تخط وانتقل إلى المحتوى الرئيسي

تنفيذ توافق PCI DSS لنقاط النهاية - موجز فني

تعرف على المزيد حول PCI DSS - إطار العمل الأمني المصرفي والمالي.

ملخص تنفيذي

تفرض معايير أمان بيانات صناعة بطاقات الدفع (PCI DSS) ضوابط أمنية على أي مؤسسة تقوم بتخزين أو معالجة أو نقل بيانات حامل البطاقة. غالبًا ما تكون أجهزة نقاط النهاية - أجهزة الكمبيوتر المحمولة التي تعمل بنظامي التشغيل Windows و macOS ومحطات العمل والأجهزة المحمولة - نقاط دخول إلى بيئة بيانات حامل البطاقة (CDE). للوفاء بمتطلبات PCI DSS، يجب على المؤسسات تطبيق ضوابط فنية مثل تكوين جدار الحماية، وتقوية النظام الآمن، وتشفير البيانات، والحماية من البرامج الضارة، وإدارة التصحيحات والثغرات الأمنية، وقيود الوصول، وضوابط الهوية والمصادقة، وتسجيل/مراقبة عبر نقاط النهاية. توفر منصة إدارة نقاط النهاية من Trio (الوكيل، ومحرك السياسات، وخط أنابيب القياس عن بعد، ودعم الوصول عن بُعد) أساسًا لفرض هذه الضوابط والتقاط أدلة ذات درجة تدقيق.

المنصات المدعومة وحالات الاستخدام الأساسية

  • نقاط النهاية المدعومة: Windows و macOS (إدارة قائمة على الوكيل)

  • حالات الاستخدام الأساسية: محطات معالجة بطاقات الدفع، ونقاط نهاية العاملين عن بُعد التي تتعامل مع PAN/SAD، ومقدمي الخدمات الذين يديرون بيئات بيانات البطاقات

  • النطاق الإقليمي: عالمي، مع خيارات البنية التحتية/الإقامة المحلية بناءً على الاحتياجات التنظيمية/الإقليمية

بنية عالية المستوى وتدفقات البيانات الآمنة

المكونات الأساسية:

  • وكيل نقطة النهاية (Trio Agent) المثبت على Windows/macOS لفرض خطوط الأمان الأساسية، والإبلاغ عن المخزون/القياس عن بعد، ودعم الجلسات عن بُعد.

  • مستوى التحكم - نظام مركزي للسياسات والامتثال، وتنسيق النشر، واستهداف تعيين السياسات، وتسجيل مسار التدقيق.

  • نسيج الهوية والوصول - التكامل مع IAM المؤسسي (AD/Entra/SCIM/IdP)، وفرض MFA، والوصول الإداري المستند إلى الأدوار.

  • استيعاب القياس عن بعد و SIEM - إعادة توجيه السجل الآمن، والتقاط الأحداث المنظمة (تغييرات السياسة، والمصادقة، ووضع الجهاز)، والتكامل مع المراقبة الأمنية.

  • تنسيق التصحيح والثغرات الأمنية - موصلات بماسحات الثغرات الأمنية ومستودعات التصحيح، وجمع الأدلة، وإدارة التدريج والنشر.

  • جدار الحماية وإنفاذ الشبكة - إنفاذ السياسة على مستوى الجهاز وحدود الشبكة، والتجزئة، ومجموعات القواعد المعتمدة.

تدفقات البيانات:

  1. يقوم الجهاز بالتسجيل والمصادقة عبر شهادة أو رمز آمن.

  2. يقوم الوكيل بالإبلاغ عن حالة الجهاز (المخزون، والتكوينات، وحالة التصحيح) إلى مستوى التحكم عبر قناة مشفرة.

  3. يقوم مستوى التحكم بنشر السياسات المستهدفة (مثل مجموعات قواعد جدار الحماية، وتشفير القرص، والحماية من البرامج الضارة).

  4. يتم إعادة توجيه القياس عن بعد إلى أنظمة المراقبة/SIEM للتنبيه والأدلة.

