الزامات احراز هویت در PCI DSS 4.0

استاندارد امنیت داده‌های کارت پرداخت (PCI DSS) برای محافظت از داده‌های کارت، در سالهای اخیر بروزرسانی شده و به نسخه 4.0 رسیده است. این نسخه بیش از 60 الزام جدید یا به‌روز شده را معرفی می‌کند. از جمله مهم‌ترین آن‌ها، رمزهای عبور، احراز هویت چند عاملی (MFA) و احراز هویت بدون رمزعبور مبتنی بر FIDO است. در ادامه این نوشته، نکات مهم در خصوص الزامات احراز هویت در PCI DSS را تشریح خواهیم نمود.
توصیه می‌کنیم مقاله مفاهیم و تعاریف احراز هویت را نیز برای اطلاعات بیشتر مطالعه کنید.

PCI DSS 4.0  چیست؟

استاندارد امنیت داده‌های کارت پرداخت (PCI DSS) که در سال 2004 معرفی شد، بر هر سازمانی که داده‌های دارنده کارت را ذخیره، پردازش یا انتقال می‌دهد، اعمال می‌شود. برای نشان دادن انطباق با PCI DSS، سازمان‌ها در تمام سیستم‌هایی که با محیط دارنده کارت تعامل دارند، ارزیابی می‌شوند.

در مارس 2022، شورا نسخه 4.0 PCI DSS را اعلام کرد که دستورالعمل‌هایی را برای بهبود امنیت داده‌های دارنده حساب و کارت پرداخت در چشم‌انداز تکامل یافته تهدیدات سایبری امروز ارائه می‌دهد. نسخه فعلی، PCI DSS 3.2.1، در مارس 2024 رسماً منسوخ خواهد شد و سازمان‌ها ملزم خواهند بود که دستورالعمل‌های نسخه جدید را به‌طور مرحله‌ای طی دوازده ماه اجرا کنند.

در حالی که نسخه 4.0 به‌طور کلی به‌روزرسانی‌هایی را ارائه می‌دهد، برخی از مهم‌ترین آن‌ها مربوط به الزامات احراز هویت قوی، به‌ویژه استفاده از رمز عبور و احراز هویت چند عاملی (MFA) هستند. شیوه‌های ضعیف احراز هویت، سازمان‌ها و داده‌ها را در برابر حملات فیشینگ و سایر حملات مرتبط با رمز عبور آسیب‌پذیر می‌کند. درک این الزامات جدید برای انطباق با PCI DSS ضروری است. پنج حوزه حیاتی و همچنین تأثیر بالقوه آن‌ها برای کسب‌وکارها، شامل موارد زیر خواهد بود.

 

1- الزامات رمز عبور PCI DSS 4.0

یکی از مهم‌ترین به‌روزرسانی‌ها در نسخه  PCI DSS 4.0شامل مشخصات دقیق‌تر در مورد رمزهای عبور است. الزامات اصلی رمز عبور PCI DSS 4.0 (بخش‌های 8.3.4-8.3.9) شامل موارد زیر است:

• طول و پیچیدگی: رمزهای عبور باید حداقل 12 کاراکتر طول داشته باشند و از کاراکترهای ویژه، حروف بزرگ و کوچک استفاده کنند.
• بازنشانی و استفاده مجدد: رمزهای عبور باید هر 90 روز بازنشانی شوند. استثناء در صورتی اعمال می‌شود که از احراز هویت مستمر مبتنی بر ریسک استفاده شود، جایی که وضعیت امنیتی حساب‌ها به صورت پویا تجزیه و تحلیل می‌شود و دسترسی در زمان واقعی بر این اساس تعیین می‌شود.
• محدودیت تلاش‌های ورود: طبق الزامات رمز عبور PCI DSS 4.0، پس از حداکثر 10 تلاش ناموفق ورود، کاربران باید حداقل برای 30 دقیقه یا تا زمانی که هویت خود را از طریق میز خدمت یا سایر روش‌ها تأیید کنند، قفل شوند.

رمزهای عبور طولانی‌تر برای کاربران سخت‌تر هستند و احتمال نوشتن آنها در جاهای مختلف و یا ذخیره به‌طور ناامن در فایل‌های روی یک دستگاه بیشتر است. به‌روزرسانی‌های اجباری نیز تمایل دارند رفتارهای ناامن کاربر را کاهش دهند، از این رو کمی به سمت سادگی سوق داده شده‌اند. علاوه بر این، همه این الزامات احتمالاً منجر به افزایش تماس‌های میز خدمت می‌شود. تحقیقات اخیر Forrester نشان می‌دهد که هزینه متوسط تماس با میز خدمت برای سازمان‌ها حدود 42 دلار در هر تماس است.

 

2- MFA الزامی برای تمام دسترسی‌ها به  CDE

طبق دستورالعمل‌های PCI DSS 3.2.1، MFA  فقط برای مدیرانی که به محیط داده‌های دارنده کارت (CDE) دسترسی دارند، الزامی بود. تحت قوانین جدید در بند 8.4.2 در خصوص احراز هویت چند عاملی (MFA)، تمام دسترسی‌ها به CDE باید با احراز هویت چند عاملی محدود شوند. الزامات MFA برای تمام انواع اجزای سیستم، از جمله سیستم‌های ابری و برنامه‌های محلی، دستگاه‌های امنیتی شبکه، ایستگاه‌های کاری، سرورها و نقاط انتهایی اعمال می‌شود.

