الامتثال لمعايير PCI: التعريف، 12 متطلبًا، الإيجابيات والسلبيات

ما هو الامتثال لمعايير PCI؟

تفرض شركات بطاقات الائتمان الامتثال لمعايير صناعة بطاقات الدفع (PCI) لضمان أمان المعاملات ببطاقات الائتمان في صناعة المدفوعات. يشير الامتثال لمعايير صناعة بطاقات الدفع إلى المعايير التقنية والتشغيلية التي تتبعها الشركات لتأمين وحماية بيانات بطاقات الائتمان المقدمة من حاملي البطاقات والمُرسلة عبر معاملات معالجة البطاقات.

يتم تطوير وإدارة معايير الامتثال من قبل مجلس معايير الأمان PCI.

النقاط الرئيسية

تعتبر الشركات التي تتبع وتحقق معايير أمان بيانات صناعة بطاقات الدفع (PCI DSS) متوافقة مع PCI.
مجلس معايير الأمان PCI مسؤول عن تطوير معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS).
يحتوي معيار PCI DSS على 12 متطلبًا رئيسيًا، و78 متطلبًا أساسيًا، و400 إجراء اختبار لضمان امتثال المؤسسات لمعيار PCI.
الامتثال لمعايير PCI يقلل من خروقات البيانات، ويحمي بيانات حاملي البطاقات، ويتجنب الغرامات، ويحسن سمعة العلامة التجارية.
الامتثال لمعايير PCI ليس مطلوبًا بموجب القانون، ولكنه يُعتبر إلزاميًا من خلال السوابق القضائية.

فهم الامتثال لمعايير PCI

تتحمل لجنة التجارة الفيدرالية (FTC) مسؤولية الإشراف على معالجة بطاقات الائتمان لأنها تندرج تحت الحاجة إلى حماية المستهلك والإشراف. في حين أن الامتثال لمعايير PCI ليس بالضرورة مطلبًا تنظيميًا، إلا أنه يُعتبر إلزاميًا من خلال السوابق القضائية.

بشكل عام، يُعتبر الامتثال لمعايير PCI جزءًا أساسيًا من بروتوكول الأمان لأي شركة بطاقات ائتمان. عادةً ما يكون مفروضًا من قبل شركات بطاقات الائتمان ويتم مناقشته في اتفاقيات شبكات بطاقات الائتمان.

مجلس معايير PCI مسؤول عن تطوير المعايير الخاصة بالامتثال لـ PCI. تنطبق هذه المعايير على معالجة التجار وتم توسيعها أيضًا لتحديد المتطلبات للمعاملات المشفرة عبر الإنترنت. تشمل الكيانات الرئيسية الأخرى المرتبطة بوضع المعايير في صناعة بطاقات الائتمان شبكة جمعيات البطاقات ودار المقاصة الوطنية الآلية (NACHA).

متطلبات الامتثال لمعايير PCI

تتطلب معايير الامتثال لـ PCI من التجار والشركات الأخرى التعامل مع معلومات بطاقات الائتمان بطريقة آمنة تساعد في تقليل احتمالية سرقة معلومات الحساب المالي الحساسة لحاملي البطاقات. إذا لم يتعامل التجار مع معلومات بطاقات الائتمان وفقًا لمعايير PCI، فقد يتم اختراق معلومات البطاقة واستخدامها في العديد من الأنشطة الاحتيالية. بالإضافة إلى ذلك، يمكن استخدام المعلومات الحساسة عن حامل البطاقة في احتيال الهوية.

يعني الامتثال لمعايير PCI الالتزام باستمرار بمجموعة من الإرشادات التي وضعتها مجلس معايير PCI. يتم تنظيم الامتثال لمعايير PCI من قبل مجلس معايير PCI، وهي منظمة تأسست في عام 2006 لإدارة أمان بطاقات الائتمان.

المتطلبات التي وضعها المجلس تُعرف باسم معايير أمان بيانات صناعة بطاقات الدفع (PCI DSS). تحتوي PCI DSS على 12 متطلبًا رئيسيًا، و78 متطلبًا أساسيًا، وأكثر من 400 إجراء اختبار.

