دلیل و تاریخچه تشکیل استاندارد PCI PED چگونه است ؟
عبارت “PCI PED” مرتبط با “PCI PIN Entry Device” دستگاه ورود رمز پین PCI است. این استاندارد توسط شورای پرداخت کارت (PCI SSC)( PCI Security Standards Council) تعیین و اداره میشود.
“PCI PED”به مدل هایی از دستگاه کارتخوان اشاره دارد که به کاربر اجازه میدهند رمز پین یا اطلاعات امنیتی مشابه را وارد کنند، به خصوص در مواردی که احراز هویت اطلاعاتی مانند رمز پین برای انجام تراکنشهای مالی الکترونیکی از اهمیت بالایی برخوردار است.
اهداف اصلی این استاندارد عبارتند از:
تضمین امنیت درخواستهای پین:
- اطمینان از اینکه دستگاههای ورود رمز پین، امنیت بالایی را برای انتقال و اطلاعات پین فراهم میکنند.
محافظت در مقابل تغییرات ناخواسته:
- حفاظت از دستگاهها در برابر تغییرات ناخواسته در نرمافزار یا سختافزار که ممکن است تأثیری بر امنیت داشته باشد.
تأیید امنیتی:
- تأیید اینکه دستگاهها و فرآیندهای مرتبط با اطلاعات پین، از استانداردهای امنیتی مشخص پیروی میکنند.
مدیریت کلید:
- تعیین و مدیریت کلیدهای استفاده شده برای رمزنگاری اطلاعات پین.
توسعهدهندگان دستگاههای ورود رمز پین، PCI باید اطلاعات امنیتی خود را بهروز نگه دارند و از استانداردها و مشخصات ایمنی مربوطه پیروی کنند تا امنیت تراکنشهای مالی کاربران را تضمین کنند.
مهمترین مراحل تاریخی مرتبط با PCI PED عبارتند از:
-
سال 2004 شکلگیری شورای پرداخت کارت (PCI SSC):
- شورای پرداخت کارت به عنوان یک تشکل صنعتی بینالمللی برای توسعه استانداردهای امنیتی در حوزه پرداختهای الکترونیکی تشکیل شد. این شورا مسئول توسعه و اداره استانداردهای امنیتی مرتبط با پرداخت به ویژه در زمینه کارتهای اعتباری و دستگاههای مرتبط است.
-
سال2005 ارائه استاندارد PCI PED:
- در این سال استاندارد PCI PED (2.0) ارائه شد. این استاندارد بر دستگاههایی که به کمک آنها کاربران میتوانند رمز پین خود را وارد کنند، تمرکز دارد. این استاندارد برای تضمین امنیت در فرآیند ورود رمز پین در دستگاههای پرداخت مورد استفاده قرار میگیرد.
-
توسعه و بهروزرسانیها:
- استاندارد PCI PED به مرور زمان بهروزرسانی شده و نسخههای جدیدی از آن منتشر شده است تا با پیشرفت فناوری و نیازهای امنیتی جدید همگام شود.
-
استفاده در دستگاههای POS و ATM
- دستگاههای ورود رمز پین PCI اساساً در دستگاههای POS(Point Of Sell) و ATM (خودپرداز ) استفاده میشوند. این دستگاهها به همراه این استاندارد نقش اساسی در تضمین امنیت تراکنشهای مالی دارند.
معتبرترین نسخههای استاندارد PCI PED شامل نسخههای 2.0، 3.0 و 4.0 هستند که هر کدام با بهروزرسانیهای خاص خود اقدام به تقویت امنیتی در فرآیند ورود رمز پین کردهاند. دستگاههای کارتخوان (Card Reader)اغلب دارای دستگاههای ورود رمز پین PCI PED هستند. این دستگاهها برای اجازه ورود رمز پین کاربران به کارتهای اعتباری و یا کارتهای بانکی در تراکنشهای مالی الکترونیکی مورد استفاده قرار میگیرند.
