ما هو PCI DSS؟
معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) هو مجموعة من متطلبات الأمان التي وضعها مجلس معايير أمن صناعة بطاقات الدفع (PCI SSC) — الذي أسسته American Express وDiscover وJCB وMastercard وVisa. الإصدار PCI DSS v4.0 الصادر في مارس 2022 هو المعيار النشط حالياً (تم إيقاف الإصدار v3.2.1 في مارس 2024).
الامتثال إلزامي لأي مؤسسة تخزن أو تعالج أو تنقل بيانات حامل البطاقة — بغض النظر عن حجم المعاملات. قد يؤدي عدم الامتثال إلى غرامات مالية وزيادة رسوم المعاملات وفقدان حقوق قبول البطاقات.
مستويات الامتثال لمعيار PCI DSS
- المستوى 1 — التجار الذين يعالجون أكثر من 6 ملايين معاملة سنوياً؛ يتطلب تقرير ROC سنوي من QSA وفحص شبكي ربع سنوي.
- المستوى 2 — من 1 إلى 6 ملايين معاملة سنوياً؛ SAQ سنوي وفحص ربع سنوي.
- المستوى 3 — من 20,000 إلى 1 مليون معاملة تجارة إلكترونية؛ SAQ سنوي وفحص ربع سنوي.
- المستوى 4 — أقل من 20,000 معاملة تجارة إلكترونية أو حتى 1 مليون معاملة أخرى؛ يوصى بـ SAQ سنوي.
التغييرات الرئيسية في PCI DSS v4.0
- خيار النهج المخصص للمؤسسات ذات الضوابط المتقدمة
- متطلبات جديدة للمصادقة متعددة العوامل المقاومة للتصيد
- متطلبات موسعة لأمن التجارة الإلكترونية وصفحات الدفع (المتطلب 6.4)
- متطلبات جديدة لتحليل المخاطر المستهدف
- 64 متطلباً جديداً مؤجلاً (إلزامية اعتباراً من مارس 2025)
خدمات BALTUM لمعيار PCI DSS
- تحديد النطاق ورسم خريطة بيئة بيانات حامل البطاقة (CDE)
- تحليل الفجوات مقابل متطلبات PCI DSS v4.0
- خارطة طريق المعالجة ودعم تطبيق الضوابط
- دعم إكمال SAQ (أنواع SAQ A وA-EP وB وC وD حسب الاقتضاء)
- إعداد ROC والتنسيق مع QSA لتجار المستوى 1
- تنسيق فحص الثغرات ربع السنوي مع ASV
التكامل مع ISO 27001
يتشارك PCI DSS وISO 27001 تداخلاً كبيراً في الضوابط عبر التحكم في الوصول وإدارة الثغرات والتسجيل والمراقبة والاستجابة للحوادث. يربط البرنامج المتكامل من BALTUM كلتا مجموعتي المتطلبات بإطار ضوابط موحد — مما يقلل التكرار ويخفض التكلفة الإجمالية للامتثال.