Skip to main content

5 تلميحات لسهولة التوافق مع معيار PCI

قد يبدو امتثال PCI وكأنه صورة غامضة إذا كنت تاجرًا صغيرًا ، ولكنك تتجاهله على مسؤوليتك. يحمل عدم الامتثال للمعايير الأمنية التي وضعها مجلس معايير الأمان في صناعة بطاقات الدفع (PCI) عقوبات تتراوح بين 5000 دولار إلى 100000 دولار شهريًا.

يمكن تنزيل معايير أمان بيانات PCI (DSS) والعديد من المستندات الداعمة الأخرى بسهولة من موقع المجلس ، ولكن بالنسبة للشركات الصغيرة دون الحاجة إلى متخصص في أمن تكنولوجيا المعلومات ، فإن المتطلبات يمكن أن تكون محيرة. ومع ذلك ، هناك بعض الأشياء التي يمكنك القيام بها لتخفيف عملية الامتثال والتدابير الأمنية التي تمليها. على الرغم من أنني لا زلت أقترح تعيين مستشار أمان مؤهل (QSA) ، يمكن لهذه النصائح توجيهك إلى الاتجاه الصحيح.

لا تخزن أي بيانات حامل البطاقة

لتبسيط إجراءات الأمان المطلوبة بشكل كبير لمطابقة PCI ، لا حفظ أو تخزين أي بيانات حامل البطاقة في شكل مكتوب أو رقمي. استخدم قارئ البطاقات و / أو نقاط البيع و / أو معالج الدفع الذي لا يحتفظ بهذه المعلومات على أنظمتك حتى لا تقلق بشأن حماية وتشفير تلك البيانات. تحقق مع موردي الدفع للحصول على تفاصيل حول طرازاتهم الخاصة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

عدم تخزين معلومات المصادقة على بطاقة الائتمان مطلقًا.

إذا احتجت إلى الاحتفاظ ببيانات حامل البطاقة لإعادة التكرار الفوترة أو أغراض تجارية أخرى مطلوبة ، تحقق من معالج الدفع لمعرفة ما إذا كانت توفر خيارات تسمح لك بإدخال البيانات وتخزينها على أنظمتها. إذا كان عليك تخزين البيانات بنفسك ، فتذكر أنه يجب عليك اتباع العديد من إجراءات الأمان ، ولا يمكنك تخزين معلومات المصادقة الحساسة: بيانات شريطية مغناطيسية كاملة ، أو رمز الحماية ، أو رقم التعريف الشخصي.

اختيار متوافق مع PCI مضيف الويب

إذا كنت تبيع منتجات أو تأخذ مدفوعات عبر موقع الويب الخاص بك ، فاختر خطة استضافة ويب متوافقة مع PCI وتطبيق سلة التسوق الإلكترونية أو التسوق. تقوم بعض شركات استضافة الويب بنشر تفاصيل التوافق الخاصة بها بشكل علني على موقعها على الويب ، ولكن في العديد من الحالات يجب عليك أن تسأل قسم المبيعات أو الدعم. بالنسبة لتطبيقات التجارة الإلكترونية وعربات التسوق ، يمكنك الرجوع إلى قائمة تطبيقات الدفع المصادق عليها من مجلس PCI.

سيكون لديك على الأرجح فرصة أكثر صرامة لتحقيق التوافق مع PCI إذا كنت تستخدم خطط استضافة مشتركة أرخص بسبب الطريقة التي تتم بها الخوادم مقسمة بين مالكي مواقع ويب متعددين. ولكن قد تكون قادرًا على الإفلات من استخدام واحد (حتى غير متوافق) إذا اخترت حل الدفع المستضاف حيث تتم إعادة توجيه العملاء إلى موقع متوافق لإدخال تفاصيل بطاقة الائتمان الخاصة بهم ، مثل PayPal Standard أو 2Checkout أو Authorize. شبكة. وقد ترغب في التفكير في حل الدفع المستضاف حتى إذا كانت خطة استضافة الويب الخاصة بك متوافقة ، من أجل تقليل الإجراءات الأمنية التي يجب عليك اتخاذها. ومع ذلك ، إذا كنت ترغب في دمج عملية الدفع بالكامل داخل موقعك ، فقد تضطر إلى الذهاب إلى خادم افتراضي خاص أو مكلف أكثر تكلفة ، وهو عادةً متوافق مع PCI.

