چونکہ COVID نے دنیا بھر میں کاروبار کو متاثر کیا، اور دکانیں یا تو بند تھیں یا ادائیگی کے ترجیحی طریقہ کے طور پر نقد قبول نہیں کر رہی تھیں، ہم نے ادائیگی کارڈ کے ڈیٹا کے حجم میں ڈرامائی اضافہ دیکھا۔ آج تک تیزی سے آگے، اور آن لائن لین دین کا حجم اور
پوائنٹ آف سیل مشینوں کے استعمال میں اضافہ جاری ہے۔ چونکہ زیادہ تر ڈیٹا کلاؤڈ میں رکھا جاتا ہے، اسی وقت سائبر حملوں کے مواقع بڑھ رہے ہیں، جس کا مطلب ہے کہ پے منٹ کارڈ انڈسٹری ڈیٹا سیکیورٹی اسٹینڈرڈ (PCI DSS) کا پچھلا ورژن۔
اب کافی نہیں ہے.
2004 سے، PCI DSS نے اس بات کو یقینی بنایا ہے کہ کریڈٹ کارڈ کی معلومات پر کارروائی یا ذخیرہ کرنے والی تنظیمیں ایسا محفوظ طریقے سے کر سکتی ہیں۔ وبائی مرض کے بعد، حفاظتی کنٹرول سے متعلق رہنمائی کو فوری طور پر اپ ڈیٹ کی ضرورت تھی۔ یہ تب ہوتا ہے جب نیا ورژن – PCI DSS v4.0 –
اعلان کیا گیا تھا. جب کہ کمپنیوں کے پاس اپنے عمل درآمد کی منصوبہ بندی کرنے کے لیے دو سال ہیں، زیادہ تر مالیاتی کاروباروں کے پاس مارچ 2025 تک سب کچھ ہونا ضروری ہے۔ تاہم، ایک طویل مدتی ڈیڈ لائن تک کام کرنے کا خطرہ ہے کیونکہ یہ فوری ضرورت کا احساس پیدا کرنے میں ناکام رہتا ہے، اور بہت سے
نئے معیار میں شامل سیکیورٹی اپ ڈیٹس میں سے وہ طرز عمل ہیں جن پر کاروبار کو پہلے سے ہی عمل درآمد کر لینا چاہیے تھا۔
مثال کے طور پر، "8.3.6 - تصدیقی عنصر کے طور پر استعمال ہونے پر پاس ورڈز کے لیے پیچیدگی کی کم از کم سطح" یا "5.4.1 - اہلکاروں کو فشنگ حملوں سے بچانے اور ان کی حفاظت کے لیے میکانزم موجود ہیں" کو "عمل درآمد کے لیے غیر فوری اپ ڈیٹس" کے طور پر درج کیا گیا ہے۔ 36 ماہ میں"
روسی-یوکرائنی تنازعہ کے بعد سائبر خطرات کی اعلی سطح کے ساتھ، یہ ٹائم فریم مالیاتی اداروں اور خوردہ کاروباروں کے لیے درکار سائبر تحفظ کی سطح کو بڑھانے کے لیے کافی تیز نہیں ہے جو کہ کسٹمر کے ڈیٹا اور رازداری کے لیے حقیقی خطرہ ہے۔
اسے مزید توڑنے کے لیے، کچھ اہم اور دلچسپ اعداد ہیں جو اس کے دائرہ کار اور حدود دونوں کو واضح کرتے ہیں:
-
51 اور 2025 PCI DSS V4.0 - 51 کے ارد گرد کے بنیادی مسائل کی وضاحت کرتے ہیں ان مجوزہ تبدیلیوں کی تعداد ہے جن کو اب اور 2025 کے درمیان "بہترین عمل" کے طور پر درجہ بندی کیا جاتا ہے جب ان کے نفاذ کے بعد، جو تین سال دور ہے!
