راه پرداخت
رسانه فناوری‌های مالی ایران

وقتی کلاه کارت‌های بانکی برداشته نمی‌شود

حفاظت از داده‌های دارنده کارت با استفاده از استاندارد امنیتی PCI؛

معضلی که متاسفانه امروزه شاهدش هستیم، تبدیل شدن مراکز مرتبط با عملیات الکترونیکی بانکی به طعمه‌ای جذاب و هوس‌انگیز برای کلاهبرداری‌های مالی است. بعضی اوقات سهل‌انگاری امنیتی توسط برخی از این مراکز به راحتی مجرمان را قادر به سرقت و استفاده از اطلاعات شخصی مالی افراد با تمرکز بر تراکنش‌ها و سیستم‌های مالی مرتبط با کارت‌های پرداخت می‌کند.

برای یک پذیرنده کارت (Merchant) که فعالیت‌هایش از طریق کارت‌های پرداخت الکترونیکی انجام می‌شود، استفاده از روال‌ها و فناوری‌های استاندارد امنیتی به منظور جلوگیری از سرقت داده‌های دارنده کارت گریزناپذیر است.

آسیب‌پذیری‌های مرتبط با پذیرنده کارت‌ در هر نقطه‌ا‌ی از چرخه پردازش کارت شامل تجهیزات POS، رایانه‌های شخصی یا سرویس‌دهنده‌ها، ارتباطات بی‌سیم و برنامه‌های کاربردی مختص خرید وب‌محور، در سیستم‌های ذخیره‌سازی کاغذی و ارسال ناامن داده‌های دارنده کارت به فراهم‌کنندگان سرویس، می‌توانند وجود داشته باشند. این آسیب‌پذیری‌ها حتی تا سیستم‌های تحت اختیار فراهم‌کنندگان سرویس و نهادهای مالی و اعتباری (acquirer) (موسسات مالی ایجادکننده و نگهدارنده ارتباطات با پذیرندگان کارت‌ که قبول‌کننده کارت‌های پرداخت هستند) نیز می‌توانند گسترش یابند.

تطابق با استاندارد (Payment Card Industry (PCI) Data Security Standard (DSS به کاهش این آسیب‌پذیری‌ها و حفاظت از داده‌های دارنده کارت کمک بسزایی می‌کند.

هدف از این نوشتار آشنایی با مفاهیم پایه و اهداف استاندارد PCI DSS است.

 

سه گام اصلی برای تطابق با PCI DSS عبارتند از:

• ارزیابی: شناسایی داده‌های دارنده کارت و ایجاد فهرست دارایی‌های مرتبط با فناوری اطلاعات و فرآیند‌های کاری مرتبط با پردازش کارت پرداخت و تحلیل آن‌ها جهت شناسایی آسیب‌پذیری‌هایی که ممکن است داده‌های دارنده‌ کارت را افشا کنند.

• اصلاح: رفع آسیب‌پذیری‌ها و عدم ذخیره داده‌های دارنده کارت مگر در صورت نیاز

•گزارش: ایجاد و ارائه شواهد معتبر بودن راه‌حل و ارائه گزارش تطبیق به بانک مرتبط و ارائه‌دهنده کارت

PCI DSS گام‌های متداول- انعکاس‌دهنده روش‌های امنیتی که در عمل بهترین نتیجه از آن‌ها حاصل شده است- را جهت تامین امنیت دنبال می‌کند. این استاندارد به صورت جهانی باید روی تمام نهاد‌هایی که داده‌های دارنده کارت را ذخیره کرده، پردازش می‌کنند یا انتقال می‌دهند، اعمال شود. استانداردPCI DSS و استانداردهای امنیتی مرتبط توسط شورای استانداردهای امنیتی صنعت پرداخت کارت الکترونیکی

(PCI Security Standards Council) که توسط شرکت‌های زیر ایجاد و پشتیبیانی شده است، مدیریت می‌شود:

• American Express،

• Discover Financial Services،

• JCB International،

• MasterCard Worldwide and

• Visa Inc

سازمان‌های دخیل شامل پذیرنگان کارت، بانک‌های صادرکننده کارت‌های پرداخت، پردازش‌کنندگان کارت‌ها و توسعه‌دهندگان نرم‌افزارهای مرتبط هستند.

 

بررسی اجمالی نیازمندی‌های PCI

استاندارد‌های امنیتی PCI نیازمندی‌های فنی و عملیاتی هستند که توسط شورای استانداردهای امنیتی PCI با نام اختصاری PCI SSC وضع شده‌اند. این استاندارد‌ها روی تمام نهاد‌هایی که داده‌های دارنده کارت را ذخیره کرده، پردازش می‌کنند یا انتقال می‌دهند- به همراه راهنما برای توسعه‌دهندگان نرم‌افزار‌ها و تولیدکنندگان برنامه‌های کاربردی و تجهیزاتی که برای این تراکنش‌ها مورد استفاده قرار می‌گیرد- باید اعمال شوند. این شورا متولی مدیریت استانداردهای امنیتی در این حوزه است، در حالی که تطابق با مجموعه استانداردهای PCI توسط اعضای سرمایه‌گذار اجرایی می‌شود.

