كابول كنزة
المالك والرئيس التنفيذي.

تاريخ السريان

17 أبريل 2020

آخر تحديث للمحتوى

17 أبريل 2020

غاية

تشرح هذه السياسة متطلبات أمن بطاقات الائتمان الخاصة بمتجري "كابول كنزة" و"نيكسجين ديكور" وفقًا لمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS). تلتزم إدارة "كابول كنزة" و"نيكسجين ديكور" بهذه السياسات الأمنية لحماية المعلومات التي يستخدمها "كابول كنزة" و"نيكسجين ديكور" لتحقيق أهدافهما التجارية. ويُطلب من جميع الموظفين الالتزام بالسياسات الموضحة في هذه الوثيقة.

نطاق الامتثال

تنطبق متطلبات PCI على جميع الأنظمة التي تخزن أو تعالج أو تنقل بيانات حامل البطاقة. حاليًا، تقتصر بيئة حامل البطاقة في متجري Kabboul Kenza وnexgendecor على تطبيقات دفع محدودة (عادةً أنظمة نقاط البيع) متصلة بالإنترنت، ولكنها لا تشمل تخزين بيانات حامل البطاقة على أي نظام حاسوبي.

نظرًا للطبيعة المحدودة للبيئة المشمولة بالسياسة، تهدف هذه السياسة إلى تلبية متطلبات PCI كما هو محدد في استبيان التقييم الذاتي (SAQ) C، الإصدار 2.0، أكتوبر 2010. في حال قيام Kabboul Kenza ومتجر nexgendecor بتطبيق قنوات قبول إضافية، أو البدء في تخزين أو معالجة أو إرسال بيانات حامل البطاقة إلكترونيًا، أو في حال عدم أهليتهم للتحقق من الامتثال بموجب استبيان التقييم الذاتي (SAQ) C، فستكون Kabboul Kenza ومتجر nexgendecor مسؤولة عن تحديد معايير الامتثال المناسبة وتطبيق سياسات وضوابط إضافية حسب الحاجة.

سياسة

المتطلب 1: بناء شبكة آمنة وصيانتها

تكوين جدار الحماية

يجب أن تقيّد جدران الحماية الاتصالات بين الشبكات غير الموثوقة وأي نظام في بيئة بيانات حامل البطاقة. وتُعرّف "الشبكة غير الموثوقة" بأنها أي شبكة خارجة عن نطاق شبكات الجهة الخاضعة للمراجعة، و/أو خارجة عن نطاق سيطرة الجهة أو إدارتها. (متطلب PCI 1.2)

يجب تقييد حركة المرور الواردة والصادرة بما يلزم لبيئة بيانات حامل البطاقة. ويجب منع جميع حركة المرور الواردة والصادرة الأخرى بشكل صريح. (متطلب PCI 1.2.1)

يجب توثيق جميع المنافذ والخدمات المفتوحة. يجب أن تتضمن الوثائق اسم المنفذ أو الخدمة، والمصدر والوجهة، ومبررًا تجاريًا لفتح المنفذ أو الخدمة. (متطلب PCI 1.2.1)

يجب تثبيت جدران حماية محيطية بين أي شبكات لاسلكية وبيئة بيانات حامل البطاقة. يجب تهيئة جدران الحماية هذه لمنع أو التحكم (إذا كانت هذه الحركة ضرورية لأغراض العمل) في أي حركة مرور من البيئة اللاسلكية إلى بيئة بيانات حامل البطاقة. (متطلب PCI 1.2.3)

يجب أن يمنع تكوين جدار الحماية الوصول العام المباشر بين الإنترنت وأي مكون من مكونات النظام في بيئة بيانات حامل البطاقة على النحو التالي:

  • يحظر إجراء اتصالات مباشرة لحركة المرور الواردة والصادرة بين الإنترنت وبيئة بيانات حامل البطاقة (متطلب PCI 1.3.3)
  • يجب أن يتم تفويض حركة المرور الصادرة من بيئة بيانات حامل البطاقة إلى الإنترنت بشكل صريح (متطلب PCI 1.3.5)
  • يجب أن تنفذ جدران الحماية عملية التفتيش على الحالة، والمعروفة أيضًا باسم تصفية الحزم الديناميكية (متطلب PCI 1.3.6)

