_

سياسة أمن بطاقات الائتمان

تشرح هذه السياسة متطلبات أمان بطاقات الائتمان الخاصة بشركة nexgenexport وفقًا لبرنامج معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS). تلتزم إدارة nexgenexport بهذه السياسات الأمنية لحماية المعلومات التي تستخدمها nexgenexport في تحقيق أهدافها التجارية. يتعين على جميع الموظفين الالتزام بالسياسات الموضحة في هذه الوثيقة.

نطاق الامتثال

تنطبق متطلبات PCI على جميع الأنظمة التي تخزن أو تعالج أو تنقل بيانات حاملي البطاقات. حاليًا، تتكون بيئة حاملي البطاقات في nexgenexport فقط من تطبيقات دفع محدودة (عادةً أنظمة نقاط البيع) متصلة بالإنترنت، لكنها لا تتضمن تخزين بيانات حاملي البطاقات على أي نظام كمبيوتر.

نظرًا للطبيعة المحدودة للبيئة التي يشملها هذا التطبيق، فإن هذه السياسة تهدف إلى تلبية متطلبات PCI كما هو محدد في استبيان التقييم الذاتي (SAQ) C، الإصدار 2.0، أكتوبر 2010. إذا قامت nexgenexport بتنفيذ قنوات قبول إضافية، أو بدأت في تخزين أو معالجة أو إرسال بيانات حامل البطاقة بتنسيق إلكتروني، أو أصبحت غير مؤهلة للتحقق من الامتثال بموجب استبيان التقييم الذاتي (SAQ) C، فستكون مسؤولية nexgenexport تحديد معايير الامتثال المناسبة وتنفيذ سياسات وضوابط إضافية حسب الحاجة.

Policy

المتطلب 1: بناء شبكة آمنة وصيانتها

تكوين جدار الحماية

يجب أن تقيد جدران الحماية الاتصالات بين الشبكات غير الموثوقة وأي نظام في بيئة بيانات حامل البطاقة. "الشبكة غير الموثوقة" هي أي شبكة خارجية عن الشبكات التابعة للكيان قيد المراجعة، و/أو خارج قدرة الكيان على التحكم أو الإدارة. (متطلب PCI 1.2)

Inbound and outbound traffic must be restricted to that which is necessary for the cardholder data environment. All other inbound and outbound traffic must be specifically denied. (PCI Requirement 1.2.1)

All open ports and services must be documented. Documentation should include the port or service, source and destination, and a business justification for opening said port or service. (PCI Requirement 1.2.1)

يجب تثبيت جدران حماية محيطية بين أي شبكات لاسلكية وبيئة بيانات حامل البطاقة. ويجب تكوين جدران الحماية هذه لمنع أو التحكم (إذا كانت هذه الحركة المرورية ضرورية لأغراض العمل) في أي حركة مرور من البيئة اللاسلكية إلى بيئة بيانات حامل البطاقة. (متطلب PCI 1.2.3)

يجب أن يمنع تكوين جدار الحماية الوصول العام المباشر بين الإنترنت وأي مكون من مكونات النظام في بيئة بيانات حامل البطاقة على النحو التالي:

  • يحظر إجراء اتصالات مباشرة لحركة المرور الواردة والصادرة بين الإنترنت وبيئة بيانات حامل البطاقة (متطلب PCI 1.3.3)
  • يجب أن يتم تفويض حركة المرور الصادرة من بيئة بيانات حامل البطاقة إلى الإنترنت بشكل صريح (متطلب PCI 1.3.5)
  • يجب أن تنفذ جدران الحماية عملية التفتيش على الحالة، والمعروفة أيضًا باسم تصفية الحزم الديناميكية (متطلب PCI 1.3.6)

المتطلب 2: عدم استخدام الإعدادات الافتراضية التي يوفرها البائع لكلمات مرور النظام ومعلمات الأمان الأخرى

التخلف عن سداد الديون من قبل البائع

يجب دائمًا تغيير الإعدادات الافتراضية التي يوفرها البائع قبل تثبيت نظام على الشبكة. تتضمن أمثلة الإعدادات الافتراضية التي يوفرها البائع كلمات المرور وسلاسل مجتمع SNMP وإزالة الحسابات غير الضرورية. (متطلب PCI 2.1)

يجب تغيير الإعدادات الافتراضية للأنظمة اللاسلكية قبل التنفيذ. تتضمن الإعدادات الافتراضية للبيئة اللاسلكية، على سبيل المثال لا الحصر:

  • مفاتيح التشفير الافتراضية
  • كلمات المرور
  • سلاسل مجتمع SNMP
  • كلمات المرور/عبارات المرور الافتراضية على نقاط الوصول
  • الإعدادات الافتراضية الأخرى المتعلقة بالأمان للبائعين اللاسلكيين حسب الاقتضاء
  • يجب تحديث البرامج الثابتة على الأجهزة اللاسلكية لدعم التشفير القوي للمصادقة ونقل البيانات عبر الشبكات اللاسلكية. (متطلب PCI 2.1.1)

