12 راه حل برتر انطباق PCI

ساخت وبلاگ

آخرین مطالب

امکانات وب

12 راه حل برتر انطباق PCI

همانطور که شخصیت دون درپر از سریال های تلویزیونی کلاسیک "Mad Men" یک بار گفت ، "تغییر نه خوب است و نه بد ، به سادگی است". فناوری کارت پرداخت فرصت های بی شماری جدید اما همچنین خطرات بی شماری جدید را به همراه داشت. به منظور مقابله با این خطرات ، اکوسیستم جدیدی از ابزارهای محافظت با پیچیدگی ها و مشکلات خاص خود ایجاد شد. برای اداره این اکوسیستم ، استانداردهای امنیتی مانند PCI DSS (استاندارد امنیت داده های صنعت کارت پرداخت) ایجاد شده است. پایبندی غیر دقیق به الزامات PCI DSS ، به معنای از دست دادن حق استفاده از کارت های اعتباری و بدهی است.

چه چیزی برای انطباق PCI DSS لازم است؟

پردازش معاملات کارت پرداخت شامل ایجاد و ذخیره داده های حساس است. PCI DSS الزاماتی را که ذخیره ایمن و ایمن چنین داده هایی را تضمین می کند ، تصریح می کند.

انواع داده های ایجاد شده در معاملات کارت پرداخت

دو نوع داده وجود دارد که در طی معاملات کارت پرداخت تولید می شود که هر یک دارای مقررات PCI DSS خاص خود هستند:

  • داده های احراز هویت که مجاز به ذخیره نیستند و باید فوراً از هر سیستم ذخیره سازی پاک شوند. این شامل: مقدار تأیید کارت (CVV) است. شماره حساب اولیه (PAN) و شماره شناسایی شخصی (PIN)
  • داده های عدم تأیید که ممکن است در شرایطی که سازمان با رعایت استانداردهای امنیتی از آن اطلاعات محافظت می کند ، ذخیره و پردازش می شود. این داده ها شامل نام دارنده کارت ، تاریخ انقضا کارت و کد خدمات است.

12 مورد نیاز توسط PCI DSS ارائه شده است

PCI DSS 12 الزامات واجب را مشخص می کند که هر سرویس پردازش کارت پرداخت/ پرداخت باید کاملاً برآورده شود. این 12 مورد معمولاً تحت 6 هدف گروه بندی می شوند:

1. ایجاد و حفظ یک شبکه امن

  • نصب و نگهداری فایروال برای اسکن کلیه ترافیک شبکه و مسدود کردن تلاش های دسترسی از شبکه های غیرقابل اعتماد.
  • پارامترهای پیکربندی امنیتی پیش فرض (مانند رمزهای عبور دهنده فروشنده) باید در سیستم های موجود و جدید تغییر یافته و اصلاح شود.

2. از داده های دارنده کارت محافظت کنید

  • PCI DSS با استفاده از روش هایی مانند رمزگذاری ، هش ، نقاب زدن ، کوتاه کردن و پاک کردن در صورت لزوم ، به محافظت از داده های دارنده کارت نیاز دارد.
  • داده های دارنده کارت باید هنگام ذخیره و هنگام انتقال رمزگذاری شود. در هر شرایطی که داده های دارنده کارت در شبکه های عمومی باز و عمومی منتقل شود ، باید با استفاده از استانداردهای رمزگذاری قوی (SSH ، TLS و غیره) رمزگذاری شود.

3. یک برنامه مدیریت آسیب پذیری را حفظ کنید

  • نصب برنامه های آنتی ویروس/ ضد ویروس به طور مرتب به روز شده در کلیه سیستم ها (محلی و از راه دور). به روزرسانی منظم باید این برنامه ها را به روز نگه دارد و بتواند در برابر ویروس/مالورس قدیمی شناخته شده و موارد جدید محافظت کند.
  • کلیه برنامه ها و سیستم ها باید به طور مداوم به روز شوند. آخرین تکه های امنیتی به روز باید بلافاصله نصب شود تا هر نوع آسیب پذیری را برطرف کند.

