🌐 مرجع مديريت IT 🌐

2019-11-26 09:44:22 PCI DSS v4.0

تغییرات اصلی نسخه ۴ استاندارد PCIDSS

#PCICM2019
یکی از مهمترین مطالبی که در کنفرانس PCI Community 2019 در دوبلین مطرح شد و البته پیش از آن نیز از طریق PCI Council به اطلاع ارزیابان و QSA ها رسیده بود، استاندارد PCIDSS v4.0 و آماده سازی آن برای سال ۲۰۲۰ می‌باشد.
همانطور که می‌دانید استاندارد PCIDSS v3 به همراه چند زیرورژن های آن، ۶ سال پیش و در سال ۲۰۱۳ منتشر شد. صنعت پرداخت مدت‌ها است که منتظر نسخه‌ی اصلی جدیدی از این استاندارد است که به زودی با عنوان نسخه ۴ منتشر می‌شود. PCI Council به تازگی از طریق انتشار RFC (Request for Comment) از ارزیابان درخواست مشارکت و اعلام نظراتشان را نسبت به پیش‌نویس این نسخه اعلام داشته است. از این طریق می‌توانیم ایده‌هایی را برای تغییرات این نسخه مطرح کنیم.
اجازه بدهید از اهداف تعریف شده برای این نسخه شروع کنیم:
• اطمینان از اینکه این استاندارد نیازمندی‌های امنیتی صنعت پرداخت را برآورده می‌کند.
• ارتقا جایگاه امنیت به عنوان یک فرایند مستمر و مداوم
• توسعه روش‌های ارزیابی و صحه‌گذاری
• افزودن انعطاف بیشتر و روش‌ها و تکنولوژی‌های جدید برای ارتقای امنیت
@pci_radio
بنابراین براساس چهار نکته‌ی فوق و مشخصا پشتیبانی بیشتر برای شرکت‌ها جهت انطباق با این استاندارد، می‌توان گفت مهمترین تغییرات «شخصی‌سازی» و «رویکرد مبتنی بر هدف» خواهند بود. البته چنین تغییراتی رویکرد فعلی را در خصوص فرآیند ارزیابی، تغییر نخواهد داد. سازمان‌ها قادر خواهند بود از رویکردهای جدید یا گذشته یکی را انتخاب کنند یا از ترکیبی از آن‌ها استفاده نمایند.

رویکرد «شخصی سازی شده» بر روی هدف هر یک از الزامات استاندارد تکیه دارد که پاسخ سوال «چرا؟» و نه «چگونه؟» نسبت به هر یک از الزامات می‌باشد که به سازمان‌ها اجازه می‌دهد کنترل‌های مخصوص خودشان را پیاده‌کنند و نشان‌دهند که چگونه اهداف الزام استاندارد را رعایت نموده‌اند. اینکه سازمان‌ها نسبت به انتخاب رویکرد از پیش تعریف شده یا رویکرد شخصی‌سازی شده،‌ حق انتخاب دارند، به آن‌ها این امکان را می‌دهد که بتوانند الزامات استارندارد را راحت‌تر پیاده سازی کرده و محدود به تفسیر استاندارد نشوند.

رویکرد شخصی‌سازی شده، بیشتر مناسب‌ سازمان‌هایی است که از لحاظ فرآیندهای مدیریت ریسک بلوغ بالایی دارند. همچنین نیازمند شرکت‌های QSAای‌ می‌باشند که قادرند فرآیند ارزیابی مشخصی را براساس رویکرد مشتری تطبیق دهند. یکی از مهمترین نکات رویکرد شخصی‌سازی شده این است که دیگر نیازی به «کنترل جبرانی» نخواهد بود چرا که سازمان‌ها دیگر نیازی به آوردن توجیه کسب‌و‌کاری یا فنی برای استفاده از آن نخواهند داشت و استاندارد به صورت پیش‌فرض این انعطاف را درخود خواهد داشت.

نسخه ۴ این استاندارد همچنین توضیحات مربوط به ستون Guidance را مفصل‌تر نموده و همچنین هدف هر یک از الزامات را به تفصیل بیشتری بیان نموده است. علاوه‌براین الزامات جدیدی را نیز در آن می‌توان دید که به تازگی اضافه شده‌اند که البته نیاز است حداقل دوبار چرخه RFC برای تصویب آن‌ها طی شود. بنابراین احتمالا همه‌ی آن‌ها را در نسخه نهایی نخواهیم دید.

در فرصتی مناسب درخصوص تغییرات الزامات در نسخه ۴ بیشتر برای شما خواهم نوشت.

البته لازم به ذکر است که به نظر نمی‌رسد این استاندارد تا پیش از انتهای سال ۲۰۲۰ به نسخه نهایی برسد. البته بسته به حجم بازخوردها ممکن است حتی تا اوایل ۲۰۲۱ نیز طول بکشد.

در نهایت، ارزیابان و فعالان صنعت از این استاندارد استقبال نموده‌اند. بخصوص رویکرد جدید آن در فرآیند صحه‌گذاری بسیار حائز اهمیت و توجه است که فرآیند ارزیابی و صحه‌گذاری را سرعت بخشیده و احتمالا شرکت‌های بیشتری را برای پیاده‌سازی و ارزیابی ترغیب خواهد کرد.

