نظرًا لأن COVID ضرب الشركات في جميع أنحاء العالم ، وكانت المتاجر إما مغلقة أو لم تعد تقبل النقد كوسيلة مفضلة للدفع ، فقد شهدنا زيادة كبيرة في حجم بيانات بطاقات الدفع. تقدم سريعًا إلى اليوم ، وحجم المعاملات عبر الإنترنت و
يستمر استخدام آلات نقاط البيع في الارتفاع. نظرًا لأن معظم البيانات محفوظة في السحابة ، فإن فرص الهجمات الإلكترونية تتزايد في نفس الوقت ، مما يعني أن الإصدار السابق من معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)
لم تعد كافية.
منذ عام 2004 ، تضمن PCI DSS أن تقوم المنظمات بمعالجة أو تخزين معلومات بطاقة الائتمان القيام بذلك بشكل آمن. بعد الوباء ، كانت الإرشادات الخاصة بالضوابط الأمنية في حاجة ماسة إلى تحديث. هذا عندما يكون الإصدار الجديد - PCI DSS v4.0 -
تم الإعلان عنه. في حين أن الشركات أمامها سنتان للتخطيط للتنفيذ ، يجب أن يكون لدى معظم الشركات المالية كل شيء بحلول آذار (مارس) 2025. ومع ذلك ، هناك خطر من العمل على مهلة زمنية طويلة نظرًا لفشلها في خلق شعور بالإلحاح ، والعديد من
من تحديثات الأمان المضمنة في المعيار الجديد هي ممارسات كان يجب على الشركات تنفيذها بالفعل.
على سبيل المثال ، تم إدراج "8.3.6 - الحد الأدنى من مستوى التعقيد لكلمات المرور عند استخدامها كعامل مصادقة" أو "5.4.1 - آليات لاكتشاف وحماية الأفراد ضد هجمات التصيد الاحتيالي" على أنها "تحديثات غير عاجلة للتنفيذ في 36 شهرًا ".
مع ارتفاع مستوى التهديدات الإلكترونية في أعقاب الصراع الروسي الأوكراني ، فإن هذا الإطار الزمني ليس بالسرعة الكافية لرفع مستوى الحماية الإلكترونية التي تحتاجها المؤسسات المالية وشركات البيع بالتجزئة والتي تشكل تهديدًا حقيقيًا لبيانات العملاء وخصوصيتهم.
لتقسيمها إلى أبعد من ذلك ، هناك بعض الأرقام المهمة والمثيرة للاهتمام التي توضح نطاقها وقيودها:
-
يوضح الشكلان 51 و 2025 المشكلات الأساسية المحيطة بـ PCI DSS V4.0 - 51 وهو عدد التغييرات المقترحة التي تم تصنيفها على أنها "أفضل ممارسة" من الآن وحتى عام 2025 عند تطبيقها ، أي بعد ثلاث سنوات!
دعونا نلقي نظرة فاحصة على 13 تغييرًا فوريًا لجميع تقييمات V4.0 ، والتي تتضمن عناصر مثل "الأدوار والمسؤوليات لأداء الأنشطة موثقة ، وتعيين وفهم". وتشتمل هذه على 10 من أصل 13 تغييرًا فوريًا ، مما يعني
الجزء الأكبر من "التحديثات العاجلة" هي في الأساس نقاط مساءلة ، حيث تقبل الشركات أنه ينبغي عليها القيام بشيء ما.
والآن دعونا نلقي نظرة على التحديثات التي "يجب أن تكون فعالة بحلول آذار (مارس) 2025":
-
5.3.3: يتم إجراء عمليات فحص لمكافحة البرامج الضارة عند استخدام وسائط إلكترونية قابلة للإزالة
-
5.4.1: تم وضع آليات لاكتشاف وحماية الأفراد من هجمات التصيد الاحتيالي.
-
7.2.4: مراجعة جميع حسابات المستخدمين وامتيازات الوصول ذات الصلة بشكل مناسب.