المتطلب 2: عدم استخدام الإعدادات الافتراضية التي يوفرها البائع لكلمات مرور النظام ومعلمات الأمان الأخرى

التخلف عن سداد البائع

يجب دائمًا تغيير الإعدادات الافتراضية التي يوفرها البائع قبل تثبيت أي نظام على الشبكة. من أمثلة هذه الإعدادات كلمات المرور، وسلاسل مجتمع SNMP، وحذف الحسابات غير الضرورية. (متطلب PCI 2.1)

يجب تغيير الإعدادات الافتراضية للأنظمة اللاسلكية قبل التنفيذ. تشمل الإعدادات الافتراضية للبيئة اللاسلكية، على سبيل المثال لا الحصر، ما يلي:

  • مفاتيح التشفير الافتراضية
  • كلمات المرور
  • سلاسل مجتمع SNMP
  • كلمات المرور/عبارات المرور الافتراضية على نقاط الوصول
  • الإعدادات الافتراضية الأخرى المتعلقة بالأمان للبائعين اللاسلكيين حسب الاقتضاء

يجب تحديث البرامج الثابتة على الأجهزة اللاسلكية لدعم التشفير القوي للمصادقة ونقل البيانات عبر الشبكات اللاسلكية. (متطلب PCI 2.1.1)

الخدمات والبروتوكولات غير الضرورية

يُسمح فقط بتفعيل الخدمات والبروتوكولات والبرامج المساعدة الضرورية لعمل النظام. يجب تعطيل جميع الخدمات والبروتوكولات غير اللازمة مباشرةً لأداء وظيفة الجهاز المحددة. (متطلب PCI 2.2.2)

الوصول الإداري غير المرتبط بوحدة التحكم

يجب تشفير بيانات اعتماد الوصول الإداري غير المرتبط بوحدة التحكم باستخدام تقنيات مثل SSH أو VPN أو SSL/TLS. يجب أن تتضمن تقنيات التشفير ما يلي: (متطلب PCI 2.3)

  • يجب استخدام تشفير قوي، ويجب استدعاء طريقة التشفير قبل طلب كلمة مرور المسؤول
  • يجب تكوين خدمات النظام وملفات المعلمات لمنع استخدام أوامر تسجيل الدخول عن بعد غير الآمنة مثل telnet
  • يجب أن يتضمن وصول المسؤول إلى واجهات الإدارة المستندة إلى الويب

المتطلب 3: حماية بيانات حامل البطاقة المخزنة

البيانات المحظورة

يجب وضع إجراءات لحذف بيانات المصادقة الحساسة بشكل آمن بعد التفويض، بحيث لا يمكن استردادها. (متطلب PCI 3.2)

يجب أن تلتزم أنظمة الدفع بالمتطلبات التالية فيما يتعلق بعدم تخزين بيانات المصادقة الحساسة بعد الترخيص (حتى لو كانت مشفرة):

  • لا يتم تخزين المحتويات الكاملة لأي بيانات مسار من الشريط المغناطيسي (الموجود على ظهر البطاقة، أو البيانات المكافئة الموجودة على شريحة، أو في أي مكان آخر) تحت أي ظرف من الظروف (متطلب PCI 3.2.1)
  • لا يتم تخزين رمز التحقق من البطاقة أو القيمة (رقم مكون من ثلاثة أو أربعة أرقام مطبوع على الوجه الأمامي أو الخلفي لبطاقة الدفع) تحت أي ظرف من الظروف (متطلب PCI 3.2.2)
  • لا يتم تخزين رقم التعريف الشخصي (PIN) أو كتلة رقم التعريف الشخصي المشفرة تحت أي ظرف من الظروف (متطلب PCI 3.2.3)

عرض PAN

سيُخفي متجرا "كبول كنزة" و"نيكسجين ديكور" أرقام الحسابات الأساسية (PANs)، وسيقتصر عرضها على الموظفين والجهات الأخرى ذات الحاجة المشروعة فقط. سيُظهر الرقم المُخفي بشكل صحيح الأرقام الستة الأولى والأخيرة من رقم الحساب الأساسي فقط. (متطلب PCI 3.3)