كيفية الامتثال لمعايير PCI

للتوافق مع إرشادات PCI، يجب على التجار والشركات اتباع خطوات الأمان. تشمل الخطوات الرئيسية الاثنتي عشرة ما يلي:

تنفيذ الجدران النارية لحماية البيانات
الحماية المناسبة لكلمة المرور (مثل المصادقة الثنائية 2FA)
حماية بيانات حامل البطاقة
تشفير بيانات حامل البطاقة المرسلة
استخدم برامج مكافحة الفيروسات والبرامج الضارة.
قم بتحديث البرامج وصيانة أنظمة الأمان بانتظام.
تقييد الوصول إلى بيانات حامل البطاقة
معرفات فريدة تُمنح للأشخاص الذين لديهم حق الوصول إلى البيانات.
تقييد الوصول المادي إلى تخزين البيانات
إنشاء ومراقبة سجلات الوصول
اختبار أنظمة الأمان بشكل منتظم
قم بإنشاء سياسة موثقة يمكن اتباعها.

أحدث إصدار من PCI DSS تم إصداره في مارس 2022 ويُشار إليه بالإصدار 4.0. بشكل عام، تحدد الأهداف الستة والمتطلبات الاثني عشر سلسلة من الخطوات التي يجب على معالجي بطاقات الائتمان اتباعها باستمرار. يُطلب من الشركات أولاً تقييم شبكاتها وأنظمتها المتعلقة ببنية تكنولوجيا المعلومات التحتية، والعمليات التجارية، وإجراءات التعامل مع بطاقات الائتمان.

فوائد الامتثال لمعايير PCI

الصيانة المستمرة وتقييم أي ثغرات أمنية أمران مهمان للغاية أيضًا لتجنب سرقة معلومات حساسة لحاملي البطاقات، مثل أرقام الضمان الاجتماعي ورخص القيادة، كلما كان ذلك ممكنًا.

تُطلب من الشركات تقديم تقارير الامتثال بانتظام كجزء من اتفاقيات معالجة البطاقات. يُعتبر المراقبة والتقييمات والتدقيقات لمعايير أمان بيانات صناعة بطاقات الدفع جزءًا مهمًا من قسم الأمان في الشركة.

يجب على جميع الشركات التي تعالج معلومات بطاقات الائتمان الحفاظ على الامتثال لمعايير PCI كما هو موجه في اتفاقيات معالجة البطاقات الخاصة بها. يُعتبر الامتثال لمعايير PCI هو المعيار الصناعي، وإجراء الأعمال بدونه يمكن أن يؤدي إلى غرامات كبيرة بسبب انتهاكات الاتفاقيات والإهمال. كما تكون الشركات عرضة بشكل كبير للسرقة والاحتيال واختراق البيانات بدون الامتثال لمعايير PCI.

تشمل فوائد الامتثال تقليل مخاطر اختراق البيانات، وحماية بيانات حاملي البطاقات، وبالتالي تجنب فرص سرقة الهوية. من الجيد أن تكون الشركات ملتزمة بالامتثال لأنه يقلل من أي غرامات تتعلق باختراق البيانات، ويساعد في تحسين سمعة العلامة التجارية للشركة السمعة، ويحافظ على رضا العملاء وثقتهم بأنهم يتعاملون مع شركة مسؤولة، مما يؤدي إلى ولاء العلامة التجارية.

في النصف الأول من عام 2024، تم الكشف عن 7 مليارات سجل من خلال خروقات البيانات. وفقًا لتحقيق أمني في عام 2023، كانت سبعة وتسعون بالمئة من الخروقات مدفوعة بدوافع مالية. ومع توقع أن يصل سوق الأمن المعلوماتي العالمي إلى 425 مليار دولار في عام 2030، فإن المخاطر المالية تزداد. حماية بيانات حاملي البطاقات ليست فقط جيدة للأعمال التجارية، بل هي أيضًا الأمر الصحيح الذي يجب القيام به، لضمان عدم تعرض الناس لأي ضرر سلبي أو خسارة مالية.

سلبيات عدم الامتثال لمعايير PCI

الامتثال لمعايير PCI إلزامي إذا كنت أنت أو عملك تتعامل مع معلومات معاملات بطاقات الائتمان. بالإضافة إلى زيادة خطر التعرض لاختراق البيانات، قد تكون عرضة أيضًا لغرامات وعقوبات وفقدان القدرة على معالجة بيانات بطاقات الائتمان في المستقبل. قد تختار البنوك وشركات الدفع أيضًا عدم التعامل معك ما لم تكن متوافقًا مع معايير PCI. يمكن أن يؤدي ذلك إلى فقدان المبيعات وتشويه صورة العلامة التجارية.

