آشنایی با استانداردهای امنیتی PCI DSS در پرداخت‌های دیجیتال

امروزه نیاز دارندگان کارتهای اعتباری به امنیت اطلاعاتشان به طور غیرقابل باوری افزایش یافته كه بازتاب این نیاز، در استانداردهای امنیتی داده‌های مربوط به حسابهاي پرداخت کارتی نمایان است. مشاهده اطلاعات حساس سرقت شده و در معرض خطر كارتهاي اعتباري مردم در روزهاي اخير در اينترنت، آشكارا نشان داد كه به‌كارگيري استانداردي مربوط به امنيت اطلاعات صنعت كارتهاي پرداخت مانند PCI DSS ، جهت حفاظت از داده‌هاي مشتريان، نه تنها ضرروی است، بلکه چه بسا ناکافی هم بوده و ایمنی اطلاعات کارتهای اعتباری باید خیلی بیشتر از آنچه كه در حال حاضر است، رعايت شود.

لذا با توجه به اهمیت این موضوع در این مقاله به بررسی استاندارد امنیتی PCI DSS در پرداخت‌های دیجیتال خواهیم پرداخت تا اقدامی در جهت آشنایی بیشتر با این استاندارد در نظام پرداخت باشد.

استاندارد PCI DSS مجموعه جامعي از قوانين است كه برای ارتقاء سیستم امنیتی دادههای مربوط به صنعت كارت‌هاي پرداخت وضع گرديده و هدف آن، كمك جهت تسهيل روند اتخاذ تمهيدات امنيتي مربوط به داده‌هاي پايدار در يك جامعه جهاني است. در واقع اين استاندارد، مجموعه الزامات امنیتی می‌باشد که توسط انجمن PCI SSC  برای افزایش  امنیت اطلاعات در پرداخت‌های الکترونیکی کارت‌های اعتباری تدوین گردیده است.

این سازمان در سال ۲۰۰۶ و توسط ۵ شرکت فعال و شناخته شده این صنعت (مؤسسین سیستم پرداخت برندهای تجاری شورای استانداردهای امنیتی PCI) ایجاد شده است که از میان آنها میتوان به سازمان‌های بزرگ پرداخت الكترونيك همچون American Express، Discover Financial Cervices ، JCB International و MasterCard Worldwide Inc  اشاره نمود. این طرح که توسط شورای استانداردهای امنیتی صنعت کارت پرداخت اداره میشود، با هدف ایمنسازی تراکنشهای کارت اعتباری و نقدی در برابر سرقت دادهها و کلاهبرداری انجام میشود.

این استاندارد برای هر کسب وکاری که تراکنشهای کارت اعتباری را پردازش میکند، الزامی است. استاندارد PCI DSS بهترین راه برای محافظت از داده‌ها و اطلاعات حساس است. استاندارد PCI DSS به کسب‌وکارها کمک می‌کند تا روابط بلند‌مدت و قابل اعتمادی با مشتریان خود ایجاد کنند.

اين استاندارد جامع، در واقع نوعی استاندارد امنیتی چند وجهی است که شامل نیازمندیهایی برای مدیریت امنیت، سیاستها، رویهها، معماری شبکه، طراحی نرم‌افزار و دیگر تمهیدات حفاظتی حساس بوده و کمک به بانكها و مؤسسات مالي، جهت حفاظت از دادههای مربوط به حسابهای مشتریانشان را به عنوان هدف خود در نظر میگیرد.

هر کسبوکاری با هر حد و اندازه، برای استفاده از کارتهای پرداخت و همچنین ذخیرهسازی، پردازش و یا ارسال اطلاعات صاحب کارت باید آن را دريافت نماید. بنابراين، اخذ استاندارد امنيت اطلاعات نظام كارتهاي پرداخت، براي فروشندگاني كه از فناوري كارت پرداخت در سيستم فروش خود استفاده مي‌كنند و شركت‌هايي كه اطلاعات شخصي دارندگان اين نوع كارت را پردازش مي‌نمايند، يك موضوع مهم و ضروري ميباشد. شورای استانداردهای امنیتی PCI، علاوه بر تشويق سازمانها براي پيروي از اين استاندارد، سیستم PCI DSS را در صورت نیاز، ارتقاء خوهد داد تا اطمینان حاصل شود که این استاندارد، همه نیازهای نوین، برای کاهش ریسکهای مربوط به پرداخت را در بر گیرد.