المتطلب الرابع: تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة المفتوحة

نقل بيانات حامل البطاقة

يجب حماية بيانات حامل البطاقة المرسلة عبر الشبكات العامة المفتوحة باستخدام تشفير قوي أو بروتوكولات أمان (مثل IPSEC وSSLTLS). لا تُقبل إلا المفاتيح و/أو الشهادات الموثوقة. بالنسبة لتطبيقات SSL/TLS، يجب أن يظهر HTTPS كجزء من عنوان URL، ولا يُسمح بإدخال بيانات حامل البطاقة إلا عند ظهور HTTPS في عنوان URL. (متطلب PCI 4.1)

يجب استخدام أفضل ممارسات الصناعة (على سبيل المثال، IEEE 802.11i) لتطبيق تشفير قوي للمصادقة والنقل في الشبكات اللاسلكية التي تنقل بيانات حامل البطاقة أو المتصلة ببيئة بيانات حامل البطاقة. (متطلب PCI 4.1.1)

يُحظر إرسال أرقام PAN غير مشفرة عبر تقنيات مراسلة المستخدم النهائي. ومن أمثلة هذه التقنيات البريد الإلكتروني والمراسلة الفورية والدردشة. (متطلب PCI 4.2)

المتطلب 5: استخدام برامج مكافحة الفيروسات وتحديثها بانتظام

مضاد الفيروسات

يجب أن تُثبّت جميع الأنظمة، وخاصةً أجهزة الكمبيوتر الشخصية والخوادم التي تُصاب عادةً بالفيروسات، برنامجًا لمكافحة الفيروسات قادرًا على اكتشاف جميع أنواع البرامج الضارة المعروفة وإزالتها والحماية منها. (متطلبات PCI 5.1، 5.1.1)

يجب تحديث جميع برامج مكافحة الفيروسات باستمرار عبر التحديثات التلقائية، وأن تكون نشطة، ومُهيأة لإجراء عمليات فحص دورية، وقادرة على إنشاء سجلات تدقيق. يجب الاحتفاظ بسجلات مكافحة الفيروسات وفقًا لمتطلب PCI 10.7. (متطلب PCI 5.2)

المتطلب 6: تطوير وصيانة الأنظمة والتطبيقات الآمنة

تصحيحات الأمان

يجب تطبيق جميع تصحيحات الأمان الحرجة عالية الخطورة خلال 14 يومًا من إصدارها. ويشمل ذلك التصحيحات ذات الصلة بأنظمة التشغيل وجميع التطبيقات المُثبّتة. (متطلب PCI 6.1)

المتطلب 7: تقييد الوصول إلى بيانات حامل البطاقة حسب حاجة العمل إلى المعرفة

تقييد الوصول إلى بيانات حامل البطاقة

يقتصر الوصول إلى مكونات وبيانات نظام حاملي بطاقات متجري "كابول كنزة" و"نيكسجين ديكور" على الأفراد الذين تتطلب وظائفهم هذا الوصول فقط. (متطلب PCI 7.1)

يجب أن تتضمن قيود الوصول ما يلي:

  • يجب أن تقتصر حقوق الوصول لمعرفات المستخدم المميزة على أقل الامتيازات اللازمة لأداء مسؤوليات الوظيفة (متطلب PCI 7.1.1)
  • يجب تخصيص الامتيازات للأفراد بناءً على تصنيف الوظيفة والوظيفة (يُطلق عليها أيضًا "التحكم في الوصول القائم على الدور") (متطلب PCI 7.1.2)

المتطلب 8: تعيين معرف فريد لكل شخص لديه إمكانية الوصول إلى الكمبيوتر

الوصول عن بعد

يجب دمج المصادقة الثنائية للوصول عن بُعد (الوصول على مستوى الشبكة من خارجها) إلى الشبكة من قِبل الموظفين والمسؤولين والجهات الخارجية. (متطلب PCI 8.3)

حسابات البائعين

يجب تفعيل جميع الحسابات التي يستخدمها البائعون للصيانة عن بُعد فقط خلال الفترة الزمنية اللازمة. يجب مراقبة حسابات الوصول عن بُعد للبائعين أثناء استخدامها. (متطلب PCI 8.5.6)