استخدم أجهزة الطلب الهاتفي بدلاً من محطات IP

تتصل طرفيات بطاقات الاتصال الهاتفي بخط الهاتف وتتصل بمعالج الدفع مشابهًا للطريقة التي تتصل بها أجهزة المودم القديمة 56K بالإنترنت عن طريق الطلب الهاتفي. إنها أبطأ من المطاريف القائمة على بروتوكول الإنترنت ، ولكنها يمكن أن تقلل إلى حد كبير بيئة بيانات حامل البطاقة - أجهزة الكمبيوتر والمكونات حيث يتم تخزين معلومات حامل البطاقة أو معالجتها أو نقلها - وبالتالي تقليل الإجراءات الأمنية التي يجب عليك اتباعها.

مهما كانت نوع محطة بطاقة الائتمان أو نظام POS الذي تختاره ، والتأكد من أنه متوافق مع PCI ، إما عن طريق البائع أو عن طريق التحقق من أجهزة أمان معاملات PIN المعتمدة و / أو قائمة بتطبيقات الدفع المصادق عليها من مجلس PCI. تحقق أيضا مع البائعين حول كيفية عمل محطاتهم والاستفسار عن تلك التي تسهل الامتثال.

استخدام شبكة منفصلة لمعالجة الدفع

إذا كنت تستخدم محطات بطاقات الائتمان القائمة على بروتوكول الإنترنت (IP) ، فقد يكون من الأسهل أن يكون لديك شبكة منفصلة تمامًا مع اتصال إنترنت خاص بها لمعالجة الدفع فقط. يمكن أن يخفف هذا من الإجراءات الأمنية التي يجب عليك اتخاذها أثناء الإعداد الأولي للشبكة وتلك التي يجب عليك اتباعها في المستقبل للبقاء متوافقاً مع PCI.

قارئات بطاقات الهاتف المحمول الآمنة

بالنسبة للشركات الصغيرة التي تقدم الخدمات في الموقع ، حلول قراءة بطاقات الهواتف المحمولة مثل Square أو GoPayment أو PayPal إليك جاذبية كبيرة. وهي توفر طريقة سريعة وسهلة لبدء قبول مدفوعات بطاقات الائتمان ويمكن استخدامها مع الهواتف الذكية أو الأجهزة اللوحية عبر بيانات الخلية أو اتصال Wi-Fi. على الرغم من أن متطلبات PCI DSS الحالية (الإصدار 2.0) لا تتناول قارئات بطاقات الجوّال بشكل خاص ، إلا أن الشركات لا تزال مطلوبة لضمان أن هذه الحلول ضمن توافق PCI.

قامت PCI بنشر إرشادات الأمان لتأمين حلول الدفع عبر الهاتف المحمول التي تستخدمها مع الهواتف الذكية أو الأجهزة اللوحية. يجب عليك بشكل أساسي التأكد من أن أجهزة الجوّال محمية بأمان ماديًا ورقمياً من السرقة والاستخدام غير المصرح به والبرامج الضارة والقرصنة. لا تعمد إلى كسر أو القضاء على جهازك أو تمكين وظائف أخرى يمكن أن تجعل الجهاز غير آمن ، مثل تصحيح أخطاء USB على أجهزة Android. تثبيت تطبيق لمكافحة الفيروسات وتنزيل التطبيقات فقط من مصادر موثوقة مثل متجر التطبيقات الرسمي. وتذكر ما إذا كانت الأجهزة المحمولة متصلة بشبكة Wi-Fi تحت سيطرة الشركة أثناء استخدام قارئ البطاقات ، يجب أن تكون الشبكة في توافق PCI.