ما يحتاج مدراء تكنولوجيا المعلومات ومنظمات المجتمع المدني ومديرو التكنولوجيا إلى معرفته حول نطاق PCI وإرشادات التجزئة: بقلم ديفيد كينج
بصفتي المدير التنفيذي للتكنولوجيا في شركة دولية للتكنولوجيا المالية وعضوا في المجلس الاستشاري لمجلس معايير أمان صناعة بطاقات الدفع، غالبًا ما أقضي وقت فراغي في قراءة كل ما يتعلق بالمدفوعات والأمن – لا تحكموا علي 😀.
في الآونة الأخيرة، قمت بإعادة قراءة
إرشادات تحديد النطاق والتجزئة لـ PCI DSS لبنيات الشبكات الحديثة ملحق المعلومات – جزء كبير من الإرشادات المحدثة لتحقيق الامتثال لـ PCI في PCI
مفاجآت صيف دبي v4. إنها قراءة طويلة ولكنها مهمة. و IMHO، يجب أن تكون القراءة مطلوبة لجميع CTOs و CIOs و CSOs الذين تتعامل أعمالهم مع المدفوعات. لذا، لمساعدتك في البدء، قمت بتجميع ملخص سريع.
مشهد شبكات الدفع الحديثة
اعتمدت نماذج أمن الشبكات التقليدية بشكل كبير على الضوابط القائمة على المحيط. ومع ذلك، مع ظهور الحوسبة السحابية والخدمات الصغيرة وبنيات الثقة المعدومة، أصبحت شبكات الدفع الآن ديناميكية للغاية وبلا حدود. محيط الشبكة أقل وضوحًا
مما كان عليه عندما تم استضافة كل شيء داخل الشركة. توفر هذه التطورات المرونة وقابلية التوسع، ولكنها تقدم أيضًا تعقيدات في تحديد نطاق الامتثال لـ PCI DSS والقدرة على الحفاظ على تجزئة الشبكة الفعالة.
في جوهره، يضمن الامتثال لـ PCI DSS حماية بيانات حامل البطاقة عن طريق عزل بيئة بيانات حامل البطاقة (CDE) عن الأنظمة خارج النطاق. تعترف التوجيهات الجديدة الصادرة عن PCI SSC بالتحديات التي تفرضها البنى الحديثة وتوفر
استراتيجيات معالجتها:
تتطلب تحديات الشبكة الحديثة تجزئة قوية وأمانًا قائمًا على مستوى الجهاز وعلى المعاملات.
- البيئات السحابية المتعددة: تدير العديد من المؤسسات موفري خدمات سحابية متعددين. ويتطلب دمجها استراتيجيات تجزئة قوية لإدارة التكوينات المتنوعة، مع الحفاظ على الرؤية عبر الأنظمة الأساسية.
- البيئات الهجينة: تجمع بعض المؤسسات بين الأنظمة المحلية والسحابية. يجب أن تركز المؤسسات التي تستخدم هذا النموذج على ضوابط الأمان المتسقة عبر كلا المجالين.
- بنيات الثقة المعدومة: تفرض هذه النماذج الوصول الأقل امتيازًا والمصادقة الدقيقة. يجب أن يتحول تركيزك من محيط الشبكة إلى مستوى الجهاز والأمان القائم على المعاملات.
تظل أفضل ممارسات التجزئة كما هي.
- لم يتغير شيء هنا؛ أدى التجزئة الفعالة إلى تقليل نطاق تقييمات PCI DSS. تأكد من تركيز عناصر التحكم الخاصة بك على الأنظمة المهمة وتقسيم CDE الخاص بك.
- أدوات مثل الشبكات المعرفة بالبرمجيات (SDN) و شبكات الخدمة تقديم إمكانات تجزئة متقدمة، مثل التجزئة الدقيقة وإنفاذ السياسات في الوقت الفعلي.
يظل التحقق من خلال اختبار الاختراق أمرًا بالغ الأهمية.
- تعتبر اختبارات اختراق التجزئة المنتظمة أمرًا حيويًا. تضمن هذه الاختبارات بقاء الحدود بين الأنظمة داخل النطاق وخارجه سليمة وتسلط الضوء على نقاط الضعف التي قد تؤدي إلى تعرض بيانات حامل البطاقة للخطر.
- في بيئات الثقة المعدومة، يجب أن تتحقق الاختبارات من صحة عمليات المصادقة المستمرة وفعالية ضوابط التجزئة الدقيقة.
بعض التوصيات العملية
أصبحت الشبكات الحديثة موزعة ومعقدة بشكل متزايد، مما يزيد من تعقيد PCI DSS وإمكانية اختراق البيانات. في المواقف المعقدة، أولاً
تفكير المبادئ يعمل دائما بشكل أفضل بالنسبة لي. إذا طُلب منك ذلك، فإليك بعض الإرشادات العملية التي سأقدمها والتي أستخدمها في Flywire.
- فهم تدفق البيانات الخاصة بك: ابدأ بتعيين شامل لمكان تخزين بيانات حامل البطاقة ومعالجتها ونقلها. يساعد توثيق هذه التدفقات وتحليلها في تحديد حدود CDE الخاصة بك.
- اعتماد الأتمتة والمراقبة: استخدم الأدوات، مثل الذكاء الاصطناعي، للاكتشاف الآلي وإدارة التكوين والمراقبة للحفاظ على تعريفات النطاق الدقيقة في البيئات الديناميكية. التحديثات المنتظمة للمخترع والرسوم البيانية الخاصة بك هي
حاسمة للامتثال. - اعتماد أدوات التجزئة المتقدمة: يتيح SDN السياسة والتطبيق الديناميكي ويمركز التحكم في الشبكة. تضمن شبكات الخدمة الاتصال من خدمة إلى خدمة مع ميزات مثل أمان طبقة النقل المتبادل (TLS) ومراقبة حركة المرور.
- الثقة المعدومة هي المستقبل: الانتقال إلى نماذج الثقة المعدومة حيث يجب على كل مستخدم وجهاز ونظام إثبات شرعيته عند كل نقطة وصول. إن PCI DSS يدور حول عناصر التحكم الدقيقة، وهذا مثال رائع على ذلك.
- تعزيز اختبار الاختراق: يجب أن تتجاوز اختبارات الاختراق عمليات فحص المنافذ الأساسية. امتلك فريقًا أحمر يشتمل على سيناريوهات هجوم واقعية من أجل تقييم فعالية تجزئة شبكتك.
باختصار، تعد إرشادات PCI DSS مخططًا رائعًا لمعالجة تعقيدات شبكات الدفع الحديثة. من خلال مواءمة ممارسات التجزئة مع التقنيات المتطورة مثل الثقة المعدومة والبنيات السحابية الأصلية، يمكننا ضمان أمان قوي أثناء
تحسين جهود الامتثال.
وينبغي لجميع مؤسسات المدفوعات أن تتبنى هذه الممارسات لإنشاء أساس مرن لمستقبل الابتكار في النظام البيئي للمدفوعات.