المتطلب 9: تقييد الوصول الفعلي إلى بيانات حامل البطاقة

تأمين جميع الوسائط التي تحتوي على بيانات حامل البطاقة ماديًا

تخضع المواد المطبوعة التي تحتوي على معلومات سرية أو حساسة (مثل الإيصالات الورقية، والتقارير الورقية، والفاكسات، وما إلى ذلك) لإرشادات التخزين التالية:

  • يجب تأمين جميع الوسائط ماديًا. (متطلب PCI 9.6)

يجب فرض رقابة صارمة على التوزيع الداخلي والخارجي لأي نوع من الوسائط التي تحتوي على بيانات حامل البطاقة. وتشمل هذه الضوابط ما يلي:

  • يجب تصنيف الوسائط حتى يمكن تحديد حساسية البيانات (متطلب PCI 9.7.1)
  • يجب إرسال الوسائط عبر شركة نقل آمنة أو طريقة تسليم أخرى يمكن تتبعها بدقة (متطلب PCI 9.7.2)

يجب الاحتفاظ بسجلات لتتبع جميع الوسائط المنقولة من منطقة آمنة، ويجب الحصول على موافقة الإدارة قبل نقل الوسائط. (متطلب PCI 9.8)

يجب فرض رقابة صارمة على تخزين بيانات حامل البطاقة وإمكانية الوصول إليها. (متطلب PCI 9.9)

تدمير البيانات

يجب إتلاف جميع الوسائط التي تحتوي على بيانات حامل البطاقة عند عدم الحاجة إليها لأسباب تجارية أو قانونية. (متطلب PCI 9.10)
يجب إتلاف الوسائط المطبوعة بالتقطيع أو الحرق أو التكسير حتى لا يمكن إعادة بناء بيانات حامل البطاقة. يجب تأمين الحاوية التي تخزن المعلومات التي تنتظر الإتلاف لمنع الوصول إلى محتوياتها. (متطلب PCI 9.10.1)

المتطلب 11: اختبار أنظمة وعمليات الأمان بانتظام

اختبار نقاط الوصول اللاسلكية غير المصرح بها

سيقوم متجر Kabboul Kenza وnexgendecor بإجراء اختبارات ربع سنوية على الأقل للتأكد من عدم وجود نقاط وصول لاسلكية غير مصرح بها في بيئة حامل البطاقة. (متطلب PCI 11.1)

  • يجب أن يكشف هذا الاختبار ويحدد أي نقاط وصول لاسلكية غير مصرح بها، بما في ذلك على الأقل ما يلي:
  • بطاقات WLAN المُدمجة في مكونات النظام
  • الأجهزة اللاسلكية المحمولة المتصلة بمكونات النظام (على سبيل المثال، عبر USB، وما إلى ذلك)
  • الأجهزة اللاسلكية المتصلة بمنفذ الشبكة أو جهاز الشبكة

إذا تم استخدام المراقبة الآلية (على سبيل المثال، IDS/IPS اللاسلكي، NAC، وما إلى ذلك)، فيجب تكوينها لتوليد التنبيهات.

يجب تضمين اكتشاف الأجهزة اللاسلكية غير المصرح بها في خطة الاستجابة للحوادث (راجع متطلبات PCI 12.9).

فحص الثغرات الأمنية

كل ثلاثة أشهر على الأقل، وبعد أي تغييرات جوهرية في الشبكة (مثل تثبيت مكونات نظام جديدة، أو تغييرات في طوبولوجيا الشبكة، أو تعديلات قواعد جدار الحماية، أو ترقيات المنتجات)، ستقوم كلية ولاية مينيسوتا المجتمعية والتقنية بإجراء فحص للثغرات الأمنية على جميع الأنظمة المشمولة بالمشروع. (متطلب PCI 11.2)

يجب تكرار عمليات فحص الثغرات الداخلية حتى الحصول على نتائج ناجحة، أو حتى يتم حل جميع الثغرات "الشديدة" المحددة في متطلب PCI 6.2. (متطلب PCI 11.2.1، 11.2.3)