PCI DSS و حفاظت از داده‌های پرداخت دارنده کارت

PCI شامل استاندارد‌های زیر است:

• استاندارد امنیت داده‌ها (PCI Data Security Standard):

این استاندارد‌ها روی تمام نهاد‌هایی که داده‌های دارنده‌ کارت را ذخیره کرده، پردازش می‌کنند و یا انتقال می‌دهند، باید اعمال شود. این استاندارد اجزای فنی و عملیاتی سیستم را که مرتبط با مجموعه داده‌های دارنده کارت هستند پوشش می‌دهد. هر پذیرنده کارت که کارت‌های پرداخت را قبول یا پردازش می‌کند باید مطابق با PCI DSS باشد.

• نیازمندی‌های امنیتی تراکنش (PIN Transaction Security-PTS)

PCI PTS مجموعه‌ای از نیازمندی‌هاست که بر ویژگی‌ها و مدیریت تجهیزات مورد استفاده در حفاظت از PIN دارنده کارت و دیگر فعالیت‌های مرتبط با فرآیند پرداخت تمرکز دارد. بانک‌ها و پذیرندگان کارت و دیگر مراکز مرتبط باید تنها از تجهیزات یا اجزای بررسی و تاییدشده توسط PCI SSC استفاده کنند.

• استاندارد امنیت داده‌ها- برنامه‌ کاربردی پرداخت (Payment Application Data Security Standard (PA-DSS)):

PA-DSS برای توسعه‌دهندگان برنامه‌های کاربردی پرداخت که بعد از فروش به مراکز مالی مرتبط فعالیت‌هایی همچون ذخیره‌سازی، پردازش و انتقال داده‌های دارنده کارت را انجام می‌دهند، قابل اعمال است.

 

اهداف نیازمندی‌های PCI DSS

همان‌طور که پیش‌تر نیز اشاره شد هدف اصلی استاندارد حفاظت از اطلاعات اصلی دارندگان کارت است. این هدف از طریق نیازمندی‌های مندرج در جدول زیر دنبال می‌شود:

 

فرآیند‌ها و کنترل‌های امنیتی برای نیازمندی‌های PCI DSS

هدف نهایی استاندارد امنیت داده‌ صنعت پرداخت از طریق کارت (PCI DSS)، حفاظت از داده‌های دارنده کارت در تمامی مراحل پردازش، ذخیره و انتقال داده‌هاست. فرآیند‌ها و کنترل‌های امنیتی مورد نیاز برای PCI DSS، برای حفظ داده‌های حساب دارنده کارت حیاتی هستند و از جمله این داده‌ها می‌توان به شماره اصلی حساب PAN (Primary Account Number) که روی کارت چاپ می‌شود، اشاره کرد. پذیرندگان کارت و هر تامین‌کننده دیگری که در فرآیند پردازش پرداخت دخیل هستند هرگز نباید داده‌های حساس تصدیق هویت را بعد از فرآیند اعطای مجوز، ذخیره کنند. این داده‌های حساس شامل ‌مواردی است که روی کارت چاپ و روی نوار مغناطیسی/تراشه ذخیره شده‌اند و همچنین شماره شناسه فردی (PIN) که توسط دارنده کارت ثبت می‌شود.

در ادامه اهداف PCI DSS و ۱۲ نیازمندی مرتبط با آن ارائه شده است؛

 

ساخت و نگهداشت شبکه امن

در گذشته سارقان اطلاعات مالی نیازمند بودند به صورت فیزیکی به محل کسب‌ و کار سازمان مورد نظر دسترسی داشته باشند اما امروزه بسیاری از تراکنش‌های مالی تنها با استفاده از دستگاه‌های ورودی برای PIN و کامپیوترهای متصل به شبکه صورت می‌پذیرند. با استفاده از کنترل‌های امنیتی شبکه می‌توان مانع از بروز رخداد‌ها و سرقت‌ها به واسطه دسترسی به شبکه‌های نظام پرداختی بانک‌ها و موسسات مالی و افشای داده‌های دارنده کارت شد.

 

حفاظت از داده‌های دارنده کارت

داده‌های دارنده کارت به هر نوع اطلاعاتی که روی کارت ذخیره شده؛ از اطلاعات چاپ‌شده روی کارت گرفته تا اطلاعات پردازش شده و انتقال‌یافته، اطلاق می‌شوند. نهادهای پذیرنده کارت ملزم به حفاظت از داده‌های دارنده کارت و جلوگیری از استفاده بدون مجوز آن هستند؛ خواه داده‌ها روی کارت چاپ یا به صورت محلی ذخیره شده باشند و خواه اینکه از طریق شبکه عمومی به یک سرور یا خدمات‌دهنده انتقال داده شوند.