يمكن أن تصل غرامات عدم الامتثال إلى 500,000 دولار لكل حادثة أو اختراق لأمن بيانات PCI. بالإضافة إلى ذلك، يجب إخطار جميع الأفراد الذين يُعتقد أن معلوماتهم قد تعرضت للاختراق كتابيًا ليكونوا على علم بالرسوم الاحتيالية.

أمثلة على الامتثال لمعايير PCI وتسريبات البيانات

الامتثال لمعايير PCI يساعد في تجنب الأنشطة الاحتيالية ويخفف من حوادث اختراق البيانات. تقدم شركة Verizon تقييمًا سنويًا لأمن المدفوعات في تقريرها "تقرير أمن المدفوعات من Verizon". يخصص تقرير 2022 قسمًا كاملاً لمعايير PCI DSS، بعنوان "حالة الامتثال لمعايير PCI DSS، النتائج الرئيسية". تتضمن بعض النقاط البارزة لمعايير PCI DSS من "تقرير أمن المدفوعات من Verizon لعام 2022" ما يلي:

43.4% من المؤسسات كانت تحافظ بنشاط على برامج PCI DSS في عام 2020.
زادت الامتثال في منطقة آسيا والمحيط الهادئ، ويرجع ذلك جزئيًا إلى زيادة الإبلاغ عن البيانات.

ماذا يعني الامتثال لمعايير PCI؟

الامتثال لمعايير PCI يعني أن أي شركة أو منظمة تقبل أو تنقل أو تخزن البيانات الخاصة بحاملي البطاقات تكون متوافقة مع مختلف التدابير الأمنية التي وضعتها مجلس معايير الأمان PCI لضمان الحفاظ على البيانات آمنة وسرية.

هل الامتثال لمعايير PCI مطلوب قانونًا؟

لا يوجد تفويض تنظيمي يتطلب الامتثال لمعايير PCI، ولكنه يُعتبر مع ذلك إلزاميًا من خلال السوابق القضائية.

كيف أحصل على الامتثال لمعايير PCI؟

لكي تصبح متوافقًا مع PCI، يجب عليك أولاً تحديد أي استبيان تقييم ذاتي تحتاج إلى اتباعه لتحقيق الامتثال. بمجرد الانتهاء من الاستبيان، تحتاج إلى إكمال والاحتفاظ بدليل على اجتياز فحص الثغرات الأمنية مع بائع مسح معتمد من PCI SSC. ينطبق المسح فقط على بعض التجار. بعد ذلك، ستحتاج إلى إكمال شهادة الامتثال. ستكون الخطوة الأخيرة هي تقديم جميع المعلومات المذكورة أعلاه.

من يجب أن يكون متوافقًا مع PCI؟

أي شركة أو منظمة تقبل أو تنقل أو تخزن البيانات الخاصة بحاملي البطاقات.

الخلاصة

يشير الامتثال لمعايير PCI إلى المعايير التقنية والتشغيلية التي وضعتها مجلس معايير الأمان PCI والتي تحتاج المنظمات إلى تنفيذها والحفاظ عليها. الهدف من الامتثال لمعايير PCI هو حماية بيانات حاملي البطاقات، وينطبق ذلك على أي منظمة تقبل أو تنقل أو تخزن تلك البيانات. الامتثال لمعايير PCI هو ممارسة تجارية جيدة لأنه يضع سلامة بيانات المستهلك في المقام الأول ويفيد المنظمة أيضًا من خلال تعزيز سمعة العلامة التجارية بشكل إيجابي.

المصادر

[1]PCI Security Standards Council. ": Document Library

[2]Varonis. ": 157 Cybersecurity Statistics and Trends for 2024

[3]University of California Santa Cruz. ": PCI-DSS: Security - Penalties

[4]PCIComplianceGuide. ": The PCI Basics and Quick Guide

#التمويل الشخصي #بطاقة ائتمان #تعريفات بطاقات الائتمان