يجب أن تُلبي نتائج فحص الثغرات الأمنية ربع السنوية متطلبات دليل برنامج ASV (على سبيل المثال، عدم وجود ثغرات أمنية مُصنّفة بأعلى من 4.0 من قِبل CVSS وعدم وجود أعطال تلقائية). يجب إجراء عمليات فحص الثغرات الأمنية الخارجية بواسطة مُورّد فحص معتمد (ASV)، مُعتمد من قِبل مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC). (متطلب PCI 11.2.2، 11.2.3)

المتطلب 12: الحفاظ على سياسة تتناول أمن المعلومات للموظفين والمقاولين

سياسة الأمن

يجب على كابول كنزة ومتجر nexgendecor وضع ونشر وصيانة وتعميم سياسة أمنية توضح كيفية حماية الشركة لبيانات حاملي البطاقات. (متطلب PCI 12.1)

يجب مراجعة هذه السياسة سنويًا على الأقل، وتحديثها حسب الحاجة لتعكس التغييرات في أهداف العمل أو بيئة المخاطر. (متطلب PCI 12.1.3)

التقنيات الحرجة

يجب على Kabboul Kenza ومتجر nexgendecor وضع سياسات استخدام للتقنيات الهامة (على سبيل المثال، تقنيات الوصول عن بعد، والتقنيات اللاسلكية، والوسائط الإلكترونية القابلة للإزالة، وأجهزة الكمبيوتر المحمولة، والأجهزة اللوحية، والبيانات الشخصية/المساعدين الرقميين (PDAs)، والبريد الإلكتروني، واستخدام الإنترنت. (متطلب PCI 12.3)

يجب أن تتضمن هذه السياسات ما يلي:

  • الموافقة الصريحة من الأطراف المصرح لها باستخدام التقنيات (متطلب PCI 12.3.1)
  • المصادقة على استخدام التكنولوجيا (متطلب PCI 12.3.2)
  • قائمة بجميع هذه الأجهزة والأفراد الذين لديهم إمكانية الوصول إليها (متطلب PCI 12.3.3)
  • الاستخدامات المقبولة للتقنيات (متطلب PCI 12.3.5)
  • مواقع الشبكة المقبولة للتقنيات (متطلب PCI 12.3.6)
  • الفصل التلقائي للجلسات الخاصة بتقنيات الوصول عن بُعد بعد فترة محددة من عدم النشاط (متطلب PCI 12.3.8)
  • تفعيل تقنيات الوصول عن بعد للبائعين والشركاء التجاريين فقط عند الحاجة إليها من قبل البائعين والشركاء التجاريين، مع إلغاء التفعيل فورًا بعد الاستخدام (متطلب PCI 12.3.9)

مسؤوليات الأمن

يجب أن تُحدد سياسات وإجراءات متجر كابول كنزة وnexgendecor مسؤوليات أمن المعلومات لجميع الموظفين بوضوح. (متطلب PCI 12.4)

سياسة الاستجابة للحوادث

يجب على مسؤول أمن الأنظمة إنشاء وتوثيق وتوزيع إجراءات الاستجابة للحوادث الأمنية وتصعيدها لضمان التعامل الفعال مع جميع المواقف في الوقت المناسب. (متطلب PCI 12.5.3)

تحديد الحادث

يجب على الموظفين أن يكونوا على دراية بمسؤولياتهم في الكشف عن الحوادث الأمنية لتسهيل خطة وإجراءات الاستجابة للحوادث. يتحمل جميع الموظفين مسؤولية المساعدة في إجراءات الاستجابة للحوادث ضمن نطاق مسؤولياتهم. من أمثلة الحوادث الأمنية التي قد يلاحظها الموظف في أنشطته اليومية، على سبيل المثال لا الحصر:

  • السرقة أو التلف أو الوصول غير المصرح به (على سبيل المثال، أوراق مفقودة من المكتب، أو أقفال مكسورة، أو ملفات سجل مفقودة، أو تنبيه من حارس أمن، أو دليل فيديو على اقتحام أو دخول فعلي غير مجدول/غير مصرح به)
  • الاحتيال - معلومات غير دقيقة داخل قواعد البيانات أو السجلات أو الملفات أو السجلات الورقية

الإبلاغ عن حادثة

يجب إخطار مسؤول أمن الأنظمة على الفور بأي حوادث أمنية مشتبه بها أو حقيقية تتعلق ببيانات حامل البطاقة:

تواصل مع مسؤول أمن الأنظمة للإبلاغ عن أي حوادث مشتبه بها أو فعلية. يجب أن يكون رقم هاتف التدقيق الداخلي معروفًا لجميع الموظفين، ويُنصح بالاتصال به خارج أوقات العمل.

