أعلنت شركة Shoplazza، وهي منصة عالمية رائدة في مجال التجارة الإلكترونية، عن حصولها مؤخرًا على شهادة معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) الإصدار 4.0.1، وهو أحدث إطار أمني إلزامي يحكم حماية بيانات بطاقات الدفع. تأتي هذه الشهادة مع تقاعد معيار PCI DSS الإصدار 3.2.1 رسميًا في 31 مارس 2024، مما يجعل الإصدار 4.0.1 هو المعيار الوحيد الصالح للمؤسسات التي تتعامل مع معلومات بطاقات الدفع.
تضع Shoplazza معيارًا قياسيًا في الامتثال لأمن المدفوعات
من خلال الامتثال الكامل لمعيار PCI DSS الإصدار 4.0.1، تؤكد Shoplazza أن بنيتها التحتية وعملياتها تلبي أعلى المعايير العالمية لحماية بيانات حامل البطاقة. تُعد هذه الشهادة أمرًا بالغ الأهمية للحفاظ على التكامل السلس مع مزودي خدمات الدفع مثل PayPal، حيث يؤدي عدم الامتثال لتفويضات PCI DSS إلى فرض قيود أو إنهاء امتيازات معالجة الدفع.
قال أليسون، مدير العمليات في Shoplazza: "إن اعتماد الإصدار 4.0.1 من PCI DSS v4.0.1 ليس اختيارياً بل ضرورة تجارية في المشهد الرقمي اليوم". "من خلال تضمين أحدث الضوابط الأمنية، فإننا نمكّن التجار من العمل دون انقطاع، مع العلم أن أنظمة الدفع الخاصة بهم تتوافق مع المتطلبات الصارمة لشبكات البطاقات الرئيسية ومقدمي خدمات الدفع."
ما هو PCI DSS v4.0.1؟
تم تطويره من قِبل مجلس معايير أمن صناعة بطاقات الدفع (PCI SSC)، وهو إطار عمل معترف به عالميًا مصمم لمنع الاحتيال في بطاقات الدفع وانتهاكات البيانات وسرقة الهوية. يقدم تحديث الإصدار 4.0.1، الذي تم إصداره في يونيو 2024، أهدافًا وتحسينات رئيسية، بما في ذلك:
-
الاستمرار في تلبية الاحتياجات الأمنية لصناعة المدفوعات
-
تعزيز الأمن كعملية مستمرة
-
زيادة المرونة للمؤسسات التي تستخدم أساليب أمنية متنوعة
-
تعزيز أساليب التحقق من الصحة والإجراءات الداعمة
إلى جانب ذلك، يستجيب أيضًا للتحديات التقنية والأمنية
-
البيئات السحابية وأمن واجهة برمجة التطبيقات: متطلبات جديدة تقدم ضوابط محددة لتأمين البنية التحتية المستندة إلى السحابة وتعزيز إجراءات أمن واجهة برمجة التطبيقات.
-
التصيد الاحتيالي المتقدم والبرمجيات الخبيثة: تم تضمين ضمانات محسّنة لمواجهة مخططات التصيّد الاحتيالي وهجمات البرمجيات الخبيثة المتطورة بشكل متزايد.
-
التشفير وإدارة المفاتيح: يفرض المعيار الآن بروتوكولات تشفير أقوى وممارسات إدارة مفاتيح أكثر صرامة لحماية بيانات الدفع الحساسة.
تحديثات المفاتيح: معيار PCI DSS الإصدار 4.0 مقابل الإصدار 3.2.1
للاستعداد بشكل أفضل، يسلط الرسم البياني التالي الضوء على ثلاثة اختلافات رئيسية بين الإصدار 3.2.1 من معيار PCI DSS v3.2.1 والإصدار 4.0.1 المحدّث.
|
الجانب
|
الإصدار 3.2.1 من PCI DSS v3.2.1
(تقاعد بالكامل بحلول 31 مارس 2024)
|
الإصدار 4.0 من PCI DSS v4.0 ( ساري المفعول بالكامل بحلول 31 مارس 2025)
|
|
إطار الامتثال
|
النهج المحدد: وهي الطريقة الافتراضية، التي تتطلب من المؤسسات اتباع الضوابط التفصيلية وإجراءات الاختبار التي وضعتها PCI SSC، مما يسمح بضوابط التعويض فقط عندما يكون هناك ما يبرر ذلك.