ضرورت PCI DSS

امروزه تقلب و کلاهبرداری با کارتهای اعتباری زیاد شده است، به همین خاطر شورای استاندارد امنیت صنعت کارت پرداخت PCI SSC برای جلوگیری از بروز نقض داده و کلاهبرداری از افراد دست به کار شده است و استاندارد PCI DSS را تعریف کرده است. این استاندارد مدت زمان زیادی است که در هر کسب وکاری رعایت میشود. اما بسیاری از افراد با وجود شنیدن و دیدن کلاهبرداری‌های متعدد این استاندارد را در کسب وکار خود رعایت نمیکنند. با استاندارد PCI DSS و رعایت آن در کسب وکار روابط بلند‌مدت و قابل اعتمادی با مشتریان میتوان داشت.

این استاندارد با هدف تأمین امنیت اطلاعات در مبادلات پولی و بانکی، این اطمینان را ایجاد می‌کند که از اطلاعات دارندگان کارت محافظت نماید. رعایت مجموعه قوانین و مقررات این استاندارد، مورد نیاز انواع بانک‌ها، مؤسسات مالی و اعتباری، شرکت‌های ارائه هنده خدمات پرداخت(PSP) و سایر شرکت‌ها و سازمان‌های فعال در حوزه پرداخت الکترونیک می‌باشد.

اهمیت رعایت استاندارد PCI DSS

استاندارد PCI DSS اشتباهاتی که صاحبان کسب وکار مرتکب میشوند و معمولا سارقان سایبری دست روی آنها می‌گذارند را در نظر گرفته است و برای جلوگیری از آنها راهکارهای مختلفی ارائه می‌دهد. به طور مثال رمز عبور ضعیف، فناوری‌های نادرست و کارمندان آموزش‌ ندیده، مواردی هستند که مورد توجه سارقان هستند. رعایت استاندارد PCI DSS به مشتریان اطمینان میدهد یک کسب وکار خاص برای معامله ایمن است.

در صورت عدم رعایت این استاندارد و افشا شدن اطلاعات حساس مشتریان، ممکن است متحمل زیانهای متعددی از جمله جریمه، دعوای قضایی، کاهش فروش و صدمه شدید به شهرت کسب وکار شد. طبق تحقیقات انجام شده کسب وکارهایی که نقض داده برایشان اتفاق افتاده است، هیچ یک، از استانداردهای PCI DSS به طور کامل پیروی نمیکردند. پیروی از استاندارد PCI DSS برای هر کسب وکاری که در آن پرداخت کارتی صورت می‌گیرد الزامی است. این پرداخت کارتی به هر شکل که باشد باید در محیطی ایمن و مطمئن انجام شود.

درک انطباق با PCI و لزوم به‌کارگیری آن

درک و پایبندی مداوم به انطباق با PCI به حفظ امنیت کسب وکار و مشتریان شرکت در برابر حملات سایبری کمک می‌کند. با این وجود، بنا به اعلام نظر Verizon (شرکت مخابرات چندملیتی آمریکایی که درصد چشمگیری از پهنای باند جهانی اینترنت را تأمین می‌نماید)، کمتر از ۵۰٪ از کسب وکارها موفق می‌شوند که هر سال انطباق کامل خود را با ابن استاندارد حفظ کنند. سازمان‌ها همچنین باید چشم‌انداز تهدید و به‌روزرسانی‌های انجام‌شده در PCI DSS را درک کنند تا ریسک ناشی از تهدیدهای در حال تکامل را کاهش دهند.