الخدمات والبروتوكولات غير الضرورية

لا يجوز تمكين سوى الخدمات والبروتوكولات والبرامج المساعدة الضرورية، وما إلى ذلك، حسب الحاجة لوظيفة النظام. ويجب تعطيل جميع الخدمات والبروتوكولات غير اللازمة بشكل مباشر لأداء الوظيفة المحددة للجهاز. (متطلب PCI 2.2.2)

الوصول الإداري غير المرتبط بوحدة التحكم

يجب تشفير بيانات الاعتماد الخاصة بالوصول الإداري غير المرتبط بوحدة التحكم باستخدام تقنيات مثل SSH أو VPN أو SSL/TLS. ويجب أن تتضمن تقنيات التشفير ما يلي: (متطلب PCI 2.3)

  • يجب استخدام تشفير قوي، ويجب استدعاء طريقة التشفير قبل طلب كلمة مرور المسؤول
  • يجب تكوين خدمات النظام وملفات المعلمات لمنع استخدام telnet وأوامر تسجيل الدخول عن بعد غير الآمنة الأخرى
  • يجب أن يتضمن وصول المسؤول إلى واجهات الإدارة المستندة إلى الويب

المتطلب 3: حماية بيانات حامل البطاقة المخزنة

البيانات المحظورة

يجب أن تكون هناك عمليات جاهزة لحذف بيانات المصادقة الحساسة بشكل آمن بعد الترخيص بحيث لا يمكن استرداد البيانات. (متطلب PCI 3.2)

يجب أن تلتزم أنظمة الدفع بالمتطلبات التالية فيما يتعلق بعدم تخزين بيانات المصادقة الحساسة بعد الترخيص (حتى لو كانت مشفرة):

  • لا يتم تخزين المحتويات الكاملة لأي بيانات مسار من الشريط المغناطيسي (الموجود على ظهر البطاقة، أو البيانات المكافئة الموجودة على شريحة، أو في أي مكان آخر) تحت أي ظرف من الظروف (متطلب PCI 3.2.1)
  • لا يتم تخزين رمز التحقق من البطاقة أو القيمة (رقم مكون من ثلاثة أو أربعة أرقام مطبوع على الجهة الأمامية أو الخلفية لبطاقة الدفع) تحت أي ظرف من الظروف (متطلب PCI 3.2.2)
  • لا يتم تخزين رقم التعريف الشخصي (PIN) أو كتلة رقم التعريف الشخصي المشفرة تحت أي ظرف من الظروف (متطلب PCI 3.2.3)

عرض PAN

سيقوم nexgenexport بإخفاء عرض أرقام الحسابات الأساسية، وسيقتصر عرض أرقام الحسابات الأساسية على الموظفين والأطراف الأخرى التي لديها احتياج مشروع فقط. سيعرض الرقم المخفي بشكل صحيح أول ستة أرقام وأخر أربعة أرقام من رقم الحساب الأساسي فقط. (متطلب PCI 3.3)

المتطلب رقم 4: تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة المفتوحة

نقل بيانات حامل البطاقة

يجب حماية بيانات حامل البطاقة المرسلة عبر الشبكات العامة المفتوحة من خلال استخدام تشفير قوي أو بروتوكولات أمان (على سبيل المثال، IPSEC وSSLTLS). لا يمكن قبول سوى المفاتيح و/أو الشهادات الموثوقة. بالنسبة لتطبيقات SSL/TLS، يجب أن يظهر HTTPS كجزء من عنوان URL، ولا يجوز إدخال بيانات حامل البطاقة إلا عندما يظهر HTTPS في عنوان URL. (متطلب PCI 4.1)

يجب استخدام أفضل ممارسات الصناعة (على سبيل المثال، IEEE 802.11i) لتنفيذ تشفير قوي للمصادقة والنقل للشبكات اللاسلكية التي تنقل بيانات حامل البطاقة أو المتصلة ببيئة بيانات حامل البطاقة. (متطلب PCI 4.1.1)

يُحظر إرسال أرقام PAN غير مشفرة بواسطة تقنيات المراسلة الخاصة بالمستخدم النهائي. ومن أمثلة تقنيات المستخدم النهائي البريد الإلكتروني والمراسلة الفورية والدردشة. (متطلب PCI 4.2)

المتطلب 5: استخدام برامج مكافحة الفيروسات وتحديثها بانتظام

مضاد الفيروسات

يجب أن تكون جميع الأنظمة، وخاصة أجهزة الكمبيوتر الشخصية والخوادم التي تتأثر بالفيروسات بشكل شائع، مزودة ببرنامج مكافحة فيروسات قادر على اكتشاف وإزالة وحماية جميع أنواع البرامج الضارة المعروفة. (متطلبات PCI 5.1، 5.1.1)

يجب تحديث كافة برامج مكافحة الفيروسات بشكل تلقائي، ويجب أن تكون قيد التشغيل بشكل نشط، وأن تكون مهيأة لتشغيل عمليات فحص دورية، وأن تكون قادرة على إنشاء سجلات تدقيق. ويجب الاحتفاظ بسجلات مكافحة الفيروسات وفقًا لمتطلب PCI 10.7. (متطلب PCI 5.2)