ما هو الامتثال لقانون PCI لمدفوعات البطاقات؟

الامتثال لـ PCI هو عملية الالتزام بمعيار أمان بيانات صناعة بطاقات الدفع، أو PCI DSS. هذه هي قواعد أمنية وضعتها الجهات الكبرى المصنِّعة/العلامات التجارية للبطاقات بهدف تقليل خطر تعرّض بيانات البطاقات أو إساءة استخدامها.

إذا كانت منشأتك تقبل بطاقات الائتمان أو الخصم، حتى بشكل غير منتظم، فقد ينطبق عليك PCI. وهذا يشمل المدفوعات وجهًا لوجه، والدفع عبر الإنترنت، وأجهزة القراءة عبر الهاتف المحمول، والواجهات الافتراضية (virtual terminals)، وأحيانًا الفوترة المتكررة.

بالنسبة لمعظم الشركات الصغيرة، يعني الامتثال لـ PCI عادةً استخدام أدوات دفع معتمدة، وتقليل الأماكن التي تلامس فيها بيانات البطاقة أنظمتك، والتأكد من تحديث الأجهزة والبرامج، وإكمال النماذج التي يطلبها مزود خدمة الدفع أو البنك. الخطوات الدقيقة تعتمد على الطريقة التي تقبل بها البطاقات.

لا تقدم NodeBridge IT خدمات الامتثال لـ PCI ولا تمنح وصولًا إلى أنظمتك. نحن نقدم تثقيفًا عامًا ويمكننا مساعدتك في العثور على مزود مستقل لخدمات تكنولوجيا المعلومات المُدارة، أو MSP، إذا كنت تريد مساعدة في فهم خياراتك.

تأثير PCI مهم لأن بيانات البطاقات حساسة. إذا تم التعامل مع معلومات الدفع بشكل غير مبالٍ، فقد يؤدي ذلك إلى الاحتيال، وردّ المبالغ (chargebacks)، ومشكلات الحسابات، وغرامات من شركاء الدفع، بالإضافة إلى عملية تنظيف طويلة ومكلفة. لا يَعِد أي مزود صادق بشبكة لا يمكن اختراقها، لكن اتباع ممارسات جيدة يمكن أن يقلل المخاطر.

كما يهمّ لأن مزود خدمة الدفع لديك، أو شركة خدمات التاجر (merchant services company)، أو البنك المُحصِّل، أو شركاء البطاقات قد يطلبون منك تأكيد وضعك فيما يخص PCI. وبعبارة بسيطة، يريدون معرفة ما إذا كنت تتعامل مع بيانات البطاقات بطريقة أكثر أمانًا وتحكمًا.

بالنسبة لمالك شركة صغيرة، يكون الهدف عادةً عمليًا أكثر منه تقنيًا. استخدم طرق دفع تقلل من تعرضك، وحافظ على أنظمتك بحالة جيدة، وتجنب تخزين أرقام البطاقات إلا إذا كانت هناك حاجة قوية وأن يكون الإعداد مصممًا لذلك.

إذا لم تكن متأكدًا من أين تبدأ، فإن صفحة إجاباتنا تغطي موضوعات شائعة في تكنولوجيا المعلومات والأمن بلغة واضحة.

قد يكون العمل بسيطًا أو أكثر تعقيدًا حسب إعدادات الدفع لديك. عادةً ما يكون لمقهى يستخدم جهاز طرفي للبطاقات مستقلًا (standalone) عبء مختلف تمامًا عن عيادة أو متجر تجزئة أو متجر إلكتروني يستخدم أنظمة متكاملة.

قد تكون نطاقات العمل أقل بالنسبة لمنشأة تعيد توجيه العملاء إلى صفحة دفع مستضافة (hosted checkout). يعني النطاق (Scope) الأشخاص والأجهزة والأنظمة والعمليات التي يمكن أن تؤثر على بيانات البطاقات. كلما كان النطاق أصغر غالبًا كانت المتطلبات أقل.

قد تكون النطاقات أكبر بالنسبة لمنشأة تُدخل بيانات البطاقات يدويًا على أجهزة كمبيوتر مكتبية، أو تخزن تفاصيل الدفع، أو تدير موقعًا للتجارة الإلكترونية، أو تربط أدوات الدفع بأنظمة أعمال أخرى. عادةً ما يعني ذلك مزيدًا من التوثيق، ومزيدًا من الضوابط، ومتابعة مستمرة أكثر.

قد تختلف المتطلبات أيضًا حسب الصناعة والولاية، وكذلك وفقًا لقواعد شركاء الدفع لديك. لا يتطابق PCI مع HIPAA، وهو قانون نقل التأمين الصحي والمسؤولية في الولايات المتحدة (Health Insurance Portability and Accountability Act) الخاص ببيانات الصحة، ولا يتطابق أيضًا مع قواعد PCI المتعلقة برسوم الخدمات البنكية. هنا نقصد متطلبات أمن بيانات بطاقات الدفع.

عادةً يبدأ الالتزام الجيد بـ PCI بتقليل التعقيد. كثير من الشركات الصغيرة تكون في وضع أفضل باستخدام أدوات دفع موثوقة تُبقي بيانات البطاقات بعيدًا عن أجهزة الشركة وشبكتها قدر الإمكان. كلما كانت عدد الأنظمة التي تلامس بيانات البطاقات أقل، قلّ ما يجب إدارته.