به عنوان مثال، جدیدترین به‌روزرسانی‌های این استاندارد شامل محافظت در برابر اسکیمینگ الکترونیکی (کلاهبرداری‌های اسکیمری به معنی کپی‌برداری از کارت‌های اعتباری و برداشت غیر مجاز از حساب‌های بانکی است که بیشترین آمار را در رده جرایم سایبری دارند. در واقع این عمل  به معنای منتقل کردن اطلاعات دارایی های کارت عابر بانک به روی کارت دیگر بدون اطلاع و رضایت مالک است) می‌باشد. با توجه به این‌که ۹۷ درصد از خرده‌فروشان برتر ایالات متحده در سال گذشته نقض داده‌های شخص ثالث را تجربه کرده‌اند، رعایت استانداردهای PCI بیش از هر زمان دیگری حیاتی است.

رعایت استاندارد PCI DSS به کاهش خطر حملات سایبری، نقض داده‌ها و هزینه‌های مرتبط کمک می‌کند و در عین حال اعتماد مشتری به برند شرکت را افزایش می‌دهد. این مورد از استراتژی‌های کلی مدیریت ریسک شرکت پشتیبانی می‌کند و با سایر چارچوب‌های انطباق مانند NIST و GDPR همسو و همراستا است. علاوه بر این، انطباق با PCI DSS فرآیندهای تجاری را ساده می‌کند، روابط با فروشندگان را بهبود می‌بخشد و پایبندی به استانداردهای جهانی تعیین شده توسط صادرکنندگان کارت را تضمین می‌نماید.

رعایت این قوانین به صورت قراردادی توسط شرکت‌های بزرگ پرداخت و بانک‌های پذیرنده اعمال می‌شود. طرف‌های درگیر در این انطباق شامل برندها و شبکه‌های کارت مانند مسترکارت، ویزا، جی‌سی‌بی اینترنشنال و امریکن اکسپرس و سرویس‌های درگاه پرداخت مانند پی‌پال، استرایپ و اسکوئر می‌باشند.  PCI DSS همچنین بر شرکت‌هایی که در این حوزه‌ پرداخت فعالیت می‌کنند، صرف نظر از اندازه یا کانال‌های پرداخت، اعمال می‌شود.

سطوح انطباق با PCI DSS

چه کسب وکار سالانه ۱۰ تراکنش کارتی انجام دهد و چه ۱۰ میلیون تراکنش، باید با استاندارد امنیت داده‌های صنعت کارت پرداخت PCI DSS مطابقت داشته باشد. به عبارتی دیگر تمام پذیرندگانی که داده‌های دارنده کارت را ذخیره، پردازش یا منتقل می‌کنند، باید با PCI DSS سازگار باشند. هرچه تراکنش‌های کارتی بیشتری پردازش شود، خطر نقض احتمالی داده‌ها و حوادث امنیتی بیشتر می‌شود.

برای کمک به رفع این مشکل، PCI DSS کسب‌وکارها را بر اساس اندازه کلی و حجم تراکنش‌های کارتی که سالانه پردازش می‌کنند، به چهار سطح طبقه‌بندی می‌کند. سطوح انطباق بسته به صادرکننده کارت و پردازنده مربوطه متفاوت است. هر سطح مشخص میکند که یک شرکت باید چه کاری انجام دهد تا امنیت را برای کسب وکار خود حفظ کند.

سطح ۱. این سطح از استاندارد برای کسبوکارهایی اعمال می‌شود که سالانه بیش از شش میلیون تراکنش کارت اعتباری یا نقدی واقعی را پردازش میکنند. آنها باید سالی یک بار تحت ممیزی داخلی قرار گیرند. علاوه بر این، هر سه ماه یک بار آنها باید توسط ASV اسکن PCI را ارسال کنند.

سطح ۲. این سطح از استاندارد برای کسبوکارهایی اعمال می‌شود که سالانه بین یک تا شش میلیون تراکنش کارت اعتباری یا نقدی واقعی را پردازش میکنند. آنها ملزم هستند که یک بار در سال به تکمیل ارزیابی پرسشنامه خود ارزیابی  (SAQ) بپردازند. علاوه بر این، ممکن است به یک اسکن PCI سه‌ماهه هم نیاز باشد.