لا يجوز لأي شخص التواصل مع أي شخص خارج نطاق رؤسائه أو مسؤول أمن الأنظمة بشأن أي تفاصيل أو معلومات عامة تتعلق بأي حادثة مشتبه بها أو فعلية. يُنسّق العميد التنفيذي لحلول التكنولوجيا جميع الاتصالات مع جهات إنفاذ القانون أو الجمهور.

وثّق أي معلومات تعرفها أثناء انتظار ردّ مسؤول أمن الأنظمة على الحادثة. إذا كانت معروفة، يجب أن تتضمن تاريخ الحادثة ووقتها وطبيعتها. أي معلومات يمكنك تقديمها ستساعد في الاستجابة بشكل مناسب.

الاستجابة للحوادث

يمكن أن تتضمن الاستجابات أو تمر عبر المراحل التالية: التعريف، وتصنيف الخطورة، والاحتواء، والاستئصال، والاسترداد، وتحليل السبب الجذري مما يؤدي إلى تحسين ضوابط الأمن.

احتواء، استئصال، استعادة وإجراء تحليل السبب الجذري

  1. أبلغ جمعيات البطاقات المختصة.

فيزا

يرجى تقديم حسابات فيزا المخترقة إلى مجموعة مكافحة الاحتيال في فيزا خلال عشرة (10) أيام عمل. للمساعدة، يُرجى الاتصال على الرقم 1-(650)-432-2978. يجب إرسال أرقام الحسابات بشكل آمن إلى فيزا وفقًا لتعليمات مجموعة مكافحة الاحتيال في فيزا. من الضروري تقديم جميع الحسابات التي يُحتمل تعرضها للاختراق. ستقوم فيزا بتوزيع أرقام حسابات فيزا المخترقة على الجهات المُصدرة، مع ضمان سرية معلومات الكيان والمعلومات غير العامة. يُرجى الاطلاع على وثائق فيزا "ما يجب فعله في حال الاختراق" للاطلاع على الأنشطة الإضافية التي يجب القيام بها. يُمكنك الاطلاع على هذه الوثائق على الرابط التالي: http://usa.visa.com/download/business/accepting_visa/ops_risk_managemen…

ماستر كارد

تواصل مع بنكك التجاري للحصول على تفاصيل محددة حول ما يجب فعله بعد أي اختراق. يمكنك الاطلاع على تفاصيل البنك التجاري (أو المُشتري) في دليل التاجر على الرابط التالي: http://www.mastercard.com/us/wce/PDF/12999_MERC-Entire_Manual.pdfسوف يساعدك البنك التجاري الخاص بك عندما تتصل بـ MasterCard على الرقم 1-(636)-722-4100.

بطاقة ديسكوفر

اتصل بمدير العلاقات الخاص بك أو اتصل بخط الدعم على البريد الإلكتروني للحصول على مزيد من الإرشادات.

  1. تنبيه جميع الأطراف المعنية. تأكد من إبلاغ:
  2. بنك تجاري
  3. مكتب التحقيقات الفيدرالي المحلي
  4. الخدمة السرية الأمريكية (في حالة تعرض بيانات الدفع الخاصة بـ Visa للخطر)
  5. السلطات المحلية (إذا كان ذلك مناسبًا)
  6. قم بتحليل المتطلبات القانونية للإبلاغ عن التسويات في كل ولاية تأثر فيها العملاء. يجب استخدام مصدر المعلومات التالي:
  7. جمع وحماية المعلومات المتعلقة بالاختراق. في حال تطلب الأمر إجراء تحقيق جنائي، سيتعاون مدير المعلومات مع القسم القانوني والإدارة لاختيار متخصصين جنائيين مناسبين.
  8. إزالة وسائل وصول المتسلل وأي نقاط ضعف ذات صلة.
  9. البحث عن المخاطر المحتملة المرتبطة أو الأضرار الناجمة عن طريقة التطفل المستخدمة.

