ما هو PCI وما مدى أهميته لسوق المدفوعات؟

بقلم موريسيو أوكوياما، مدير ما قبل المبيعات في Kryptus

PCI (من الإنجليزية، صناعة بطاقات الدفع) أو PCI SSC (PCI معايير مجلس الأمن) هي منظمة عالمية تجمع أصحاب المصلحة في صناعة المدفوعات بهدف تطوير وتعزيز اعتماد معايير عالية وموارد أمن المعلومات لقطاع المدفوعات. ولضمان حدوث هذا التبني بشكل متسق، تحتفظ PCI بقاعدة من المعايير والمتطلبات، بما في ذلك أمان PCI PIN، والتي تتم مراجعتها وتحديثها بشكل دوري، وتغطي أكثر قطاعات الصناعة تنوعًا: مقدمو خدمات الدفع، ومقدمو حلول البرامج، ومقدمو حلول الأجهزة، وما إلى ذلك.

على سبيل المثال، تتبع جميع الشركات التي تعمل بطريقة ما ضمن سلسلة توريد الخدمات أو الموارد التكنولوجية للدفع عبر البطاقات ذات "العلامات التجارية الكلاسيكية" (أمريكان إكسبريس، ديسكوفر، ماستركارد، فيزا) بعض معايير PCI المحددة. هناك متطلبات للشركة التي تعالج المدفوعات من خلال "آلة" البطاقة، ولمركز البيانات أو الشركة التي تستضيف برامج الدفع أو واجهات برمجة التطبيقات، وحتى للشركة التي تصنع الأجهزة التشفيرية المستخدمة في هذا القطاع.

لماذا يعد PCI مهمًا؟

تتمتع العلامات التجارية للبطاقات بمتطلباتها الفنية والتشغيلية الخاصة، والتي يتعين على الكيانات التي تقدم المنتجات والخدمات لصناعة المدفوعات تنفيذها. في جوانب معينة، تتعلق بمجال الأمن أو مجالات أخرى، تختلف متطلبات وشروط علم واحد عن متطلبات وشروط علم آخر. لذلك، يحتاج مزود المنتج و/أو الخدمة الذي يرغب في تغطية جميع العلامات التجارية ضمن محفظته إلى مجموعة واضحة من المتطلبات التي، إذا تم الوفاء بها بشكل صحيح، ستسمح للمزود بتغطية النقاط المشتركة والخصائص المحددة لكل علامة تجارية للبطاقة.

مع مراعاة احتياجات واهتمامات ومتطلبات العلامات التجارية، تعمل PCI كوسيط بينها وبين أصحاب المصلحة الآخرين في قطاع المدفوعات، مما يؤدي إلى إنشاء أساس مشترك للمعايير التي يجب على مقدمي المنتجات والخدمات في القطاع اتباعها. ومن ثم، فمن خلال توحيد أصحاب المصلحة الأكثر تنوعًا فيما يتعلق بصناعة المدفوعات والحفاظ على معايير الأمن وتطويرها، يساهم PCI في التنمية المستدامة والعالمية للقطاع.

فى النهاية، المستفيد من هذا هو المستهلك والمجتمع، الذين ينتهي بهم الأمر إلى الاستفادة من نظام دفع عالمي وموثوق به، ومريح بشكل متزايد من خلال التطورات التكنولوجية المرتبطة بمتطلبات الأمن.

ما هي فوائد معايير PCI لسوق المدفوعات والمستخدم النهائي؟

يتيح PCI استخدام قاعدة مشتركة من معايير ومتطلبات الأمان التي يتعين على أصحاب المصلحة الأكثر تنوعًا في قطاع المدفوعات اتباعها. إذا لم تكن هذه القاعدة الموحدة موجودة، فربما لن نتمكن من الاستمتاع بسهولة الدفع ببطاقاتنا في أي مكان تقريبًا في العالم أو على أي موقع تسوق. ومن ثم، فإن نشاط PCI ضروري للسوق وللمستخدم النهائي، الذي يستفيد من نظام دفع عالمي وموثوق به، ومريح بشكل متزايد من خلال التطورات التكنولوجية المرتبطة بمتطلبات الأمان.

حول أمان دبوس PCI

O أمان PCI PIN هو أحد معايير PCI ويجب اعتماده من قبل جميع الشركات التي تدير وتعالج وتنقل بيانات رقم التعريف الشخصي (PIN) أثناء معالجة معاملات بطاقات الدفع عبر الإنترنت وخارجها في أجهزة الصراف الآلي ونقاط البيع (PoS).

تحدد المتطلبات التي وضعها معيار أمان PCI PIN أن جميع أرقام التعريف الشخصية التي يدخلها حامل البطاقة يجب معالجتها على جهاز يتوافق مع متطلبات أجهزة التشفير الآمنة (SCD)، مثل HSM (وحدة أمان الأجهزة). لا ينبغي أبدًا عرض أرقام التعريف الشخصية (PIN) "بشكل واضح" خارج وحدة التشفير.

شهادة FIPS 140-2 وPCI

تعد نشرة 140-2 الخاصة بمعيار معالجة المعلومات الفيدرالي (FIPS) معيارًا يحدد الحد الأدنى من متطلبات الأمان لوحدات الأمان التشفيرية. إن الحصول على شهادة FIPS 140-2 يعني أن معداتك تم التحقق من صحتها من قبل المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) والمركز الكندي للأمن السيبراني (CCCS). باختصار، تضمن المعايير أن المنتج يستخدم ممارسات أمان قوية، مثل طرق الحماية المادية والمنطقية، بالإضافة إلى آليات التشفير المعتمدة في أحد مستويات الأمان الأربعة FIPS 140-2.

لكي تكون المؤسسة المالية متوافقة مع قواعد أمان PCI PIN ولضمان الحصول على الشهادة، من الضروري أن تلبي وحدات أمان الأجهزة (HSMs)، أو وحدات الأمان التشفيرية، المستخدمة لتخزين المفاتيح التشفيرية في معاملات الدفع، المتطلبات التي تتطلبها شهادة FIPS 140-2 المستوى 3. هناك مثالان لشركات حصلت على شهادة PCI PIN Security من خلال تنفيذ Kryptus HSMs، والتي تتمتع بشهادة FIPS 140-2 المستوى 3، بالقرب من جنوب أفريقيا س المجموعة السابعة. كان من الضروري أن يتوافق كلا النظامين مع معايير PCI وأن يضمنا قوة البنية التحتية الأمنية وراء المعاملات المالية.