سطح ۳.  سطح سه استانداردهای PCI DSS برای کسب‌وکارهایی اعمال می‌شود که سالانه بین ۲۰۰۰۰ تا یک میلیون تراکنش را پردازش می‌کنند. آن‌ها باید یک ارزیابی سالانه را با استفاده از SAQ مربوطه تکمیل کنند. همچنین اسکن  PCIسه ماهه نیز ممکن است نیاز باشد.

سطح ۴. سطح آخر این استاندارد برای کسبوکارهایی که سالانه کمتر از ۲۰۰۰۰ تراکنش را پردازش میکنند یا تاجرانی که حداکثر یک میلیون تراکنش واقعی را پردازش میکنند اعمال میشود. این کسبوکارها باید یک ارزیابی سالانه با استفاده از SAQ مربوطه را تکمیل نموده و ممکن است یک اسکن PCI سه ماهه نیز مورد نیاز باشد.

مخاطبین PCI/DSS

هر سازمانی که وظیفه انتقال، پردازش و ذخیره‌سازی اطلاعات دارندگان کارت را بر عهده دارد، مخاطب این استاندارد می‌باشد که در زیر به آنها اشاره شده است:

-بانک‌های پذیرنده کارت‌های اعتباری

-بانک‌های صادر کننده کارت‌های اعتباری

-شرکتهای ارائه ‌دهنده خدمات پرداخت (PSPو سایر سازمان‌های مالی و اعتباری مرتبط)

این استاندارد منطبق بر سایر استانداردهای بین‌المللی در حوزه امنیت اطلاعات مانند ISO 27001 می‌باشد که می‌تواند به عنوان یک راهکار تخصصی در حوزه محافظت از اطلاعات دارندگان کارت (Card holders) استفاده گردد.

مزایای استفاده از استاندارد PCI/DSS

شناسایی و ایمنسازی کلیه تجهیزات و دارایی‌های مرتبط با ذخیره‌سازی، پردازش و انتقال اطلاعات دارندگان کارت

استفاده از آخرین متدهای رمزنگاری در انتقال و ذخیرهسازی اطلاعات دارندگان کارت

محافظت از کلیه اطلاعات در برابر حملات بدافزاری و جلوگیری از نشت اطلاعات

ایجاد یک محیط فیزیکی ایمن برای کلیه تراکنشهای مالی

پایش لحظه‌ای و مستمر شبکه‌های اطلاعاتی و جریان‌های گذرا از شبکه

شناسایی ریسک‌های بالقوه در مواجهه با آخرین تهدیدات

الزامات استاندارد  PCI DSS

اين استاندارد در ۶ اصل مشخص، ۱۲ الزام را براي هر كسب‌وكاری، اعم از فروشندگان، شركت‌هاي ارائه دهنده خدمات كارت و بانك‌ها كه اطلاعات دارندگان كارتهاي پرداخت را ذخيره، پردازش و يا منتقل مي‌كنند، در نظر گرفته است كه اين الزامات، يك چارچوب كاري براي محيط ایمن پرداخت كارتي را تعريف مي‌كند. در واقع شورای PCI SSC این الزامات را برای مدیریت داده‌های دارنده کارت و حفظ یک شبکه ایمن بیان کرده است که عبارت‌اند از:

ایجاد و حفظ يك شبکه ایمن

الزام ۱: نصب سيستم‌هاي Firewall جهت حفاظت از اطلاعات مربوط به دارندگان کارت‌هاي پرداخت الكترونيك

الزام ۲: عدم استفاده از تنظیمات پیش فرض انجام شده توسط فروشندگان و سازندگان تجهيزات، مانند رمز عبور و دیگر پارامترهای امنیتی

