ar
اتصل بنا

معيار PCI DSS

*الصورة لأغراض التوضيح فقط.

الامتثال لمعيار PCI DSS

يضع معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) متطلبات صارمة لحماية بيانات بطاقات الدفع. ويتمثل المبدأ الأساسي في الحد من الوصول إلى المعلومات الحساسة قدر الإمكان. والحل الأمثل للشركات هو إلغاء الوصول المباشر إلى بيانات البطاقات تمامًا، وذلك بتفويض هذه المهمة إلى مزودي خدمات دفع معتمدين.

أهم المحظورات وقواعد معالجة البيانات

ممنوع منعاً باتاً:

  • طلب أرقام بطاقات الدفع من العملاء؛
  • استلام أرقام البطاقات عبر قنوات اتصال غير آمنة؛
  • نقل أرقام البطاقات بأي وسيلة خارج البيئة المحمية.

خطة العمل في الحالات النموذجية:

مكالمة هاتفية: إذا حاول العميل إملاء رقم البطاقة بسبب مشكلة في الدفع:

  • مقاطعة العميل بأدب؛
  • أوضح أنه وفقًا لقواعد الأمن، لا يمكن قبول هذه البيانات عبر الهاتف؛
  • توفير طريقة آمنة لحل المشكلة (على سبيل المثال، إعادة الدفع من خلال نموذج آمن على الموقع الإلكتروني).

قنوات الاتصال الإلكترونية (البريد الإلكتروني، تطبيقات المراسلة، الشبكات الاجتماعية): في حال أرسل العميل رقم بطاقة:

  • احذف الرسالة فوراً؛
  • إبلاغ العميل بشأن انتهاك سياسة الأمان؛
  • التوصية بأساليب اتصال آمنة لحل المشكلة؛
  • اطلب منهم عدم إرسال مثل هذه البيانات عبر القنوات المفتوحة في المستقبل.

ما هي البيانات التي يجب حمايتها؟

تشمل البيانات المحمية ما يلي:

1. البيانات الشخصية لحامل البطاقة:

  • رقم البطاقة (PAN)؛
  • اسم حامل البطاقة؛
  • تاريخ انتهاء صلاحية البطاقة.

2. بيانات المصادقة الحساسة (SAD):

  • رموز التحقق: CVV2، CVC2، CVP2، ما يعادل CVP2؛
  • رمز التعريف الشخصي (PIN)؛
  • بيانات الشريط المغناطيسي؛
  • بيانات أخرى تُستخدم للتحقق من صحة البطاقة.

قواعد تخزين البيانات

تختلف متطلبات التخزين باختلاف نوع البيانات:

1. بيانات المصادقة الحساسة (SAD) – يُحظر منعاً باتاً تخزينها بأي شكل من الأشكال بعد إتمام عملية تفويض المعاملة. ويشمل ذلك النسخ المؤقتة والسجلات والنسخ الاحتياطية.

2. رقم البطاقة (PAN) – يُسمح بتخزينه، ولكن فقط بصيغة محمية. الصيغ المسموح بها:

  • البيانات المشفرة (باستخدام خوارزميات تشفير معتمدة)؛
  • القيم المجزأة (تحويل غير قابل للعكس)؛
  • البيانات المقنّعة (لا يُسمح بعرض سوى BIN وآخر 4 أرقام؛ يجب إخفاء الأحرف المتبقية – على سبيل المثال، 1234****5678 ).

3. يمكن تخزين اسم حامل البطاقة وتاريخ انتهاء صلاحية البطاقة كنص عادي، حيث لا تعتبر هذه البيانات حساسة للغاية بموجب معيار PCI DSS.

الامتثال لمعيار PCI DSS مع شركة ترانزا

ترانزا هي شركة معتمدة لتقديم الخدمات، وتتمتع بأعلى مستوى من الامتثال لمعايير PCI DSS. وهذا يعني أن الخدمة:

  • مخول بتخزين بيانات بطاقات الدفع وفقًا لمتطلبات الأمان؛
  • بإمكانها معالجة أكثر من 6 ملايين دفعة سنوياً؛
  • تخضع لعمليات تدقيق سنوية للحصول على الشهادات للتأكد من الامتثال للمعايير.

مزايا العمل مع ترانزا:

  • تم تصميم جميع أدوات الدفع الخاصة بالخدمة مع مراعاة متطلبات معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)؛
  • عند استخدام الحلول القياسية، فإنك تفي تلقائيًا بمتطلبات الأمان – ولا يلزم اتخاذ تدابير وقائية إضافية؛
  • تتولى المنصة العبء الرئيسي لحماية البيانات، مما يقلل المخاطر التي تواجه عملك.

شروط خاصة: قبول المدفوعات عبر تقنية الدفع الإلكتروني

لاستخدام تقنية الدفع، يجب عليك أيضًا التأكد من الامتثال لمتطلبات معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS):

  • إكمال استبيان التقييم الذاتي (SAQ) – وهو وثيقة تؤكد فيها الشركة امتثالها للمتطلبات الرئيسية للمعيار.
  • فحص الثغرات الأمنية ربع السنوي – عمليات فحص منتظمة للمواقع الإلكترونية بحثًا عن نقاط الضعف باستخدام ماسح ضوئي متخصص معتمد من قبل مجلس معايير أمان PCI (PCI SSC).
  • مراقبة التغييرات – عند إجراء أي تغييرات على البنية التحتية للدفع، يجب إعادة تقييم الامتثال.

باتباع هذه القواعد واستخدام حلول دفع موثوقة مثل Tranza، ستضمن مستوى عالٍ من حماية البيانات والامتثال لمعايير الأمن الدولية.