ويعني أيضًا الانضباط الأساسي في مجال تكنولوجيا المعلومات. حافظ على تحديث الأجهزة الخاصة بالعمل. استبدل أجهزة التوجيه القديمة وأجهزة الكمبيوتر ومعدات الدفع عندما لا يعود لها دعم. استخدم كلمات مرور قوية وفريدة، وتفعيل MFA، أي المصادقة متعددة العوامل (multi-factor authentication)، على حسابات الدفع والحسابات الإدارية عندما يكون ذلك متاحًا.

إذا كان الموظفون يستخدمون أجهزة يمكنها الوصول إلى أنظمة الدفع، فيجب إدارتها بعناية. قد يتضمن ذلك التحديثات (patching)، أي تثبيت تحديثات الأمان والبرامج، وبرنامج مكافحة فيروسات أو أداة أكثر تقدمًا للكشف عن نقاط النهاية والاستجابة لها، تُسمى EDR. كما تشمل ذلك صلاحيات المستخدمين الواضحة. نقطة النهاية (endpoint) هي أي جهاز مثل حاسوب محمول أو سطح مكتب أو هاتف يتصل بأنظمة منشأتك.

تُعدّ الوثائق الجيدة مهمة أيضًا. اعرف من يتولى معالجة مدفوعاتك، ومن يمكنه الوصول إلى أدوات الدفع، وأين يتم تخزين الإيصالات والتقارير، وما الذي يجب فعله إذا بدا أن هناك شيئًا غير صحيح. قد يساعدك مزود موثوق أيضًا في التفكير في النسخ الاحتياطية. قد تسمع عبارة نسخ احتياطي 3-2-1 (3-2-1 backup)، والتي تعني الاحتفاظ بـ 3 نسخ من البيانات المهمة، على نوعين مختلفين من وسائط التخزين، مع نسخ واحدة خارج الموقع. هذا لا يجعل تخزين بيانات البطاقات مقبولًا وحده، لكنه جزء من عمليات تشغيل أعمال سليمة.

قد يساعدك مزود خدمات تكنولوجيا المعلومات المُدارة (MSP)، أي مزود خدمات تكنولوجيا معلومات مُدارة، في فهم الجانب التقني المتعلق بـ PCI. قد يشمل ذلك مراجعة بيئتك، والمساعدة في تقليل نطاق PCI (PCI scope)، وتحسين إدارة الأجهزة، والتنسيق مع مزودي الدفع لديك، والتأكد من عدم تفويت المهام الروتينية.

قد تسمع أيضًا مصطلحات مثل RMM و vCIO. RMM تعني المراقبة والإدارة عن بُعد (remote monitoring and management)، وهي برنامج يستخدمه كثير من مقدمي الخدمات لتتبع صحة الأجهزة والتعامل مع التحديثات على أجهزة كمبيوتر الأعمال. أما vCIO فهو مدير معلومات افتراضي (virtual Chief Information Officer)، وهو شخص يساعد في تخطيط تكنولوجيا المعلومات والأولويات لمنشأة لا تملك قيادة تكنولوجيا معلومات بدوام كامل.

يساعد بعض مقدمي الخدمات أيضًا في فهم شروط الخدمة. على سبيل المثال، تُعدّ اتفاقية مستوى الخدمة (SLA) خدمة توافق على مستوى معين. فهي توضح أهداف الاستجابة، وما الذي يتضمنه وما لا يتضمنه. ولا تعتبر وعدًا بتصفير توقف الخدمة (zero downtime) أو بأمن مثالي.

لا تعدّ NodeBridge IT مزودًا لخدمات تكنولوجيا المعلومات المُدارة (MSP) ولا تدير أو تراقب أو تؤمن أو تصلح أو تمنح وصولًا إلى أنظمتك. إذا كنت تريد دعمًا، فيمكننا ربطك بمزود مستقل مناسب لحجمك واحتياجاتك ومنطقتك.

ابدأ بسؤال أساسي واحد: كيف تنتقل بيانات البطاقات عبر منشأتي اليوم؟ اكتب كل مكان يدفع فيه العملاء، وكل جهاز مشارك، وكل مزود يلمس تلك المدفوعات. غالبًا ما يوضح هذا التمرين الواحد الكثير.

ثم تحقق مما يطلبه مزود خدمة الدفع لديك أو البنك منك لإكماله. غالبًا ما يوفّرون استبيانًا أو بوابة. إذا كانت الأسئلة غير واضحة، فقد يكون الوقت مناسبًا للتحدث مع مزود تكنولوجيا معلومات مستقل يفهم بيئات الشركات الصغيرة.

لا تحتاج لأن تصبح خبيرًا في الأمن. تحتاج فقط إلى صورة واضحة لإعداد الدفع لديك، والأدوات المدعومة، والمساعدة الواقعية عند الحاجة. إذا رغبت، يمكنك الحصول على تطابق مع مزود مستقل لخدمات تكنولوجيا المعلومات المُدارة. خدمة المطابقة لدينا مجانية للشركات، ولا نجمع سوى تفاصيل أساسية عن العمل والتواصل.