حفاظت از اطلاعات دارنده کارت

الزام ۳: محافظت از داده‌های ذخیره شده مربوط به دارندگان کارت‌ها

الزام ۴: رمزنگاري نقل و انتقال اطلاعات دارندگان کارت‌ها در شبكه‌هاي باز و عمومي

استفاده از برنامه هاي مدیریت آسیب پذیری

الزام ۵: نصب نرم‌افزار Antivirus و به‌روزرساني مداوم آن

الزام ۶: توسعه و نگهداري سيستم‌هاي ايمن و برنامههاي كاربردي ایمن

 اعمال تمهیدات قوی در کنترل دسترسیها

الزام ۷: محدود كردن دسترسی به اطلاعات دارندگان کارت‌ها در حداقل نیاز هر كسب وكار

الزام ۸: اختصاص يك شناسه كاربري (ID) يكتا به هر يك از كاربران

الزام ۹: محدود كردن دسترسی فیزیکی به اطلاعات دارندگان کارت‌ها

پایش و ارزيابي مداوم شبکه

الزام ۱۰: پايش و رديابي مداوم هرگونه دسترسی به منابع اطلاعاتی، تجهيزات شبکه و همچنين اطلاعات مربوط به دارندگان کارت‌ها

الزام ۱۱: ارزيابي منظم و قاعده‌مند امنيت سیستمها و فرآيندهاي امنيتي لحاظ شده

اتخاذ یک خط‌مشی امنیت اطلاعات

الزام ۱۲: سیاستی اتخاذ شود که خط‌مشي‌هاي امنيت اطلاعات در آن مشخص گردد.

اين استاندارد، همچنين انجام سه اقدام اصلي زير را لازم و ضروری ميداند:

ارزيابي (Assess): فرآيندي است كه در آن يك فهرست از داراييهاي اطلاعاتي و فرآیند تجاري مرتبط با فرآيند كارتهاي اعتباري تهيه شده و از نظر آسيبپذيريهايي كه ممكن است اطلاعات شخص دارنده كارت را تحت الشعاع قرار دهد، بررسي ميگردد. هدف اولیه اين ارزیابی، شناخت آسیبپذیریهای حوزه فناوری و فرآیند است که ممكن است امنیت اطلاعات صاحب کارت را هنگام انتقال، پردازش یا ذخیره سازی، در معرض خطر قرار دهد.

رفع آسيبپذيريها (Remediate): فرآيند پوششدهي و رفع آسيبپذيريهاي امنيتي شناسايي شده در مرحله قبل است كه این آسیبپذیریها ممکن است شامل نقاط ضعف فنی در کد نرم افزار (Bug) یا اقدامات و رویههای غیر ایمن پردازش اطلاعات دارنده کارت پرداخت، در سازمان باشد.

گزارش (Report ): شامل جمعبندي سوابق ثبت شده توسط PCI DSS براي كنترل فرآیند بازيابي، رفع آسيبپذيريها و تحويل گزارشهاي رعايت استاندارد به بانك و شركت تأمين كننده خدمات كارت پرداخت مورد نظر است كه امور تجاري با آن انجام مي‌گيرد.

اين ۱۲ الزام و ۳ اقدام اصلي، يك روند مستمر براي انطباق با استاندارد PCI DSS است كه در نهايت، همه آنها، تضمينكننده امنيت اطلاعات دارنده كارت بوده و به كارگيري اين استاندارد، ميتواند به منزله گام ابتدايي و مهمي باشد كه در جهت حفاظت از اطلاعات مشتريان توسط بانكها، مؤسسات مالي – اعتباري و سازمانها برداشته ميشود. از زمان شکل‌گیری استاندارد PCI DSS  تمام الزاماتی که از ابتدا تعریف شده بودند هنوز هم وجود دارند، اما الزامات جدید به صورت دورهای به آن اضافه می‌شوند.