تحليل السبب الجذري والدروس المستفادة

بعد أسبوع واحد فقط من وقوع الحادث، سيجتمع أعضاء قسم تكنولوجيا المعلومات وجميع الأطراف المتضررة لمراجعة نتائج أي تحقيق لتحديد السبب الجذري للاختراق وتقييم فعالية خطة الاستجابة للحوادث. كما سيتم مراجعة ضوابط الأمن الأخرى لتحديد مدى ملاءمتها للمخاطر الحالية. ويجب تحديث أي جوانب محددة يمكن من خلالها زيادة فعالية وكفاءة الخطة أو السياسة أو ضوابط الأمن وفقًا لذلك.

الوعي الأمني

يجب على كابول كنزة ومتجر nexgendecor إنشاء برنامج رسمي للتوعية الأمنية والحفاظ عليه لتوعية جميع الموظفين بأهمية أمن بيانات حاملي البطاقات. (متطلب PCI 12.6)

مقدمي الخدمة

يجب على كابول كنزة ومتجر nexgendecor تطبيق سياسات وإجراءات لإدارة مقدمي الخدمات والحفاظ عليها. (متطلب PCI 12.8)
يجب أن تتضمن هذه العملية ما يلي:

  • الحفاظ على قائمة مقدمي الخدمة (متطلب PCI 12.8.1)
  • الحفاظ على اتفاقية مكتوبة تتضمن إقرارًا بأن مقدمي الخدمة مسؤولون عن أمان بيانات حامل البطاقة التي يمتلكها مقدمو الخدمة (متطلب PCI 12.8.2)
  • تنفيذ عملية لأداء العناية الواجبة المناسبة قبل التعاقد مع مزود الخدمة (متطلب PCI 12.8.3)
  • مراقبة حالة امتثال مقدمي الخدمة لمعايير PCI DSS (متطلب PCI 12.8.4)

سياسة الاستخدام المقبول للموظفين للتعامل مع بيانات بطاقة الدفع

غاية

صُممت هذه السياسة كملحق لسياسات النظام وإجراءاته وإرشاداته لتلبية متطلبات PCI DSS SAQ C للتجار. تُطبق هذه السياسة على جميع أنظمة متاجر Kabboul Kenza وnexgendecor التي تُخزّن أو تُعالج أو تنقل بيانات حاملي البطاقات والمستخدمين الذين لديهم إمكانية الوصول إلى بيانات حاملي البطاقات.

سياسة

يجب على جميع الموظفين أو موظفي النظام أو المتعاقدين المصرح لهم باستخدام الأجهزة التي تتعامل مع بيانات حامل البطاقة أو تخزنها الالتزام بسياسات وإجراءات وإرشادات استخدام النظام بما في ذلك سياسة نظام ولاية مينيسوتا رقم 5.22 بشأن الاستخدام المقبول لأجهزة الكمبيوتر وموارد تكنولوجيا المعلومات و نظام ولاية مينيسوتا الإجراء 5.22.1 الاستخدام المقبول لأجهزة الكمبيوتر وموارد تكنولوجيا المعلومات.

يحتفظ متجر كبول كنزة وnexgendecor بقائمة بجميع الأجهزة التي تتعامل مع بيانات حامل البطاقة أو تخزنها، بالإضافة إلى قائمة بالموظفين المصرح لهم باستخدامها. تُعرّف الأجهزة بالغرض منها، واسم مالكها، ومعلومات الاتصال به. كما يحتفظ متجر كبول كنزة وnexgendecor بقائمة بجميع المنتجات ومقدمي الخدمات.

يتم الحفاظ على سياسات وإجراءات وتنفيذها لإدارة مزودي الخدمات الذين يتعاملون مع بيانات حاملي بطاقات متجري "كبول كنزة" و"نيكسجين ديكور". عند مشاركة بيانات حاملي البطاقات مع مزودي الخدمات، يشترط "كبول كنزة" و"نيكسجين ديكور" إقرارًا كتابيًا بأن أمن البيانات مسؤولية مزود الخدمة. كما تم تطبيق برنامج لمراقبة امتثال مزودي الخدمات لمعايير PCI DSS.

