وما إلى ذلك.

يجب على الشركات التي تفتقر إلى الخبرة و / أو الموارد الداخلية لتنفيذ برنامج امتثال فعال أن تطلب المساعدة من شريك خارجي ومستشار أمني مؤهل ، والذي سيقدم إرشادات فيما يتعلق باستبيان التقييم الذاتي لـ PCI-DSS الذي يجب عليه إكماله ، والمتطلبات هم بحاجة إلى تلبية لمستوى الامتثال ، ونقص البنية التحتية لديهم لحل ، وما إلى ذلك.

يمكن مشاركة بعض عبء تلبية هذه المتطلبات مع شركاء الحلول مثل موفري الاستضافة ، الذين يمكنهم المساعدة في تنفيذ والحفاظ على عناصر التحكم المادية والتحكم في الشبكة والنظام.

كيفية العثور على أفضل استضافة المواقع PCI المتوافقة

يمكن أن يكون اختيار استضافة ويب جيدة مهمة معقدة في حد ذاتها. قد تؤدي إضافة توافق PCI-DSS إلى قائمة متطلباتك إلى جعل العملية أكثر تعقيدًا. فيما يلي أهم الأشياء التي يجب القيام بها عند البحث عن استضافة ويب متوافقة مع PCI:

ناقش مكونات الامتثال PCI التي يقوم بها مضيفك

اسأل مزود استضافة الويب عن مكونات التوافق مع PCI التي يمكنهم التعامل معها من أجلك. على سبيل المثال ، يوضح HostGator بوضوح على موقع الويب الخاص بهم أنه تم تحديث VSP والخوادم المخصصة لتلبية متطلبات التوافق مع الخادم PCI. ومع ذلك ، لن تقدم HostGator الدعم لضمان أن عربات التسوق ، وبرنامج بوابة الدفع ، والمكونات الإضافية لعربة التسوق ، وما إلى ذلك التي يستخدمها موقعك على الويب متوافقة مع PCI ، وبالتالي فإن هذه المهمة ترحمك كمستخدم لهذه الحلول.

احصل على مزيد من التفاصيل حول كل مكون

نظرًا لأن الفشل في تلبية متطلبات الامتثال لـ PCI ينطوي على مجموعة من المخاطر التي من المحتمل أن تهدد وجود عملك ، اقرأ دائمًا التفاصيل الدقيقة للخدمات الإضافية التي تقوم بها الشركة المضيفة في جهودك لتصبح متوافقة مع PCI ، واطلب المزيد من التفاصيل حول التطبيقات المعتمدة الحلول لمعرفة ما إذا كانت هذه الخدمات تتماشى مع متطلبات التوافق مع PCI-DSS. تتخطى الشركات المضيفة مثل Rackspace مجرد تقديم الامتثال لـ PCI الخاص بالخادم من خلال توفير مجموعة من الخدمات الأخرى (مثل جدار الحماية المُدار وشهادات SSL وحلول مكافحة الفيروسات المُدارة وخدمات تقييم الثغرات وجدار حماية تطبيق الويب وما إلى ذلك)..

انظر حول الدعم

إن التنقل في متاهة لتصبح متوافقة مع معايير الصناعة التي تفرضها شركات بطاقات الائتمان هو بلا شك عملية شاقة لأي شخص ، سواء كان ذلك الشركات الصغيرة أو الكبيرة. يمكن أن يساعد الدعم المقدم في مناقشة احتياجاتك والمساعدة في استكشاف الخدمات التي تحتاجها في تقليل تعقيد جهودك في أن تصبح ملتزمًا.

استنتاج

من المهم أن نتذكر أن الامتثال لـ PCI هو مسؤولية مشتركة ، واختيار استضافة متوافقة مع PCI, لا يصبح المرء متوافقًا مع PCI تلقائيًا. يعد الحصول على رؤية واضحة من بداية المسؤوليات التي يتحملها كل شريك في الحلول خطوة مهمة في تحقيق الامتثال والحفاظ عليه.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector