راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

امنیت و انعطاف بیشتر در ویرایش ۴.۰ استاندارد امنیت اطلاعات صنعت پرداخت

سازمان‌هایی که استاندارد امنیت اطلاعات در صنعت پرداخت کارت را سرلوحه فعالیت‌ها قرار داده‌اند و آگاه‌سازی مستمر بر امنیت داده‌های خود و تحقیق و توسعه برای یافتن روش‌ها عاملانه حفظ ثبات و امنیت شبکه (پرداخت) را با اولویت در دستور کار قرار داده‌اند، لاجرم، موفقیت چشم‌گیری را در بازار به معرض ظهور می‌گذارند

محمد دماوندی، کارشناس نظارت و امنیت / به‌منظور حصول اطمینان از صحت و امنیت در زمینه انتقال، پردازش و ذخیره‌سازی اطلاعات کارت، انطباق با استانداردهای امنیتی، در رأس آن، استاندارد امنیت اطلاعات صنعت پرداخت، نقش تعیین‌کننده‌ای را داراست.

هرگونه عدم انطباق با افزایش مخاطره نشت اطلاعات می‌تواند برای درآمد و مشتریان و اعتبار برند و اعتماد بازار و در نهایت تهدیدی جدی برای امنیت ملی و صنعت پرداخت، منجر به فاجعه شود. علی‌رغم این مخاطره جدی، بر اساس تحقیقات اخیر، تنها ۲۷ درصد از شرکت‌ها و سازمان‌های جهانی در سال ۲۰۱۹ مطابقت کامل با استاندارد PCI DSS داشته‌اند. این سومین سال پیاپی است که صنعت پرداخت شاهد سیر نزولی این آمار است. علاوه بر این سیر مستمر کاهشی، در میانه سال ۲۰۲۱ انتظار می‌رود که ویرایش فعلی استاندارد امنیت اطلاعات صنعت پرداخت (۳.۲.۱) با ویرایش ۴.۰، با زمان گذار بیشتر، جایگزین شود.

هرچند با رسیدن به پایان سال، فصل داغ خریدوفروش با حضور پاندمیک سراسری، رونق چندانی ندارد، سازمان‌ها نمی‌توانند مخاطرات عدم انطباق با الزامات ویرایش ۳.۲.۱ امنیت را نادیده بگیرند. هرگونه عدم انطباق و سهل‌انگاری در انطباق، نقصی برای محافظت از اطلاعات حساس کارت محسوب می‌شود که آن را به هدفی آسان برای مجرمان سایبری تبدیل می‌کند. رونق تراکنش‌های اینترنتی، در تعطیلات، بر اساس آمار گذشته حاکی از افزایش حملات سایبری است و سازمان‌هایی که تمرکز خود بر الزامات را از دست می‌دهند، نرخ مخاطره بیشتری در میان فعالان صنعت را رقم می‌زنند. پس نهادهای مرتبط، درباره ویرایش ۴.۰ استاندارد امنیت اطلاعات لازم است به چه مواردی دقت کنند و آیا عاملان برای این به‌روزرسانی آماده هستند؟


افزایش مخاطرات و موارد جدید


صنعت پرداخت و مؤسسات پولی و مالی همیشه هدف اصلی هکرها و مهاجمان بدخواه بوده است. در سال گذشته کمیسیون معاملات فدرال آمریکا، بیشتر ۲۷۱,۰۰۰ گزارش کلاهبرداری سایبری را دریافت کرده است و این رشد با افزایش تمایل کاربران و مشتریان به پرداخت الکترونیک، بیش‌ازپیش خواهد بود.

هدف و شاکله اصلی استاندارد امنیت اطلاعات صنعت پرداخت، محافظ است اطلاعات دارندگان کارت است و در ویرایش ۴.۰ همین رویکرد زیربنای اصلی برای امنیت اطلاعات کارت محسوب می‌شود. انجمن استانداردهای امنیت صنعت پرداخت، به‌عنوان پیشرو در این حوزه، همواره در حال ارزیابی چگونگی رشد و بهبود استاندارد برای هم‌راستایی با تغییرات فناوری، روش‌های کاهش مخاطرات و چشم‌انداز تهدیدات است.

همچنین، این انجمن به دنبال روش‌هایی برای ایجاد انعطاف بیشتر برای انطباق و امنیت پرداخت است تا سازمان‌ها از طیف گسترده‌ای از کنترل‌ها و روش‌ها برای رسیدن به اهداف امنیتی، بهره‌مند شوند.

هدف کلی ویرایش ۴.۰ عبارت‌اند از:

  • حصول اطمینان از استمرار تطابق با الزامات امنیت صنعت پرداخت
  • افزایش انعطاف و پوشش روش‌های جایگزین برای نیل به امنیت
  • ترویج امنیت به‌عنوان فرایندی مستمر
  • بهبود روش‌ها و روال‌های تصدیق و اعتبارسنجی

با افزایش تمایل و تعامل بین مشتریان و کسب‌وکارها برای فعالیت برخط (Online) و نیاز تطابق با الزامات امنیت این حوزه بیش‌ازپیش آشکار شده است. دارندگان کارت و مشتریان در هر تراکنش اطلاعات محرمانه خود را به اشتراک می‌گذارند و باتوجه‌به انتشار این اطلاعات حساس در شبکه‌های متفاوت (هرچند به‌صورت رمز شده)، انتظار دارند که کسب‌وکارها و شرکت‌های ارائه‌دهنده خدمات پرداخت، مدیریت تعامل این دست از داده‌ها را به روشی امن، تضمین کنند.

با پیاده‌سازی ویرایش ۴.۰ الزامات امنیت، سازمان تأکید بیشتری بر امنیت به‌عنوان فرایندی مستمر با هدف تسهیل از فعالیت‌های مدیریت اطلاعات و تلفیق آن در استقرار امنیت و حفظ انطباق را تجربه خواهد کرد. درحالی‌که ویرایش ۴.۰ الزامات امنیت، همچنان در حال بررسی و مشورت با خبرگان صنعت است، سازمان‌ها و نهاد برای چنین تغییرات احتمالی آماده باشند:

  • احراز هویت با تأکید بر آخرین راهنمای رمز و احراز هویت چندگانه
  • گسترش کاربری اطلاعات رمزنگاری شده داده‌های دارنده کارت در شبکه‌های مورد اعتماد
  • الزامات پایش با توجه پیشرفت فناوری
  • تناوب بهتری برای آزمون کنترل‌های حیاتی

درخواست دوم برای نظرخواهی تخصصی همچنان ادامه دارد و انتظار می‌رود تا میانه سال ۲۰۲۱ سند الزامات امنیت ویرایش ۴.۰ آماده شود. با هدف بهبود در فرایند مدیریت بودجه و تغییرات سازمانی برای رسیدن انطباق با این نسخه، انجمن دوره گذار ۱۸ ماه را پس از انتشار نهایی در نظر گرفته است.

غنیمت شمردن این بازه زمانی بسیار مهم است بنابراین لازم است سازمان‌ها برای به‌روزرسانی قالب گزارش‌ها و فرم‌ها و هر روش جاری مستمر حفظ انطباق برای پوشش تغییرات جدید، برنامه‌های منسجمی را در دستور کار قرار دهند.


راهنمای حفظ و تثبیت انطباق با الزامات امنیت صنعت پرداخت


بهترین توصیه، حفظ انطباق کامل با ویرایش جاری الزامات است. این رویکرد، بستر و بنیان مناسبی را برای اعمال تغییرات نسخه آتی فراهم می‌کند. با انتشار استاندارد در سال ۲۰۲۱، بنابراین سازمان‌ها می‌توانند با ارزیابی داخلی و آمادگی شبکه پرداخت به استقبال هرگونه تغییراتی بروند. استاندارد امنیت اطلاعات صنعت پرداخت، تا به امروز یکی از جزئی‌ترین و توصیه‌شده‌ترین الزامات امنیت است و انتظار می‌رود در نسخه ۴.۰ جامعیت بیشتری نسبت به ویرایش پیشین به چشم بخورد.

با انجام بیش از میلیون‌ها تراکنش روزانه، سازمان‌ها و کسب‌وکارها در لحظه حجم انبوهی از داده‌هایی را که لازم است محافظت کنند را ذخیره و منتشر می‌کنند. حتی برای شرکت‌ها و نهادهایی با انطباق کامل بر اساس نسخه ۳.۲.۱، ایجاد نمایی جامع از استراتژی‌های ممانعت از نقض دارایی‌ها، خلأهای امنیتی و تهدیدات، امری حیاتی محسوب می‌شود. برای رسیدن به این درک جامع و آمادگی برای انطباق حداکثری با ویرایش ۴.۰ استاندارد، گام‌های زیر پیشنهاد می‌شود:

  • انجام بررسی و پاک‌سازی داده‌ها: با اجرای یک فرایند دقیق و عمیق کشف و پاک‌سازی همه اطلاعات در کل شبکه، سازمان می‌تواند فرضیات روش‌های مدیریت داده‌ها را محدود کند. این مکاشفه برای سازمان‌ها، دید جامع‌تری نسبت به نقاط قوت و آسیب‌پذیر شبکه به همراه درک بهتری از گردش داده‌های محرمانه در تمامی مخارج شامل و نه محدود به داده‌ها ساخت‌یافته، داده‌های غیر ساخت‌یافته در داخل و خارج را ارائه می‌کند تا از صحت روش‌های مدیریت داده‌ها اطمینان حاصل شود.
  • تصویب استراتژی‌هایی برای ترویج اخذ تصمیمات هوشمند بر اساس داده‌ها: زمانی که سازمان به نحوه گردش داده‌ها در محیط خود و محل استقرار آنها پی می‌برد، می‌تواند با ذهنیتی واقعی سیاست‌ها و استراتژی‌هایی را تصویب کند که حریم داده‌ها را در اولویت قرار داده است. حریم داده‌ها وابستگی مستقیم به کارمندان دارد و لازم است برای آموزش و آگاهی دوره‌های آموزشی برگزار شود تا همکاران به نقش مهمی که در امنیت سازمان ایفا می‌کنند، واقف شوند.
  • نقش مدیر امنیت به‌عنوان راهبر اصلی انطباق: با وجود میانگین ۱۳ حوزه متفاوت برای حفظ انطباق با الزامات، چنین کاری شکستن شاخ غول است؛ بنابراین برای سازمان‌ها انتصاب مدیر حفظ انطباق امنیت به‌منظور داشتن دید جامع و کاملی از فعالیت‌ها، غیرقابل‌انکار است. مدیر امنیت، همواره به دنبال تبدیل‌شدن به خبره در حوزه استاندارد است و توأمان استقرار ویرایش ۴.۰ را تثبیت می‌کند.

تقریباً ۱۵ سال از اولین انتشار استاندارد امنیت اطلاعات صنعت پرداخت کارت می‌گذرد و از آن زمان مشتریان و کسب‌وکارها، رشد فزاینده‌ای را در حجم تراکنش‌ها و فعالیت‌های برخط با استفاده از کارت را رقم زده‌اند. به همین دلیل اهمیت این استاندارد روزبه‌روز بیشتر درک می‌شود و استقرار و تثبیت آن حیاتی‌تر از قبل شده است.

بر اساس آنچه در این مطلب ارائه شد، سازمان‌هایی که استاندارد امنیت اطلاعات در صنعت پرداخت کارت را سرلوحه فعالیت‌ها قرار داده‌اند و آگاه‌سازی مستمر بر امنیت داده‌های خود و تحقیق و توسعه برای یافتن روش‌ها عاملانه حفظ ثبات و امنیت شبکه (پرداخت) را با اولویت در دستور کار قرار داده‌اند، لاجرم، موفقیت چشم‌گیری را در بازار به معرض ظهور می‌گذارند و با به‌دست‌آوردن اعتماد مشتریان و ذی‌نفعان و کارمندان نقش مهمی در امنیت جامعه ایفا می‌کنند.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.