4- اقدامات کنترل دسترسی قوی را اجرا کنید

  • PCI DSS نیاز به محدود کردن دسترسی به داده های کارتی را فقط به پرسنل مجاز بر اساس نیاز به دانستن دارد. علاوه بر این ، سابقه ای از هر شخص ، نقش آنها و امتیازات دسترسی باید حفظ شود.
  • یک شناسایی منحصر به فرد (ID) باید با دسترسی به مؤلفه های سیستم به هر شخص اختصاص یابد تا بتواند شناسایی دسترسی ، تأیید اعتبار ، ضبط و پاسخگویی دسترسی به داده ها را فراهم کند.
  • دسترسی فیزیکی به داده های دارنده کارت یا سیستم های حاوی این داده ها باید محدود شود.

5- به طور مرتب شبکه ها را کنترل و آزمایش کنید

  • تمام دسترسی به داده های دارنده کارت و منابع شبکه باید دائماً ردیابی و کنترل شود ، یعنی یک سیستم سیستم برای ردیابی فعالیت های کاربر باید حفظ شود.
  • هر سیستم امنیتی ، فرآیند و نرم افزار باید به طور مکرر و منظم بررسی و آزمایش شود تا به طور فعال نقاط ضعف و آسیب پذیری ها را تشخیص دهد.

6. یک سیاست امنیت اطلاعات را حفظ کنید

  • مدیریت یک سیاست امنیت اطلاعاتی برای کلیه پرسنل (کارمندان ، فروشندگان ، پیمانکاران و غیره). این خط مشی باید به عنوان مثال ، توجیهات امنیتی منظم را شامل شود ، و اطمینان حاصل شود که همه پرسنل مسئولیت خود را برای محافظت از داده های حساس و بررسی های جامع پس زمینه درک می کنند.

12 راه حل برتر انطباق PCI

اکنون ما در مورد 12 راه حل برتر برای اطمینان از انطباق PCI DSS بحث خواهیم کرد.

راه حل های SIEM (اطلاعات امنیتی و مدیریت رویداد)

1. آنالایزر EventLog

قیمت گذاری: نسخه رایگان ، نسخه حق بیمه - 595 دلار ؛نسخه توزیع شده - 2،495 دلار

EventLog Analyzer تمام داده های ورود به سیستم ایجاد شده توسط سیستم های شبکه ، برنامه ها و دستگاه ها را در یک مخزن متمرکز رمزگذاری و حفظ می کند. این مناسب برای مشاغل در هر اندازه است. با این حال ، همبستگی ورود به سیستم پیچیده است و در مورد امنیت سایبری یکپارچه سازی امنیتی خوبی وجود ندارد.

2. CrowdStrike Falcon X

قیمت گذاری: در هر نقطه پایانی 25. 00 دلار شروع می شود

CrowdStrike Falcon X یک سرویس حفاظت از نقطه پایانی با ابری با قابلیت های کشف ، پاسخ و تهدید شکار است. این راه حل برای مشاغل در هر اندازه طراحی شده است اما ممکن است برای مشاغل کوچک هزینه ای داشته باشد. علاوه بر این سیستم نیاز به پهنای باند بالایی دارد.

3. مدیر رویداد امنیتی اصلی

قیمت گذاری: نسخه های رایگان/ مجوز سالانه که از 9000 دلار شروع می شود

مدیر رویداد داده ها را از منابع مختلف به یک مکان مرکزی تبدیل می کند و سپس آن را ادغام و عادی می کند تا بین فعالیت های مضر و کارهای معصوم تمایز قائل شود. این مناسب برای مشاغل کوچک و متوسط است. این توانایی حفر کردن در نقاط داده های فردی را ندارد.