در صورت نیاز به اطلاعات بیشتر در خصوص استانداردهای PCIDSS با من در تماس باشید. @afshar_a_a

t.me/pci_radio باز کردن / نظر دهید

2019-11-26 09:44:21 درباره استاندارد PCIDSS v4.0 چه می‌دانید؟

در این مقاله به بررسی تغییرات اصلی این نسخه پرداخته ایم. با من همراه باشید

@pci_radio باز کردن / نظر دهید

2019-11-09 19:00:13 نحوه‌ی ساخت ATM چگونه است؟ t.me/pci_radio باز کردن / نظر دهید

2019-11-05 12:16:48 تنها ۳ نفر ظرفیت از دوره‌ی آموزشی EMV باقیست.
جهت استفاده حداکثر تا ۲۰ آبان مهلت دارید.

تاریخ برگزاری:‌۲۹ آبان الی ۱ آذر ۹۸ به مدت ۳ روز

https://bit.ly/2pL1XHo باز کردن / نظر دهید

2019-10-24 22:12:56 پرداخت آنلاین فقط با یک کلیک؛ راهکار جدید ویزا و مسترکارت
t.me/pci_radio

شرکت های آمریکن اکسپرس، مسترکارت، ویزا و دیسکاور (Discover) در همکاری با یکدیگر پرداخت آنلاین سریع و امن را با یک کلیک امکان پذیر کردند. هدف نهایی این شرکت ها ایجاد یک دکمه پرداخت نهایی استاندارد در تمامی خرده فروشی های آنلاین همانند پی پال است.
با توجه به استاندارد جدید روش پرداخت EMV Secure Remote Commerce، شبکه ها تکنولوژی جدید را به کمک شرکت های کارت اعتباری در بازار آزمایش کرده و در حال آماده سازی خود برای معرفی روش پرداخت با یک کلیک در چندین سایت در ماه جاری میلادی در ایالات متحده هستند.


شرکت های کارت اعتباری امیدوارند با این کار یک تجربه کاربری ساده، باثبات و با امنیت بالای داده های پرداخت در تمامی سایت ها و کارت های خود ایجاد کنند. در این روش کاربران نیازی به ایجاد حساب کاربری یا وارد شدن به آن برای خرید کردن نداشته و همچنین نیازی به وارد کردن اطلاعات کارت بانکی در سایت های جدید ندارند.
کمپانی ویزا تابستان سال جاری میلادی اعلام کرد که سیستم پرداخت آنلاین خود را به منظور افزایش امنیت به طور کامل از نو طراحی خواهد کرد و فعالیت سرویس Visa Checkout در سال 2020 متوقف خواهد شد. البته این خبر چندان غافلگیرکننده نبود چون همانطور که گفته شد ویزا بخشی از تیم راه اندازی دکمه پرداخت سریع بوده و انجام چنین کاری از جانب این شرکت انتظار می رفت.
دکمه پرداخت سریع و امن هم اکنون در وب‌سایت های Cinemark, Movember و Rakuten در دسترس است و تا پایان سال جاری میلادی به وب‌سایت های BassPro, JoAnn Fabric, Papa John's, Saks Fifth Avenue, SHOP.com و Tickets.com اضافه خواهد شد. قرار است این روش پرداخت در سال 2020 بیشتر فراگیر شود.
شبکه های پرداختی (Card Scheme) به فروشندگان قول داده اند که روش پرداخت آسان و سریع جدید، نرخ ترک کردن سبد خرید را کاهش داده و برای برندهای کارت اعتباری یک روش پرداخت بی نقص را به ارمغان خواهد آورد.

t.me/pci_radio باز کردن / نظر دهید

2019-10-16 15:09:42 نحوه ساخت کارت اعتباری t.me/pci_radio باز کردن / نظر دهید

2019-10-05 16:05:20 برگزاری موفق دوره‌ی #Cobit2019
با تدریس مهندس جعفری مدرس رسمی CobiT

https://www.instagram.com/p/B3PM5GdDwYN/?igshid=1sn1wo9ba8ypf باز کردن / نظر دهید

2019-09-02 10:20:00 دوره‌ی آموزشی استاندارد فنی کارت‌های دارای چیپ (EMV) به زودی برگزار می‌شود.
جهت کسب اطلاعات بیشتر اینجا کلیک کنید.

تاریخ برگزاری:‌۲۷ الی ۲۹ شهریور ۹۸ به مدت ۳ روز
مهلت ثبت‌نام: پایان وقت اداری ۲۰ شهریور ۹۸

https://www.it-house.me/courses/isms/emv-foundation-to-executive/ باز کردن / نظر دهید

2019-09-02 07:57:50 تشکر از حضور گرم شما در پنجاه و دومین دوره #PCIDSS

منتظر حضور شما در سایر دوره‌ها هستیم.

https://www.instagram.com/p/B15Wo16DhcJ/?igshid=12p01b7w3kyu0 باز کردن / نظر دهید

2019-08-27 17:04:41 تهدید شنود آنلاین (Online Skimming) در امنیت پرداخت

چگونه توسعه‌ی تهدید شنود آنلاین تبدیل به یک تهدید بزرگ برای امنیت پرداخت می شود؟ در این مقاله سوالات اساسی توسط PCI Council در این زمینه پاسخ داده شده است.