  5. يتم تصدير حزم الأدلة (سجل تعيين السياسات، وسجلات التصحيح، وسجلات الوصول) للتدقيق.

فئات التحكم PCI DSS والمراجع ذات الصلة

فيما يلي فئات التحكم المحددة التي قمت بإدراجها، بما يتماشى مع مراجع متطلبات PCI DSS:

  • تكوين جدار الحماية - (3 اختبارات تحكم)
    متطلب PCI DSS 1 (تثبيت ضوابط أمان الشبكة والحفاظ عليها لحماية بيانات حامل البطاقة) والمتطلب 2 (عدم استخدام الإعدادات الافتراضية التي يوفرها البائع).

  • التكوين الآمن - (5 اختبارات تحكم)
    متطلب PCI DSS 2 (التكوين الآمن)، والمتطلب 6 (تطوير وصيانة أنظمة وتطبيقات آمنة).

  • حماية البيانات المخزنة - (2 عنصر تحكم)
    متطلب PCI DSS 3 (حماية بيانات حامل البطاقة المخزنة) والمتطلب 3 (بما في ذلك التشفير والاحتفاظ).

  • تشفير نقل البيانات - (2 عنصر تحكم)
    متطلب PCI DSS 4 (تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة المفتوحة).

  • الحماية من البرامج الضارة - (2 عنصر تحكم)
    متطلب PCI DSS 5 (حماية جميع الأنظمة من البرامج الضارة وتحديث برامج أو برامج مكافحة الفيروسات بانتظام).

  • التصحيح والثغرات الأمنية - (2 عنصر تحكم)
    متطلب PCI DSS 6 (تطوير وصيانة أنظمة/تطبيقات آمنة) والمتطلب 11 (اختبار الأنظمة والعمليات الأمنية بانتظام).

  • تقييد الوصول - (2 عنصر تحكم)
    متطلب PCI DSS 7 (تقييد الوصول إلى بيانات حامل البطاقة حسب حاجة العمل للمعرفة) والمتطلب 8 (تحديد هوية الوصول إلى مكونات النظام والمصادقة عليها).

  • الهوية والوصول - (5 عناصر تحكم)
    يغطي متطلب PCI DSS 8 (تحديد هوية الوصول والمصادقة عليها) العديد من عناصر التحكم الفرعية (معرفات فريدة، وعوامل المصادقة، ودورة حياة الحساب).

  • السجل - (2 عنصر تحكم)
    متطلب PCI DSS 10 (تتبع ومراقبة جميع عمليات الوصول إلى موارد الشبكة وبيانات حامل البطاقة) والمتطلب 12 (الحفاظ على سياسة تعالج أمن المعلومات).

تعيين عناصر التحكم لتنفيذ نقطة النهاية و Trio (التركيز الفني)

تكوين جدار الحماية

  • فرض ملفات تعريف جدار الحماية على مستوى الجهاز على نقاط النهاية، وتقييد حركة المرور الواردة/الصادرة إلى المنافذ ذات الصلة بـ CDE، وفرض قواعد التجزئة عبر سياسة الجهاز.

  • مجموعات قواعد حدود الشبكة (الوكيل + مستشعر الشبكة) تتم مراقبتها وتدقيقها؛ يسجل مستوى التحكم تغييرات القاعدة والتحكم في الإصدار والتبرير.

تكوين النظام الآمن

  • نشر التكوينات الأساسية (تشفير القرص، وتقوية نقطة النهاية، وتعطيل الخدمات غير المستخدمة، وإزالة الحسابات الافتراضية).

  • استخدم محرك سياسات Trio لدفع ملفات تعريف التكوين، ومراقبة الانحراف باستمرار، ومعالجة الانحرافات.

حماية البيانات المخزنة

  • تنفيذ التشفير في حالة السكون للأجهزة التي تخزن بيانات حامل البطاقة: FileVault على macOS، و BitLocker على Windows.

  • استخدم سياسة نقطة النهاية لفرض التشفير وإنشاء سجلات إثبات (حالة التشفير، وتخزين المفاتيح، ومفاتيح الاسترداد).

