ضرورت بهره گیری از استانداردها و مکانیزم های امنیتی و حفاظت داده ها
دکتر فرشید ایروانی پور، مدیر امنیت اطلاعات و مدرس فاوا، در یادداشت ارسالی برای سیتنا آورده است:
در عصر کنونی پیشرفت داد و ستد آنلاین و به نوعی انواع اقتصاد دیجیتال و الکترونیکی جزعه لاینفکی از زندگی مدرن تبدیل شده، این پیشرفت و فرصت های مرتبط، تهدیدات آنلاین و سایبری هم در کنار خود خواهد داشت، لذا بهره گیری از استانداردها و مکانیزم های امنیتی و حفاظت داده ها بیش از پیش مهم و حیاتی تلقی می گردد. در این بین استاندارهای مناسب سد دفاعی مهم و کارآمدی را ایفا خواهند کرد.
دستور العمل مختصر و مفید ذیل نحوه نگه داری و ذخیره سازی اطلاعات محرمانه مشتریان شبکه پرداخت بر مبنای استاندارد پرداخت الکترونیک PCI-DSS “Payment Card Industry Data Security Standard”، را مشخص تر و بهره گیری از آن بر مبنای الزامات بالا دستی بانک محترم مرکزی و شرکت های فعال این بانک همانند: شاپرک و کاشف را برای بهره برداران بانکی و شبکه پرداخت را تسهیل خواهد کرد.
اطلاعات محرمانه یا حساس (Sensitive Authentication Data) یا SAD اطلاعات دارنده کارت Cardholder Data (CHD) به دو دسته اصلی تقسیم میشوند. هر یک از اینها مقررات خاصی در رابطه با ذخیرهسازی، پردازش و انتقال دارند:
1- اطلاعات دارنده کارت (Cardholder Data - CHD):
این اطلاعات به طور معمول روی کارت وجود دارند و برای پردازش تراکنش مورد استفاده قرار میگیرند:
• Primary Account Number(PAN): شماره اصلی کارت می باشد. در صورتی مجاز به ذخیره سازی می باشد که رمزنگاری، ماسک یا هش شده باشد.
• Cardholder Name: نام دارنده کارت بوده و مجاز به ذخیره سازی می باشد.
• Expiration Date: تاریخ انقضای کارت - مجاز به ذخیره سازی می باشد.
• Service Code: کد سرویس (سهرقمی در داده مغناطیسی) - مجاز به ذخیره سازی می باشد.
• شماره شبا (IBAN): این اطلاعات نیز حساس تلقی میشوند و باید با روشهایی رایج و معتبر رمزنگاری و محافظت شوند - مجاز به ذخیره سازی می باشد.
• اطلاعات کاربر (نام، موبایل، ایمیل، کد ملی): این اطلاعات نیز حساس تلقی میشوند و باید با روشهایی رایج و معتبر رمزنگاری و محافظت شوند - مجاز به ذخیره سازی می باشد.
• شماره حساب بانکی داخلی: رمزنگاری، ماسک یا هش گردد.
نکته: PAN حتما باید رمزنگاری شود.
2-دادههای حساس احراز هویت (Sensitive Authentication Data - SAD):
این دادهها نباید پس از تأیید تراکنش ذخیره شوند، حتی اگر رمزنگاری شده باشند.
• Full Track Data: شاملTrack1,Track2 حاوی دادههای کامل نوار مغناطیسی یا معادل آن در چیپ می باشد. تحت هیچ شرایطی مجاز به ذخیره سازی نمی باشد. (در صورت مشاهده و ممیزی توسط بانک محترم مرکزی و یا شرکت های تایعه و مرکز افتا برابر قوانین حقوقی برخورد خواهد شد)
• CVV2/CVC (Card Verification Code/Value): کد امنیتی ۳ یا ۴ رقمی روی کارت می باشد. تحت هیچ شرایطی مجاز به ذخیره سازی نمی باشد. (در صورت مشاهده و ممیزی توسط بانک محترم مرکزی و یا شرکت های تایعه و مرکز افتا برابر قوانین حقوقی برخورد خواهد شد)
• PIN و PIN Block: پین وارد شده توسط دارنده کارت یا نسخه رمز شده آن می باشد. تحت هیچ شرایطی مجاز به ذخیره سازی نمی باشد. (در صورت مشاهده و ممیزی توسط بانک محترم مرکزی و یا شرکت های تایعه و مرکز افتا برابر قوانین حقوقی برخورد خواهد شد)
• توکن احراز هویت (Access Token): باید Expire، رمزنگاری و دارای Scope محدود باشد.
• همچنین توکن پرداخت یا Session ID: باید با روشهایی رایج و معتبر (JWT با امضای دیجیتال) رمزنگاری و محافظت شوند.
انتهای پیام