نحوه انطباق و سازگای با PCI DSS

انطباق با PCI می‌تواند یک فرآیند پیچیده باشد. این فرآیند معمولاً شامل ارزیابی وضعیت امنیتی فعلی، پیاده‌سازی کنترل‌های لازم و سپس اعتبارسنجی و حفظ وضعیت جدید مطابق با الزامات انطباق است. در ادامه جزئیات بیشتری در مورد چگونگی اطمینان از انطباق با PCI برای کسب وکارها ارائه شده است:

ارزیابی وضعیت امنیتی فعلی: یک ممیزی کامل از سیاست‌ها و فرآیندهای امنیتی خود انجام داده و فهرستی از سیستم‌ها، کنترل‌های دسترسی و هرگونه داده ذخیره شده تهیه شود. به عنوان بخشی از ارزیابی خود، بهترین روش این است که یک نمودار جریان داده دارنده کارت ایجاد شود که مشخص کند داده‌های کارت از کجا وارد محیط  و بستر پلتفرم می‌شوند، از کجا عبور می‌کنند و از کجا خارج می‌شوند. این امر به شناسایی آسیب‌پذیری‌ها و دامنه آن‌ها کمک می‌کند.

اجرای کنترل‌های امنیتی مورد نیاز: کنترل‌های امنیتی در هر نقطه‌ای که احتمال دسترسی به داده‌های کارت وجود دارد و همچنین ۱۲ الزام تعیین‌شده توسط PCI DSS با دقت بررسی می‌شود. برای ارتقاء سیستم‌ها، اجرای اسکن‌ها و به‌روزرسانی سیاست‌ها با کارشناسان امنیت سایبری، بایستی همکاری لازم صورت پذیرد.

اعتبارسنجی و حفظ انطباق: از یک ارزیاب امنیتی واجد شرایط (QSA) برای تأیید انطباق خود با PCI DSS استفاده شود و توصیه‌های آن‌ها برای حفظ انطباق در سال‌های آینده به کار گرفته شود.

هزینه‌های انطباق با DSS  PCI

هزینه‌های خدمات انطباق با PCI DSS بسته به شرکای پرداختی که شرکت با آن‌ها کار می‌کند، اندازه سازمان و متخصصان امنیت سایبری که استخدام می‌کند، متفاوت است. رعایت این استاندارد می‌تواند برای شرکت بین صدها دلار تا مبالغ شش رقمی هزینه داشته باشد. علاوه بر این، طراحی زیرساخت و تحلیل دقیق کنترل‌های امنیتی فعلی شرکت می‌تواند زمان و تلاش قابل توجهی را با پشتیبانی حرفه‌ای به خود اختصاص دهد. با این وجود، عدم رعایت قوانین می‌تواند در بلندمدت بسیار گران‌تر و آسیب‌زا باشد. لذا بهتر است با رعایت قوانین هزینه‌های بدترین سناریوی ممکن در مقایسه با هزینه‌های اولیه امنیت سایبری و انطباق با PCI DSS در نظر گرفته شود.

روش‌های بهینه یا بهترین شیوه‌ها برای حفظ انطباق با DSS PCI

برخی از روش‌های بهینه انطباق با PCI که به مشتریان توصیه می‌شود شامل پیروی از اقدامات امنیتی قوی داده‌ها، به‌روزرسانی آموزش‌ها، استفاده از پردازنده‌های سازگار با PCI و ذخیره داده‌ها در صورت لزوم است. همچنین پیشنهاد می‌شود سیستم‌ها و نرم‌افزارهایی انتخاب شود که موجب سهولت انطباق با قوانین شده و سیاست‌های امنیتی را مرتباً به‌روزرسانی نماید. در ادامه با نگاه عمیق‌تری این ۵ روش را بررسی خواهیم نمود:

اعمال اقدامات امنیتی قوی بر روی داده‌ها: کنترل‌های دسترسی سخت‌گیرانه‌ای اعمال شود، رمزهای عبور و نرم‌افزارها همواره به‌روزرسانی شده و اسکن‌های آسیب‌پذیری به‌طور منظم اجرا شود.

از طرف‌های ثالث سازگار با PCI استفاده شود: از پردازنده‌های سازگار مانند موارد ذکر شده در بالا – Square، Stripe و موارد دیگر – استفاده شده و اطمینان حاصل شود که تمام طرف‌های ثالث که با داده‌های دارنده کارت در تماس هستند یا می‌توانند بر امنیت داده‌های دارنده کارت تأثیر بگذارند، سازگار هستند.