ویژگیهای امنیتی اصلی که در دستگاههای کاتخوان با استفاده از استاندارد PCI PED اعمال میشوند عبارتند از:
حفاظت اطلاعات حساس:
- دستگاه باید از طریق رمزنگاری اطلاعات حساسی که شامل رمز پین و دیگر اطلاعات کارت میشوند، امانت داشته باشد.
امنیت فیزیکی:
- این دستگاهها باید از نظر فیزیکی امن باشند تا از دستکاری یا دسترسی غیرمجاز جلوگیری شود.
امنیت الکترونیکی:
- دستگاه باید سطوح مطلوبی از امنیت الکترونیکی را برای حفاظت از اطلاعات فراهم کند.
تأیید امنیتی:
- دستگاه باید بتواند مطابقت خود را با استانداردهای امنیتی PCI PED ثابت کند.
توسعهپذیری:
- این دستگاهها باید توانایی توسعهپذیری داشته باشند تا با تغییرات در فناوری و امکانات امنیتی جدید همگام شوند.
استفاده از دستگاههای کارتخوان با استاندارد PCI PED به سازمانها کمک میکند تا تراکنشهای مالی خود را با سطوح بالایی از امنیت انجام دهند و از دادههای حساس مشتریان محافظت کنند .
برای اخذ استاندارد PCI PED، عمدتاً شرکتهایی که دستگاههای ورود رمز پین تولید یا توسعه میدهند، باید مراحل و فرآیندهای خاصی را انجام دهند. شورای پرداخت کارت (PCI SSC) مسئول تعیین استانداردهای امنیتی برای این دستگاهها است.
پیشنهاد مطالعه: اینتا کد چیست؟ نحوه دریافت اینتا کد چگونه است؟
مراحل اصلی اخذ استاندارد PCI PED به اختصار :
مطالعه استانداردها:
- توسعهدهندگان دستگاههای ورود رمز پین باید با استانداردها و مشخصات PCI PED آشنا شوند. این مستندات مشخصات دقیقی از نقاط فنی و امنیتی که باید مطابقت داشته باشند، ارائه میدهند.
توسعه دستگاه:
- توسعهدهندگان باید دستگاههای ورود رمز پین را طبق استانداردهای PCI PED طراحی و پیادهسازی کنند. این شامل توسعه سختافزار، نرمافزار، و امکانات امنیتی مورد نیاز است.
تست و ارزیابی:
- دستگاههای طراحی شده باید تحت تستها و ارزیابیهای متنوعی قرار گیرند. این تستها شامل تستهای امنیتی، تستهای کارایی، و تستهای مطابقت با استانداردهای PCI PED میشوند.
گزارش و مستندسازی:
- توسعهدهندگان باید گزارشهای دقیقی از نتایج تستها و ارزیابیها را تهیه کرده و مستندسازی کنند. این مستندات برای ارائه به PCI SSC در مرحله بعدی مورد نیاز است.
ارسال به PCI SSC
- گزارشها و مستندات تهیه شده می بایست به PCI SSC ارسال شود تا از مطابقت دستگاه با استانداردهای PCI PED اطمینان حاصل شود.
بررسی توسط PCI SSC
- PCI SSC گزارش های ارسال شده را بررسی کرده و اطمینان حاصل میکند که دستگاهها با شرایط و مقررات استاندارد PCI PED مطابقت دارد.
اخذ گواهی اعتبار:
- پس از تایید مطابقت، شرکتها گواهی اعتبار از PCI SSC دریافت میکنند که نشاندهنده مطابقت دستگاه با استانداردهای PCI PED است.
این اطلاعات با توجه به شرایط موجودی که جهت اخذ گواهینامه اعلام شده است ارائه شده است، برای اطلاعات دقیقتر و بهروزتر، توسعهدهندگان میتوانند به منابع رسمی PCI SSC و مستندات استانداردهای PCI PED مراجعه کنند.