|
النهج المخصص: يسمح للمؤسسات بالاستفادة من التقنيات المبتكرة (على سبيل المثال، التشفير الديناميكي والأمان السحابي الأصلي) لتحقيق أهداف الأمان. ومع ذلك، يلزم إجراء تحليل مخاطر مستهدف لكل عنصر تحكم مخصص وتقديم وثائق التقييم.
|
|
سياسة كلمة المرور
|
7 أحرف كحد أدنى ويجب تغييرها خلال 90 يومًا
|
زيادة الحد الأدنى للطول إلى 12 حرفاً (8 في حالة تطبيق قيود النظام). تقديم آلية تحليل أمان ديناميكية للحساب، وعدم الحاجة إلى تغيير كلمات المرور/عبارات المرور مرة واحدة على الأقل كل 90 يوماً.
|
|
المصادقة متعددة العوامل (MFA)
|
على وجه التحديد، يفرض المتطلب 8.3 المصادقة متعددة العوامل (MFA) للوصول إلى الشبكة عن بُعد (من قبل المستخدمين أو المسؤولين أو الجهات الخارجية) من خارج شبكة الشركة.
|
تعتبر المصادقة متعددة العوامل (MFA) إلزامية لجميع الحسابات التي تصل إلى بيئات بيانات حامل البطاقة (CDE)، بما في ذلك الحسابات الإدارية وحسابات النظام، مما يعزز أمان المصادقة.
|
مخاطر عدم الامتثال: سبب أهمية الامتثال
إن عدم اعتماد الإصدار 4.0.1 من PCI DSS v4.1 يعرض الشركات لمخاطر شديدة:
-
الاختراقات الأمنية: الأنظمة القديمة معرضة للتهديدات الحديثة مثل القرصنة الإلكترونية والتصيد الاحتيالي، والتي تكلف الشركات العالمية خسائر تقدر بتريليونات الدولارات سنوياً. على سبيل المثال، تتوقع شركة Statista's Market Insights التابعة لشركة Statista أن ترتفع تكاليف الجرائم الإلكترونية العالمية من 9.22 تريليون دولار في عام 2024 إلى 13.82 تريليون دولار بحلول عام 2028.
-
العقوبات التنظيمية: تواجه الكيانات غير الممتثلة قيودًا على معالجة المعاملات أو غرامات أو حتى فقدان امتيازات معالجة المدفوعات.
-
تعطل الأعمال: قد يؤدي عدم القدرة على تلبية معايير PCI DSS إلى إعاقة الشراكات مع مزودي خدمات الدفع العالميين ومقدمي خدمات الاستحواذ، مما يحد من توسع السوق.
كيف تبسط Shoplazza الامتثال للتجار؟
إن امتثال Shoplazza لمعايير PCI DSS الإصدار 4.0.1 من PCI DSS يعفي التجار من عبء الاعتماد المستقل. من خلال الاستفادة من المنصة، يمكن للبائعين:
-
التركيز على نمو الأعمال بينما تدير Shoplazza أمان الدفع من البداية إلى النهاية.
-
التكامل بسلاسة مع مزودي خدمات الدفع مثل PayPal، مع العلم أن تدفق المعاملات بالكامل متوافق مع PCI.
-
الوصول إلى ميزات أمان قوية، بما في ذلك نقل البيانات المشفرة، ومراقبة الاحتيال في الوقت الفعلي، وإدارة الثغرات الأمنية تلقائياً.
الخطوات التالية للتجار
مع تقاعد الإصدار 3.2.1 من PCI DSS في 31 مارس 2024، والإصدار 4.0.1 الذي سيصبح إلزاميًا بالكامل بحلول 31 مارس 2025، يتم حث التجار على إعطاء الأولوية للامتثال. تقدم منصة Shoplazza المعتمدة من Shoplazza حلاً جاهزًا للشركات التي تسعى إلى معالجة دفع آمنة ومتوافقة دون تعقيد التنفيذ المستقل.