تشفير نقل البيانات

  • تتطلب TLS 1.2+ لجميع اتصالات الجهاز التي تتضمن PAN/SAD؛ تعطيل جميع البروتوكولات ذات النص الواضح.

  • استخدم سياسة الجهاز لفرض الأنفاق المشفرة للجلسات عن بُعد، والتحقق من صحة الشهادة، وبروتوكولات تبادل المفاتيح.

الحماية من البرامج الضارة

  • فرض الجيل التالي من مكافحة البرامج الضارة/اكتشاف نقطة النهاية على جميع نقاط النهاية؛ تحديثات مستمرة للتوقيع والسلوك.

  • استخدم Trio لفرض المراقبة في الوقت الفعلي، وعمليات الفحص المجدولة، وسياسة الحجر الصحي، وجمع السجلات لأحداث البرامج الضارة.

إدارة التصحيح والثغرات الأمنية

  • الحفاظ على مخزون لجميع مكونات البرنامج؛ جدولة عمليات فحص الثغرات الأمنية المنتظمة وتطبيق التصحيحات الهامة في غضون نوافذ محددة.

  • يتكامل Trio مع نتائج الماسح الضوئي، ويقوم بأتمتة نشر التصحيحات، ويجمع أدلة المعالجة (لقطات قبل/بعد، ومقارنة التجزئة).

تقييد الوصول والهوية والوصول

  • تطبيق أقل الامتيازات: معرفات مستخدم فريدة لجميع الموظفين (المتطلب 8.1)، وأتمتة دورة حياة الحساب، وفرض MFA (المتطلب 8.3)، وإلغاء الحسابات على الفور (المتطلب 8.1.3).

  • تقييد الوصول إلى بيانات حامل البطاقة على أساس الحاجة إلى المعرفة (المتطلب 7)، وتطبيق ضوابط الوصول المستندة إلى الأدوار، واستثناءات مزود الخدمة موثقة (المتطلب 8.2).

  • يفرض تكامل هوية Trio MFA، ويراقب سجلات الجلسة، ويدقق في استخدام الحساب المميز، ويدعم الوصول المشروط بناءً على الوضع.

التسجيل والمراقبة

  • التقاط سجلات لوصول المستخدم، وتغييرات الجهاز، والجلسات عن بُعد، وتعديلات التكوين؛ الاحتفاظ بحد أدنى سنة واحدة (المتطلب 10) ومراجعة السجلات بانتظام.

  • فرض سياسات أمنية (المتطلب 12) تتطلب سجلات وإجراءات ومسؤوليات موثقة؛ يقوم خط أنابيب القياس عن بعد الخاص بـ Trio بإعادة توجيه الأحداث بشكل آمن إلى SIEM، والاحتفاظ بالأدلة للمدققين، ويدعم اكتشاف الحالات الشاذة.

الأدلة وقابلية التدقيق - ما يجب جمعه

  • لقطات مخزون الجهاز (الطوابع الزمنية، ومعرف الجهاز، وإصدار نظام التشغيل)

  • سجلات تغيير قاعدة جدار الحماية/التكوين (المسؤول، والطابع الزمني، والتبرير)

  • تقارير حالة التشفير لنقاط النهاية (الجهاز، والمستخدم، والتاريخ)

  • نتائج فحص الثغرات الأمنية وسجلات وظائف التصحيح (CVSS، والجهاز، والتصحيح المطبق)

  • سجلات المصادقة (استخدام MFA، ومحاولات تسجيل الدخول، ومعرف المستخدم)

  • سجلات الجلسة عن بُعد (البدء/الانتهاء، والمبادر، والجهاز)

  • أدلة الاحتفاظ بالسجلات (حجم السجل، وسياسة الاحتفاظ، وقابلية التصدير)

  • سجل تعيين السياسات والإصدار (من قام بتغيير ماذا، ومتى)

تأكد من تخزين السجلات بشكل غير قابل للتغيير (WORM أو إضافة فقط)، وتوقيعها عند الحاجة، وقابلة للتصدير (بيانات PDF و JSON). الحفاظ على سلسلة الحراسة لأدلة التدقيق.