خبر اصلی تهدید که PCISSC منتشر کرده است چیست؟
براساس بازخوردهای دریافت شده از صنعت پرداخت و ذینفعان آن، PCISSC احساس نموده است که زمان انتشار بولتنی درخصوص تهدیدهای Skimming فرا رسیده است. آنچه توسط PCISSC منتشر شده است یک بولتن درباره‌ی صنایع خرده فروشی و سلامت است که مقصد اصلی این تهدید بوده‌اند. هدف، آموزش بازار درباره‌ی محتوای این تهدید و نحوه‌ی کشف و پیشگیری از آن بوده است.

شنود آنلاین (Digital Skimming) چیست؟ آیا همانند حمله‌ی Magecart است؟
حمله‌ی Online Skimming عموما بدین صورت است که یک وبسایت فروش آنلاین (e-commerce) با استفاده از کدی مخرب به sniffer یا JavaScript (JS) Sniffer آلوده می‌شود که کشف آن مشکل است. وقتی که یک وبسایت آلوده می‌شود، اطلاعات کارت در هنگام انتقال از وبسایت پذیرنده، شنود می‌شود و این اتفاق بدون اطلاع پذیرنده رخ می‌دهد.
واژه‌ای که در زمان گذشته برای این تهدید استفاده می‌شده است، Megacart بوده است. این واژه یک کلمه‌ی کلی (umbrella term) است که توسط برخی از محققان امنیت مورد استفاده قرار گرفته است تا گروه‌های هکر مسئول این نوع از حملات را نامگذاری کنند. این نوع از حملات از سال ۲۰۱۵ تا کنون متداول شده است.

این نوع حملات دقیقا چطور کار می‌کنند؟
بدون کنترل کافی مستقر شده، کشف این نوع حملات بسیار دشوار است. به همین علت هم بسیار خطرناک می‌باشند. حمله کنندگان از روش‌های مختلفی شامل نفوذ از طریق آسیب‌پذیری‌ها، Brute force کردن نام‌های کاربری و رمز عبور، فیشینگ و روش‌های مهندسی اجتماعی استفاده می‌کنند. همه‌ی روش‌های فوق به منظور بدست آوردن دسترسی لازم برای تزریق کدمخرب به وبسایت قربانی می‌باشد. این حملات ممکن است مستقیما به وبسایت فروشگاهی رخ داده یا اغلب ممکن است به صورت غیرمستقیم در سایر libraryهایی که وبسایت قربانی به آن‌ها وابسته است، ایجاد شود. به عنوان مثال ممکن است این کدها در سرویس‌های تبلیغاتی، قابلیت پشتیبانی آنلاین (لایو چت) و یا قابلیت‌های رتبه‌بندی مشتریان و … وجود داشته باشد. این سرویس‌ها به منظور تزریق کد مخرب به وبسایتی که از آن‌ها بهره‌می‌گیرد، استفاده می‌شوند. بدین ترتیب مهاجم می‌تواند تعداد زیادی قربانی را بدین ‌ترتیب شکار کند.
عموما این کدها وقتی که قربانی اطلاعات کارت خود را وارد می‌کند فعال می‌شوند. مهاجم‌های مختلف اطلاعات گوناگونی را جمع‌اوری می‌کنند. مانند: Billing Address و یا نام و ایمیل و تلفن و اطلاعات کارت اعتباری و نام‌های کاربری و رمز عبور و … و سپس این اطلاعات را در سرور قربانی و یا به شکل ریموت در کامپیوتر مهاجم ذخیره می‌کنند.

به‌روش‌های تشخیص این نوع حملات چیست؟
توانایی کشف این تهدیدها پیش از اینکه آسیبی وارد کنند بسیار مهم است. برخی روش‌های کشف این حمله عبارتند از:
• استفاده از ابزارهای پویش آسیب پذیری برای تست سایت و یا وب اپلیکیشن
• استفاده از راهکارهای File Integrity Monitoringبه منظور کشف تغییرهای ناخواسته
• استفاده از پویش آسیب‌پذیری داخلی و خارجی
• انجام تست نفوذ برای تشخیص ضعف‌های امنیتی

به‌روش‌های پیش‌گیری و متوقف کردن این حملات کدامند؟
استفاده از رویکرد لایه‌ای امنیت و به روزرسانی سیستم‌ها و پیاده‌سازی توصیه‌های امنیتی بسیار مهم است.
• استفاده از سیستم‌های حفاظت از بدافزار و به‌روز نگه داشتن آن‌ها
• نصب وصله‌های امنیتی
• محدودیت دسترسی به افرادی که نیاز دارند و تنظیم پیش‌فرض deny all برای کاربران جدید
• استفاده از مکانیزم‌های احرازهویت قوی

t.me/pci_radio باز کردن / نظر دهید