مرتباً آموزش‌ها و سیاست‌های امنیتی به‌روزرسانی شود: اطمینان حاصل شود که تیم به نحوه‌ ایمن مدیریت، پردازش و ذخیره‌ داده‌های دارنده کارت احترام می‌گذارد و آن را درک می‌کند.

از ذخیره داده‌ها مگر در موارد ضروری خودداری شود: هرچه داده‌های بیشتری ذخیره شود، باید حلقه‌های انطباق بیشتری را در نظر گرفت و با آن‌ها مواجه شد.

از سیستم‌هایی استفاده شود که از انطباق آسان پشتیبانی می‌کنند: برای مثال، از نرم‌افزارهای حرفه‌ای طراحی‌شده برای پشتیبانی از چارچوب‌های حفاظت از داده‌ها استفاده شود.

علاوه بر این، همواره پیشنهاد می‌شود که از سیستم‌هایی که PCI SSC توصیه می‌کند استفاده شود تا از هرگونه شک و تردیدی در مورد پیروی از فرآیندهای صحیح جلوگیری به عمل آید. علاوه بر این همیشه باید از متخصصان امنیت سایبری برای اسکن، ممیزی و شناسایی خطرات احتمالی داده‌ها استفاده شود.

جمع بندی

استاندارد امنیت اطلاعات در پرداخت‌های الکترونیکی به عنوان یک استاندارد شناخته شده در افزایش امنیت اطلاعات در فرآیندها و تراکنش‌های مالی می‌باشد که کلیه سازمان‌های ارائه دهنده خدمات کارت می‌بایست در جهت افزایش امنیت اطلاعات دارندگان کارت در جهت پیادهسازی این استاندارد قدم بردارند. به طور کلی میتوان گفت PCI-DSS یک استاندارد امنیتی چندوجهی است که ملزومات مرتبط با مدیریت امنیت، خطمشی‌ها، رویه‌ها، معماری شبکه و سایر معیارهای محافظتی حیاتی را در بر می‌گیرد.

این استاندارد جامع طراحی شده است تا به کسب وکارها در محافظت از دادههای حساس مشتریان کمک کند؛ بدین صورت که به محافظت از دادههای کارت پرداخت با بهره‌گیری از یک فایروال و عدم استفاده از کلمات عبور و تنظیمات پیش فرضی که همراه چیدمان اولیه ارایه می‌شوند، می‌پردازد. علاوه بر این از دادههای حساس صاحب کارت با رمزنگاری آنها در هر زمانی که روی سیستم منتقل میشوند، محافظت می‌کند.

همچنین به نگهداری تمام سیستمها با به روز نگهداشتن آنها و اطمینان از این که عاری از انواع آسیبپذیریهای ویروسی یا بدافزاری هستند؛ پرداخته که در اکثر موارد، این کار با بهرهگیری از یک راهکار آنتی ویروس که به صورت محلی نصب شده است یا یک فایروال گیت وی انجام میشود. نهایتاً با بهکارگیری PCI-DSS دسترسی به دادههای صاحب کارت در یک سطح حداقل مطلق نگه داشته شده و این دسترسی باید منوط به تایید شناسایی کاربر باشد.

لازم به ذکر است که نظارت منظم و آزمایش شبکهها و  سیستمهای امنیتی و حفظ یک خطمشی امنیتی به منظور اطمینان از این که انطباق و امنیت اطلاعات را مورد توجه قرار میدهد، در استاندارد مورد نظر اهمیت شایان توجهی دارد.

بر همین اساس برای کسب اطلاعات بیشتر در مورد استانداردهای پرداخت، به‌ویژه استاندارد امنیتی PCI DSS در پرداخت‌های دیجیتال و کمک به افراد در آگاهی‎ بخشی نسبت به ایمن‌سازی داده‌های دارنده کارت و اطمینان از الزامات انطباق با استانداردهای پرداخت، با تیم آکادمی گروه ملی انفورماتیک تماس گرفته و از مشاوره و دوره‌های آموزشی آکادینو در خصوص نظام پرداخت و استانداردهای آن و سایر محتواهای بارگذاری شده در همین وبلاگ استفاده نمایید.