آئیے تمام V13 تشخیصوں کے لیے 4.0 فوری تبدیلیوں کو قریب سے دیکھتے ہیں، جس میں "سرگرمیوں کو انجام دینے کے لیے کردار اور ذمہ داریاں دستاویزی، تفویض اور سمجھی جاتی ہیں" جیسی چیزیں شامل ہیں۔ یہ 10 فوری تبدیلیوں میں سے 13 پر مشتمل ہیں، جس کا مطلب ہے۔
"فوری اپ ڈیٹس" کا بڑا حصہ بنیادی طور پر احتسابی پوائنٹس ہیں، جہاں کمپنیاں قبول کرتی ہیں کہ انہیں کچھ کرنا چاہیے۔
اور اب آئیے ان اپڈیٹس کو دیکھتے ہیں جو "مارچ 2025 تک مؤثر ہونے کی ضرورت ہے":
-
5.3.3: جب ہٹانے کے قابل الیکٹرانک میڈیا استعمال میں ہو تو اینٹی میلویئر اسکین کیے جاتے ہیں۔
-
5.4.1: فشنگ حملوں سے اہلکاروں کا پتہ لگانے اور ان کی حفاظت کے لیے میکانزم موجود ہیں۔
-
7.2.4: تمام صارف اکاؤنٹس اور متعلقہ رسائی کے مراعات کا مناسب جائزہ لیں۔
-
8.3.6: تصدیقی عنصر کے طور پر استعمال ہونے پر پاس ورڈز کے لیے پیچیدگی کی کم از کم سطح۔
-
8.4.2: CDE (کارڈ ہولڈر ڈیٹا ماحول) میں تمام رسائی کے لیے کثیر عنصر کی توثیق
-
10.7.3: اہم سیکورٹی کنٹرول سسٹم کی ناکامیوں کا فوری جواب دیا جاتا ہے
یہ 51 "غیر فوری" اپ ڈیٹس میں سے صرف چھ ہیں، اور مجھے یہ ناقابل یقین لگتا ہے کہ فشنگ حملوں کا پتہ لگانا اور اینٹی میلویئر اسکینز کا استعمال اس فہرست کا حصہ ہے۔ آج، ہر وقت بلند ترین فشنگ حملوں کے ساتھ، میں کسی بھی عالمی مالیاتی کی توقع کروں گا۔
حساس اعداد و شمار کے ساتھ ادارہ ان کی حفاظت کے لیے ضروری تقاضوں کے طور پر ہے، نہ کہ تین سال کے عرصے میں کوئی چیز۔
بھاری جرمانے کی دھمکیوں اور ادائیگی کے طریقہ کار کے طور پر کریڈٹ کارڈز کو واپس لینے کے خطرے کے باوجود اگر تنظیمیں PCI معیارات کی تعمیل کرنے میں ناکام رہیں، اب تک صرف چند جرمانے پر کارروائی کی گئی ہے۔ نئے تقاضوں پر عمل درآمد کے لیے مزید تین سال کا انتظار
ایسا لگتا ہے کہ V4.0 کے اندر موجود ملکیت کی کمی کا مطلب ہے کہ کچھ تبدیلیوں کے مستحق ہیں اور یہ بہت زیادہ خطرناک ہے۔
میں تعریف کرتا ہوں کہ اس کا مطلب یہ نہیں ہے کہ کمپنیوں نے پہلے ہی کچھ یا تمام اپ ڈیٹس کو نافذ نہیں کیا ہے۔ تاہم، ان لوگوں کے لیے جن کے پاس نہیں ہے، ان اپ ڈیٹس پر عمل کرنے کے لیے سرمایہ کاری اور منصوبہ بندی کی ضرورت ہوگی، اور ان مقاصد کے لیے، PCI DSS V4.0 کو زیادہ مخصوص ہونے کی ضرورت ہے۔
مثال کے طور پر، اگر سیکیورٹی کی ناکامیوں کو "فوری طور پر" جواب دینے کی ضرورت ہے، تو کیا اس کا مطلب 24 گھنٹے، 24 دن یا 24 مہینے ہے؟ مجھے یقین ہے کہ اسٹیک ہولڈرز کو زیادہ مخصوص ڈیڈ لائن کے ساتھ بہت بہتر طریقے سے پیش کیا جائے گا۔
جبکہ PCI DSS V4.0 معیار کو آگے بڑھانے کے لیے ایک اچھی بنیاد کی نمائندگی کرتا ہے، لیکن اسے زیادہ عجلت کے ساتھ لاگو کیا جانا چاہیے تھا۔ ٹھیک ہے، حل کرنے کے لیے بہت سی تبدیلیاں ہیں، لیکن ایک بہتر حکمت عملی مرحلہ وار طریقہ اختیار کرنا ہو گی، یعنی تبدیلیوں کو ترجیح دینا
فوری طور پر، اب سے 12 ماہ، 24 ماہ اور 36 مہینوں میں، یہ کہنے کے بجائے کہ یہ سب تین سال کے عرصے میں مؤثر ہونا چاہیے۔
اس رہنمائی کے بغیر، اس بات کا امکان ہے کہ کچھ تنظیمیں ان منصوبوں کو دو سال کے عرصے میں دیکھے جانے کے لیے شیلف کر دیں گی جب عملدرآمد پلان کی آخری تاریخ قریب آ جائے گی۔ تاہم، ایک ایسے دور میں جب پیمنٹ کارڈ کا جرم ہر جگہ خطرہ بنتا جا رہا ہے، بہت کم ہے۔
تاخیر سے حاصل کیا جائے۔