دفتر التشغيل التشغيلي (تسلسل النشر)

  1. النطاق والتصنيف: تحديد نقاط النهاية في نطاق بيئة بيانات حامل البطاقة (CDE).

  2. التسجيل الأساسي والتقوية: نشر الوكيل، وفرض التشفير، وتطبيق جدار حماية نقطة النهاية وخط الأمان الأساسي.

  3. إعداد الهوية والوصول: تمكين المعرفات الفريدة، وتعطيل الحسابات المشتركة، وفرض MFA، وإنشاء الأدوار.

  4. تجزئة جدار حماية الشبكة: نشر سياسات جدار الحماية المحيطة والداخلية، وتقييد حركة المرور إلى مناطق CDE.

  5. نشر البرامج الضارة والتصحيح: نشر اكتشاف نقطة النهاية، وجدولة وتطبيق التصحيحات الهامة، ودمج فحص الثغرات الأمنية.

  6. التسجيل والمراقبة: تكوين إعادة توجيه القياس عن بعد، وتكامل SIEM، والاحتفاظ بالسجلات والمراجعة الدورية.

  7. الاستعداد للتدقيق: إعداد حزم الأدلة القابلة للتصدير؛ بدء عمليات محاكاة التدقيق الداخلي للتحقق من صحة الضوابط قبل تقييم QSA.

حالات الاستخدام والسيناريوهات العملية

  • محطات الدفع بالتجزئة: نقاط نهاية Windows/المضمنة في الأجهزة التي تقبل البطاقات، وفرض التشفير، وجدار الحماية، والحماية من البرامج الضارة قبل المعالجة المجمعة.

  • نقاط نهاية الشركات في المكتب الخلفي: أجهزة الكمبيوتر المحمولة التي تعمل بنظامي التشغيل macOS/Windows والتي تتعامل مع بيانات حامل البطاقة، وفرض نوافذ التصحيح، ووصول المستخدم بأقل الامتيازات، وتسجيل الوصول عن بُعد عبر Trio.

  • مقدمو الخدمات: مقدمو الخدمات المدارة الذين يعالجون بيانات البطاقات للتجار، وإظهار بيانات اعتماد فريدة لكل عميل ومسارات تدقيق كاملة للوصول.

القيود وعناصر التحكم التعويضية

  • قد تتطلب إصدارات نظام التشغيل القديمة بدون تقوية حديثة عناصر تحكم تعويضية (عزل الشبكة، والقائمة البيضاء للتطبيقات).

  • قد يؤدي BYOD/نقاط النهاية غير المدعومة إلى تقليل الرؤية؛ فرض ضوابط الوصول إلى الشبكة والاحتواء بدلاً من ذلك.

  • زمن انتقال التصحيح العالي للغاية أو الأجهزة غير المتصلة بالإنترنت: تتطلب ذاكرة تخزين مؤقت لفرض السياسة في وضع عدم الاتصال، وعمليات التحقق من التدقيق الدورية.

لماذا يهم توافق PCI DSS لنقاط النهاية (الأساس المنطقي الفني)

  • يحمي بيانات حامل البطاقة من التهديدات القائمة على نقاط النهاية (البرامج الضارة، وسرقة بيانات الاعتماد، والثغرات الأمنية غير المصححة).

  • يتيح التقاط الأدلة القابلة للتدقيق ويبسط تقييمات QSA من خلال مواءمة ضوابط نقطة النهاية مع أرقام المتطلبات الموحدة.

  • يعمل كأساس لأمن المؤسسة الأوسع - تقلل بيئة نقطة نهاية آمنة من سطح المخاطر الإجمالي لمعالجة بطاقات الدفع.

المقالات ذات الصلة
أتمتة الامتثال
مراجعة سجلات الأجهزة في Trio
فهم وكيل Trio على جهاز Windows الخاص بك
تنفيذ الامتثال لمعايير SAMA لنقاط النهاية باستخدام Trio - نظرة عامة فنية
تنفيذ الامتثال لضوابط الهيئة الوطنية للأمن السيبراني (NCA) لنقاط النهاية باستخدام Trio - موجز فني
هل أجاب هذا عن سؤالك؟