-
8.3.6: أدنى مستوى من التعقيد لكلمات المرور عند استخدامها كعامل مصادقة.
-
8.4.2: مصادقة متعددة العوامل لجميع الوصول إلى CDE (بيئة بيانات حامل البطاقة)
-
10.7.3: الاستجابة لأعطال أنظمة التحكم الأمنية الحرجة على الفور
هذه ستة فقط من أصل 51 تحديثًا "غير عاجل" ، وأجد أنه من غير المعقول أن يكون اكتشاف هجمات التصيد واستخدام عمليات فحص مكافحة البرامج الضارة جزءًا من تلك القائمة. اليوم ، مع هجمات التصيد في أعلى مستوياتها على الإطلاق ، أتوقع أي تمويل عالمي
مؤسسة لديها بيانات حساسة لحمايتها لتكون في مكانها كمتطلبات أساسية ، وليست شيئًا يجب توفره في غضون ثلاث سنوات.
على الرغم من التهديدات بغرامات ضخمة وخطر سحب بطاقات الائتمان كوسيلة للدفع إذا فشلت المنظمات في الامتثال لمعايير PCI ، لم يتم اتخاذ سوى عدد قليل من العقوبات حتى الآن. انتظار ثلاث سنوات أخرى لتنفيذ المتطلبات الجديدة
يبدو أن المضمنة في الإصدار 4.0 تشير إلى نقص الملكية التي تستحقها بعض التغييرات وهي محفوفة بالمخاطر للغاية.
أقدر أن هذا لا يعني أن الشركات لم تنفذ بالفعل بعض التحديثات أو جميعها. ومع ذلك ، بالنسبة لأولئك الذين لم يفعلوا ذلك ، فإن إجراء هذه التحديثات سيتطلب الاستثمار والتخطيط ، ولهذه الأغراض ، يجب أن يكون PCI DSS V4.0 أكثر تحديدًا.
على سبيل المثال ، إذا كانت هناك حاجة للرد على الإخفاقات الأمنية "على وجه السرعة" ، فهل يعني ذلك 24 ساعة أو 24 يومًا أو 24 شهرًا؟ أعتقد أن أصحاب المصلحة سيحصلون على خدمة أفضل بكثير مع تحديد مواعيد نهائية أكثر.
بينما يمثل PCI DSS V4.0 أساسًا جيدًا للمضي قدمًا بالمعيار ، كان يجب تنفيذه بإلحاح أكبر. من المؤكد أن هناك الكثير من التغييرات التي يجب معالجتها ، ولكن الاستراتيجية الأفضل هي اعتماد نهج مرحلي ، أي تحديد أولويات التغييرات
مطلوب على الفور ، في غضون 12 شهرًا و 24 شهرًا و 36 شهرًا من الآن بدلاً من القول إنه يجب أن تكون جميعها سارية المفعول في غضون ثلاث سنوات.
بدون هذه الإرشادات ، من المحتمل أن تقوم بعض المنظمات بتعليق هذه المشاريع ليتم النظر فيها في غضون عامين عندما يقترب الموعد النهائي لخطة التنفيذ. ومع ذلك ، في عصر لا تزال فيه جرائم بطاقات الدفع تشكل خطرًا في كل مكان ، لا يوجد سوى القليل
تكتسب من التأخير.
- النملة المالية
- سلسلة كتلة
- مؤتمر blockchain fintech
- تتناغم مع التكنولوجيا المالية
- coinbase
- عملة عبقرية
- مؤتمر العملات المشفرة
- FINTECH
- تطبيق fintech
- الابتكار في مجال التكنولوجيا المالية
- فينتكسترا
- OpenSea
- PayPal
- com.paytech
- الدفع
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلاتوغمينغ
- رازورباي
- Revolut
- تموج
- fintech مربع
- شريط
- تينسنت فينتك
- Xero
- زفيرنت