التحكم في الوصول

غاية

صُممت هذه السياسة كملحق لسياسات النظام وإجراءاته وإرشاداته لتلبية متطلبات PCI DSS SAQ C للتجار. تُطبق هذه السياسة على جميع أنظمة متاجر Kabboul Kenza وnexgendecor التي تُخزّن أو تُعالج أو تنقل بيانات حاملي البطاقات والمستخدمين الذين لديهم إمكانية الوصول إلى بيانات حاملي البطاقات.

سياسة

يجب حماية جميع أنظمة بيئة معالجة الدفع باستخدام اسم مستخدم وكلمة مرور فريدين. تشير حسابات المستخدمين الفريدة إلى أن كل حساب مستخدم مرتبط بمستخدم أو عملية فردية، دون استخدام حسابات جماعية عامة يستخدمها أكثر من مستخدم أو عملية واحدة.

يجب إزالة جميع الحسابات الافتراضية المُرفقة مع أنظمة التشغيل وقواعد البيانات و/أو الأجهزة، أو تعطيلها، أو إعادة تسميتها قدر الإمكان. يجب أن تستوفي جميع الحسابات متطلبات كلمة مرور PCI-DSS.

يتطلب معيار PCI أن تلبي كلمات المرور المتطلبات التالية:

متطلبات كلمة المرور

  • يجب أن تتكون كلمة المرور من 7 أحرف على الأقل و 15 حرفًا كحد أقصى
  • يجب أن تتضمن كلمات المرور أحرفًا رقمية وأبجدية. يجب تغيير كلمات المرور كل 90 يومًا على الأقل.
  • لا يمكن أن تكون كلمات المرور الجديدة هي نفسها كلمات المرور الأربع الأخيرة. كما ستخضع حسابات المستخدمين داخل بيئة بيانات البطاقة للمتطلبات التالية
  • إذا تم تقديم كلمة مرور غير صحيحة 6 مرات، فيجب قفل الحساب. يجب أن تكون مدة قفل الحساب 30 دقيقة على الأقل (أو حتى يقوم المسؤول بإعادة تعيينها)
  • يجب أن تتطلب الجلسات الخاملة لأكثر من 15 دقيقة إعادة إدخال اسم المستخدم وكلمة المرور لإعادة تنشيط الجلسة

تخضع الحسابات داخل بيئة بيانات البطاقة أيضًا للمتطلبات التالية

  • قفل كلمة المرور غير صحيح
    • سيتم قفل الحسابات بعد 5 محاولات فاشلة لتسجيل الدخول إلى النظام
  • مدة الإغلاق
    • بعد محاولات تسجيل الدخول غير الصالحة، سيتم حظر الحسابات من النظام لمدة 30 دقيقة أو حتى يقوم مسؤول النظام بإلغاء قفل الحساب
  • مدة قفل وقت الخمول
    • سيتم إنهاء جلسات سطح المكتب البعيد بعد ساعة واحدة من عدم النشاط
    • ستنتهي صلاحية جلسة سطح المكتب البعيد المنفصلة بعد ساعة واحدة من انقطاع الاتصال.

الوصول عن بعد

غاية

صُممت هذه السياسة كملحق لسياسات النظام وإجراءاته وإرشاداته لتلبية متطلبات PCI DSS SAQ C للتجار. تُطبق هذه السياسة على جميع أنظمة متاجر Kabboul Kenza وnexgendecor التي تُخزّن أو تُعالج أو تنقل بيانات حاملي البطاقات والمستخدمين الذين لديهم إمكانية الوصول إلى بيانات حاملي البطاقات.

سياسة

يجب على جميع الموظفين أو المسؤولين أو الموردين الذين مُنحوا حق الوصول عن بُعد إلى بيئة بيانات البطاقة أن يُهيئوا مصادقة ثنائية العوامل. ستكون حسابات الجهات الخارجية نشطة فقط عند الحاجة إلى الوصول للخدمة المُقدمة، وسيتم تدقيق النظام أثناء الاتصال. يجب تعطيل الوصول عن بُعد للجهات الخارجية فورًا بعد ذلك.