یکشنبه, ۰۱ دی ۱۳۹۲
۱۲:۲۶
۱۱۴
به گزارش روابط عمومی کهکشان، استاندارد PCI DSS V3 که بر مقوله امنیت پرداخت های مبتنی بر کارت حاکم است، امنیت اطلاعات را به وسیله بررسی معماری شبکه شرکت، طراحی نرم افزار، سیاستهای امنیتی، دستور العمل ها و فعالیتهای پیشگیرانه ارزیابی می کند.
درز اطلاعات سه میلیون کارت بانکی شهروندان ایرانی در اوایل سال گذشته ضرورت به کارگیری استانداردی که امنیت اطلاعات صنعت کارت های پرداخت را تامین کند بیش از پیش روشن ساخت با این حال هنوز هیچ کدام از بانک های ایرانی اقدامی برای دریافت استاندارد PCI DSS V3 از نهادهای بین المللی نکرده اند. به تازگی اما بانک مرکزی بر اساس نسخه قدیمی تر این استاندارد، بازرسی چک لیست هایی در خصوص پرداخت را الزامی کرده است که گام خوبی در این جهت به شمار می رود.
با توجه به اینکه در کشور تجربه مثبتی در زمینه بومی سازی استاندارد ISO27001 داشتیم و سازمان فناوری اطلاعات در این زمینه پیش قدم شد و اکنون به عنوان نهاد صادر کننده این استاندارد در کشور به شمار می رود، ایفای نقشی مشابه از سوی بانک مرکزی در زمینه استاندارد PCI DSS V3 نیز می تواند راهگشا باشد. به خصوص اینکه در این استاندارد گواهینامه ای صادر نمی شود و باید یک نهاد بالاسری رعایت مفاد استاندارد یاد شده را تایید کند.
با وجودیکه فاصله زیادی تا بومی سازی این استاندارد در کشور داریم مجموعه شرکت های کهکشان در این زمینه گام نخست را برداشته و اقدام به فارسی سازی و ترجمه نسخه دوم استاندارد PCI DSS کرده است.
استانداردPCI DSS هر سه سال یک بار به روز رسانی می شود و تامین امنیت کارت ها، امنیت سیستم های پرداخت، امنیت زیرساخت های شبکه و امنیت سیستم های ارتباطی را هدف قرار داده است.
نسخه سه استاندارد مذکور از اول ژانویه ۲۰۱۴ لازمالاجرا است و نسخه دوم نیز تا ۳۱ دسامبر ۲۰۱۴ برای حصول اطمینان از وجود زمان کافی برای انتقال، فعال خواهد بود.
در این نسخه تلاش شده تا امنیت پرداخت را برای سازمانها به یک روال معمول کسب و کار تبدیل کند و این کار را با ایجاد انعطاف در بطن استاندارد و تمرکز ویژه روی آموزش، آگاهی و امنیت به انجام رسانده است. تغییرات در این استاندارد نیز در راستای رسیدن به این هدف و تبدیل شدن به یک فعالیت روزانه ایجاد شده اند. همچنین جهت فهم آسان این استاندارد سند راهنمای آن PCI DSS (Navigating PCI DSS Guide) در متن سند ذکر شده است.
سومین نسخه استاندارد PCI DSS با تغییراتی در 10 بند منتشر شده است. تغییرات این استاندارد نسبت به نسخه پیشین شامل مواردی همچون ارزیابی میزان درگیری تهدیدات بد افزارها برای سیستم هایی که تاکنون آلوده نشده اند، ترکیب حداقل الزامات پیچیدگی و قدرت گذرواژه در یک راهکار جایگزین با انعطاف بیشتر، بررسی دسترسیهای فیزیکی به ناحیهها و مکانهای حساس توسط پرسنل، پیادهسازی فرایندی جهت پاسخ به هرگونه هشدار از طرف مکانیزمهای کشف تغییرات، شامل فرایند اعطای مجوز و لغو آن بلافاصله پس از اتمام فعالیت و حفاظت از دستگاههایی که اطلاعات کارت به صورت تماس فیزیکی را دریافت میکنند در مقابل دستکاری و جایگزینی و ... است.
کهکشان مرکز آموزش های تخصصی امنیت و فناوری اطلاعات، آماده برگزاری این دوره های امنیتی است.