درباره پلتفرم DSPM ما بیشتر بدانید

Polar security dashboard- Polar detects shadow data and sensitive data flows for Ocrolus

مدیریت وضعیت امنیتی داده های ابر (DSPM):

4. امنیت قطبی

قیمت گذاری: ناشناخته

DSPM Security Polar Security بر مدیریت امنیت ذخیره سازی ابری هوشمند و بهینه متمرکز است تا از نشت داده هایی که می تواند منجر به عدم رعایت PCI شود ، جلوگیری کند. فناوری منحصر به فرد آن به طور خودکار کلیه داده های مهم و حساس را به طور خودکار تشخیص می دهد ، نقشه ها و برچسب ها (از جمله داده های سایه ای که اغلب در زیر رادار می لغزد). پلت فرم DSPM آن نقشه برداری خودکار را امکان پذیر می کند ، به شما امکان می دهد آسیب پذیری های حساس داده های حساس و ناشناخته را به طور پیش بینی کنید و از این اطلاعات برای بهینه سازی استقرار منابع امنیتی استفاده کنید. راه حل برای مشاغل با همه اندازه از همه زمینه ها مناسب است.

راه حل های امنیتی شبکه

5. نقطه بازیابی

قیمت گذاری: ناشناخته

RestorePoint اجازه می دهد تا از تهیه نسخه پشتیبان از پیکربندی شبکه ، حسابرسی های انطباق ، دسترسی به دستگاه های شبکه و ردیابی موجودی شبکه استفاده کنید. این مناسب برای مشاغل در هر اندازه مناسب است ، اما این سیستم می تواند کاملاً پیچیده باشد و به اپراتورهای باتجربه نیاز دارد.

6. بازتاب

قیمت گذاری: ناشناخته

Reflectiz برای تشخیص و کاهش تهدیدهای امنیتی از یک راه حل غیر تهاجمی SaaS استفاده می کند. این بهترین خدمات مالی ، خرده فروشی ، تجارت الکترونیک ، بیمارستان و مراقبت های بهداشتی ، مسافرت و گردشگری است. UX/ UI سیستم نیاز به پیشرفت دارد.

راه حل های حفاظت از نقطه پایانی

7. نقطه پایانی X

قیمت گذاری: بین 20 تا 79 دلار برای هر کاربر/ در سال.

این یک ابزار تشخیص و پاسخ نقطه پایانی است. از یادگیری عمیق برای محافظت در برابر حملات بدافزار شناخته شده/ ناشناخته استفاده می کند. این برای مشاغل در هر اندازه مناسب است اما از ایستگاه های کاری لینوکس پشتیبانی نمی کند.

8. هارمونی ایست بازرسی

قیمت گذاری: سال اول رایگان. اشتراک اساسی با 36 دلار در سال آغاز می شود.

نقطه پایانی نقطه بررسی نقطه پایان ، حملات هدفمند بدافزار را تشخیص داده و کاهش می دهد. راه حل برای مشاغل در هر اندازه مناسب است. این امر به افزایش قابلیت های مستندات نیاز دارد و گاهی اوقات می تواند پاسخگو یا آهسته برای پردازش یک پرس و جو باشد.

راه حل های مدیریت پیکربندی و کنترل دسترسی

9. طیفی

قیمت گذاری: ناشناخته

طیفی یک راه حل سایبری است که از موتور اسکن ، هوش مصنوعی و آشکارسازها برای تشخیص خطاهای امنیتی مضر در کد ، تنظیمات و سایر مصنوعات استفاده می کند. این بهترین برای توسعه دهندگان و DevOps مناسب است. با گزینه های بسیار بیشتری به یک قابلیت گزارش قوی تر نیاز است ، همچنین برخی از عناصر UI قابل تنظیم نیستند.

10. ردیاب تغییر Netwrix

قیمت گذاری: ناشناخته

NetWrix Change Tracker تغییرات در تنظیمات ، پرونده ها ، ثبت ها ، تنظیمات و عملکرد همه دستگاه ها را ردیابی می کند. این مناسب برای مؤسسات مالی ، سازمان های بهداشت و درمان ، سازمان های دولتی و موسسات آموزشی است. مستندات این ابزار بیش از حد پراکنده است.