 

برقراری و نگهداشت برنامه مدیریت آسیب‌پذیری

مدیریت آسیب‌پذیری، فرآیندی است که به صورت نظاممند و مداوم به کشف ضعف‌ها در نظام زیرساخت نهادهای صنعت پرداخت الکترونیکی می‌پردازد. این فرآیند شامل روال‌های امنیتی، طراحی و پیاده‌سازی سامانه و کنترل‌های داخل سازمانی است که می‌توانند منجر به سوءاستفاده از نقایص نظام و روال‌های امنیتی نهاد‌ها شود.

 

پیاده‌سازی تدابیر مستحکم کنترل دسترسی

کنترل‌های امنیتی این امکان را به فروشندگان می‌دهد تا اجازه دسترسی یا عدم آن را جهت استفاده از وسایل فیزیکی یا مجازی برای دستیابی به PAN و سایر داده‌های دارنده کارت، مدیریت کنند. مجوزهای دسترسی باید بر اساس مبانی خط‌ مشی‌هایی که منطق کسب ‌و کار برای هر نقش تعیین شده‌اند، تعریف شود. کنترل‌های دسترسی فیزیکی مستلزم استفاده از قفل‌ها و محدودیت‌های دسترسی به اطلاعات کاغذی دارنده کارت و سیستم‌های سخت‌افزاری است. کنترل‌های دسترسی مجازی، مجاز یا غیرمجاز بودن استفاده از دستگاه‌های ورودی PIN، شبکه بی‌سیم، کامپیوتر‌ها و سایر دستگاه‌ها را تعیین می‌کند. همچنین این کنترل‌ها، دسترسی به فایل‌های دیجیتالی حاوی اطلاعات دارنده کارت را شامل می‌شود.

 

پایش و آزمون منظم شبکه‌ها

شبکه‌های فیزیکی بی‌سیم و باسیم نقطه اتصال کاربران (endpoints) و سرور‌ها در زیرساخت پرداخت الکترونیکی هستند. وجود آسیب‌پذیری در تجهیزات شبکه و سیستم‌ها فرصت مناسبی برای سارقان جهت اخذ دسترسی غیرمجاز به داده‌های دارندگان کارت و برنامه‌های پرداخت الکترونیکی را فراهم می‌کنند. از همین حیث پایش و آزمون شبکه‌های سازمان‌ها و نهاد‌ها به صورت منظم جهت کشف و اصلاح آسیب‌پذیری کاملا ضروری است.

 

برقراری و نگهداشت خط‌ مشی امنیتی اطلاعات

روال‌های امنیتی جامع، پشتوانه امنیت کل سازمان متبوع است و همکاران را از وظایف خطیر خود در قبال حفظ امنیت مطلع می‌سازد. تمامی کارکنان یک سازمان باید از حساسیت داده‌های دارندگان کارت آگاه و در مقابل حفاظت از آن مسوول باشند.

 

نحوه پیاده‌سازی PCI DSS

فروشندگان و سایر نهادهایی که داده‌های دارندگان‌ کارت را ذخیره، پردازش و جابه‌جا می‌کنند، باید به استقرار استاندارد PCI DSS همت گمارند. در حالی که انجمن تدوین‌کننده استاندارد مسوول استانداردهای امنیتی داده‌ها هستند، هر نهاد دخیل در پرداخت الکترونیکی باید اجرای برنامه‌های جداگانه خود را رعایت کند. هر نهاد باید برای تایید انطباق با استاندارد و گزارش‌دهی آن نیازمندی‌های مختص خود را تعریف کند. این نیازمندی‌ها می‌تواند شامل مقرراتی برای اجرای ارزیابی‌های داخلی و تعامل با QSA باشد. بسته به طبقه‌بندی و سطح مخاطرات هر نهاد (که بر اساس ارزیابی‌های آن عنوان می‌شود)، فرآیند‌ها جهت تایید انطباق بر استاندارد و گزارش به موسسات مالی درخواست‌کننده معمولا شامل گام‌های زیر است:

۱. تعیین حوزه PCI DSS: شناسایی اجزایی از سیستم باید که در پیاده‌سازی PCI DSS بررسی شود.

۲. ارزیابی: ارزیابی انطباق اجزای شناسایی‌شده با استاندارد

۳. کنترل‌های جبرانی: ارزیاب‌، فرآیندها/روش‌های جایگزین را تایید می‌کند.

۴. گزارش‌دهی: ارزیاب/نهاد مرتبط، مستندات مورد نیاز را ارائه می‌کند.

۵. شفاف‌سازی: ارزیاب/نهاد، گزارش‌ها را (در صورت امکان) به تقاضای بانک متقاضی یا نهاد پرداخت الکترونیک شفاف/به‌روز کند.

منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.