همه چیز درباره استاندارد بین‌المللی PCI SSC که باید شرکت‌های PSP بدانند.

استاندارد بین‌المللی PCI SSC
این استاندارد شامل مجموعه ای از الزامات امنیتی برای حفظ و نگهداری اطلاعات کارت است و پذیرندگان و PSPها بایستی قوانین آن را رعایت نمایند.
عصر بانک؛استاندارد (PCI (Payment card industry security standard council استاندارد بین‌المللی است که با هدف حفظ امنیت اطلاعات پرداخت، تعریف شده و مورد استفاده قرار می‌گیرد. این استاندارد شامل مجموعه ای از الزامات امنیتی برای حفظ و نگهداری اطلاعات کارت است. پذیرندگان و PSPها بایستی قوانین آن را رعایت نمایند. از سال 2006 کمیته ای برای پیاده سازی ، نگهداری و مدیریت استاندارد‌های امنیتی PCI شروع به فعالیت نموده است.

اعضای موسس این استاندارد شرکت‌های  American express , JCB,Master Card ,Visa Inc , Discover Financial Services  می‌باشند. این فعالیت‌ها در چهار بخش اصلی به شرح ذیل انجام می‌گیرد:

1)( PCI DSS,(PCI Data Security Standard
2) PCI PTS(PIN Transaction Security ) requirements
3) (PCI PA- DSS (Payment Application Data Security Standard 
4)PCI P2PE ( Point –to – Point Encryption ) Standard

1) استاندار امنیت داده (PCI DSS (PCI Data security standard

این استاندارد، استاندارد ایمنی صنعت کارت پرداخت و استاندارد امنیت اطلاعات می‌باشد که برای سازمان‌هایی که با اطلاعات دارندگان کارت‌های دستگاه پایانه فروش ، خودپرداز، کیف پول الکترونیک (e-purse) ، پیش پرداخت شده (prepaid) ،اعتباری و نقدی سروکار دارند طراحی شده است.

2) استاندارد امنیت داده‌های برنامه‌های کاربردی (PA-DSS (Payment Application –Data Security Standard

PA-DSS مخفف Payment Application – Data Security Standard  و استاندارد امنیت داده‌های برنامه‌های کاربردی پرداخت بوده و در راستای حفظ امنیت داده‌ها در نرم افزارهای کاربردی لازم است که این برنامه‌ها عملیات ذخیره سازی و پردازش و انتقال دو گونه داده شامل داده‌های دارنده کارت (مانند نام دارنده کارت و PAN) و داده‌های احراز هویت (مانند اطلاعات CVV2) کارت پرداخت را با پشتیبانی از استاندارد PA-DSS انجام دهند.

3) امنیت تراکنش احراز هویت (PTS (PIN Transaction security

این بخش از استاندارد از اولویت‌های استراتژیک PCI محسوب می‌شود و هدف اصلی آن حفاظت از PIN می‌باشد.

در این خصوص سه نوع دستگاه مورد نظر می‌باشد:

  • ( PED (PIN Entry device، شامل انواع ترمینال‌هایی که توسط پذیرنده‌ها جهت تراکنش‌های کارت استفاده می‌گردد.
  • ( EPP (Encrypting PIN PAD ، بخشی از پایانه‌ها از نوع غیرحضوری مانندATM ) Automated teller machine ) که جهت ورود از رمز استفاده می‌گردد.
  •  اجزاء امن پایانه‌های فروش مانند کارت خوان‌های امن و دستگاه‌های مربوط به ورود رمز دارنده کارت می‌باشد.

4)استاندارد رمزگذاری نقطه به نقطه point to point Encryption)   PCI P2PE Standard)

استاندارد رمزگذاری نقطه به نقطه (P2PE) مجموعه ای جامع از نیازمندی‌های امنیتی را برای ارائه دهندگان راهکار P2PE جهت اعتبار بخشی به راهکار P2PE خود و کاهش دامنه PCI DSS فراهم می‌کند. P2PE یک برنامه عملکرد متقابل در استاندارد PTS,PA-DSS,PCI DSS و استاندارد امنیت PCI PIN است.

منبع: https://asrebank.ir