Polar detects shadow data and sensitive data flows for Ocrolus

مطالعه موردی

ببینید که چگونه Ocrolus در کمتر از 5 دقیقه 1،389 فروشگاه داده سایه را در محیط ابر خود کشف کرد

راه حل های به اشتراک گذاری فایل ایمن

11. Goanywhere انتقال پرونده مدیریت شده

قیمت گذاری: نسخه رایگان/حق بیمه از 1995 دلار شروع می شود.

Goanywhere MFT تمام نقل و انتقالات پرونده و پردازش مرتبط را مدیریت و تضمین می کند. این ویژگی از ویژگی های حسابرسی و گزارشگری برخوردار است و برای انواع سازمان های بین المللی مناسب تر است. ابزارها

گزینه های مستندات فاقد هستند و راهنمایی کاربر نهایی نیز وجود دارد.

12. Maytech Quatrix

قیمت گذاری: (در هر کاربر/در هر ماه) 2-9 کاربر: با 12. 90 دلار شروع می شود. 10-49 کاربر: با شروع 9. 70 دلار ؛50 - کاربران نامحدود: قیمت سفارشی.

Quatrix توسط Maytech یک ابزار به اشتراک گذاری فایل شرکت در سراسر جهان است. این گزینه های امنیتی ، اتوماسیون گردش کار و ممیزی غنی را ارائه می دهد. سیستم تخفیف حجم آن به ویژه برای تیم های بزرگتر مفید است. UX می تواند بهبود یابد و از نظر بصری جذاب تر شود.

نحوه بهبود انطباق PCI - خلاصه و نتیجه گیری

به طور خلاصه ، هر سازمانی که می خواهد از کارتهای پرداخت استفاده کند باید از مقررات PCI DSS مربوط به کلیه داده های حساس (کنترل دسترسی ، ارزیابی امنیت و آسیب پذیری ، مکانیسم های محافظت چندگانه که دائماً به روز می شوند و غیره) رعایت کنند.

امروز سازمان ها داده های عظیمی را ایجاد می کنند که در تمام سیستم های خود پخش می شوند. علاوه بر این ، بسیاری از این داده ها به شکل داده های سایه ناشناخته ارائه می شوند. یکی از چالش های عظیم برای هر کسی که سعی در پیروی از PCI DSS دارد ، قرار دادن ، جمع آوری و سازماندهی داده های مربوطه است.

مدیریت وضعیت امنیتی داده های ابر (DSPM) توسط Polar Security یک راه حل منحصر به فرد و پیشرفته برای این چالش فراهم می کند - DPSM به طور خودکار همه داده های مهم و حساس (از جمله داده های سایه) را به طور خودکار تشخیص می دهد ، نقشه ها و برچسب ها.

استفاده از راه حل قدرتمند Polar Security به شرکت های سازمانی این امکان را می دهد تا به سرعت و به راحتی درک کنند که در کجا می توانند منابع امنیتی خود را متمرکز کنند ، بنابراین به طور چشمگیری محافظت از داده ها و رعایت الزامات PCI DSS را بهینه می کنند.

استراتژی برای تحلیل فاندمنتال...
ما را در سایت استراتژی برای تحلیل فاندمنتال دنبال می کنید

برچسب : نویسنده : سعید شیخ‌زاده بازدید : 31 تاريخ : سه شنبه 24 مرداد 1402 ساعت: 11:13

آرشیو مطالب

پيوندهای روزانه

لینک دوستان

خبرنامه

آمار سایت
درباره سایت
راه های ارتباطی
حقوق کپی رایت
تمام حقوق سایت اعم از مطالب ، تصاویر ، کلیپ ها ، صوت ها ، فایل ها و ... برای این سایت محفوظ می باشد و کپی برداری فقط با ذکر منبع مورد قبول است .