احراز هویت چند عاملی به عنوان استفاده از دو عامل مستقل از دسته‌های زیر تعریف می‌شود:

• چیزی که می‌دانید، مانند رمز عبور.
• چیزی که دارید، مانند یک توکن سخت‌افزاری.
• چیزی که هستید، مانند یک عنصر بیومتریک.

نسخه 4.0 در راهنمای خود در مورد عوامل احراز هویت، به‌طور خاص می‌گوید که برای استفاده از توکن‌ها، کارت‌های هوشمند یا بیومتریک به‌عنوان عوامل احراز هویت، به استاندارد FIDO رجوع شود. در حالی که از اجباری نموددن الزام عوامل مبتنی بر FIDO کوتاه می‌آید، برخی از راهنمایی‌های دیگر آن، همانطور که در زیر مشاهده خواهید کرد، به یک ترجیح واضح اشاره می‌کند.

قوانین جدید روشن می‌کنند که هر بار که به CDE دسترسی پیدا می‌شود، باید از احراز هویت چند عاملی استفاده شود، حتی اگر کاربر قبلاً از MFA برای احراز هویت در شبکه تحت الزامات دسترسی از راه‌دور استفاده کرده باشد. این امر باعث ایجاد اصطکاک قابل توجهی برای کارکنان خواهد شد و پیامدهای بالقوه‌ای برای بهره‌وری و رضایت کارکنان خواهد داشت. علاوه بر این، اکثر سازمان‌ها، حتی اگر از نوعی MFA استفاده می‌کنند، فناوری یا سیستم‌های صحیح برای رسیدگی به الزام MFA برای دسکتاپ‌ها، ایستگاه‌های کاری و سرورها را ندارند.

 

3- PCI DSS اکنون MFA را برای تمام دسترسی‌های از راه‌دور الزامی می‌کند

قبلاً، MFA  برای دسترسی از راه‌دور به محیط داده‌های دارنده کارت الزامی بود. با این راهنمای به‌روز شده، هر کسی که از خارج از محیط شبکه امن شما وارد سیستم می‌شود، حتی اگر واقعاً به CDE دسترسی نداشته باشد، باید از احراز هویت چند عاملی استفاده کند. این شامل تمام کارمندان، هم کاربران و هم مدیران، و تمام اشخاص ثالث و فروشندگان می‌شود. این همچنین بدان معنی است که هر دسترسی مبتنی بر وب باید از MFA استفاده کند، حتی اگر توسط کارمندان در محل سازمان استفاده شود.

در واقع این بدان معنی است که تمام نیروی کار شما که از راه‌دور، ترکیبی یا دارای نقش‌های حمایتی خارج از سازمان هستند، باید در تمام مواقع از MFA استفاده کنند. این همچنین بدان معنی است که هر کارمندی که از یک برنامه مبتنی بر وب برای دسترسی به شبکه‌ها و سیستم‌های شما استفاده می‌کند، باید از MFA استفاده کند، حتی اگر در محل سازمان باشد. علاوه بر هزینه و دردسرهای راه‌اندازی MFA، رویه‌های پیچیده آن می‌توانند تأثیر منفی بر بهره‌وری و رضایت کارکنان داشته باشند.

 

4- الزامات پیکربندی MFA در  PCI DSS

استاندارد جدید نه تنها مشخص می‌کند که چه کسی و در چه زمانی باید از MFA استفاده کند، بلکه همچنین دستورالعمل‌هایی را در مورد نحوه پیکربندی سیستم‌های MFA برای جلوگیری از سوء استفاده ارائه می‌دهد. بسیاری از راه‌حل‌های سنتی MFA در برابر حملات مرد میانی، بمباران فشار (Push Bombing) و سایر حملات که کنترل‌های MFA را دور می‌زنند، آسیب‌پذیر هستند. الزام 8.5 ضعف‌ها و پیکربندی‌های نادرست را برای ارزیابی انطباق با PCI مشخص می‌کند. این موارد عبارتند از:

• سیستم MFA شما نباید مستعد حملات تکرار (یا مرد میانی) باشد.
• MFA نباید قابل دور زدن باشد، مگر اینکه یک استثناء خاص مستند شده و توسط مدیریت مجاز باشد.
• راه‌حل MFA شما باید از دو عامل مختلف و مستقل برای احراز هویت استفاده کند.
• دسترسی نباید تا زمانی که تمام عوامل احراز هویت موفقیت‌آمیز باشند، اعطا شود.

همانطور که قبلا اشاره شد، راهنمای PCI DSS در مورد انواع عوامل احراز هویت به استاندارد FIDO اشاره می‌کند. احراز هویت FIDO مقاوم در برابر فیشینگ است، حملات تکرار را از بین می‌برد ذاتا چند عاملی است.

اگر راهکار MFA شما از SMS، OTP یا سایر روش‌های ناامن استفاده می‌کند، ممکن است با الزامات احراز هویت در PCI DSS مطابقت نداشته باشد.

 

5- پروتکل‌های رمزنگاری قوی

در حالی که نسخه‌های قبلی PCI DSS استفاده از پروتکل‌های رمزنگاری قوی برای محافظت از تراکنش‌ها و داده‌های دارنده کارت را الزامی می‌کرد،PCI DSS 4.0  این الزام رمزنگاری را گسترش نیز داده است. با قوانین جدید، هر داده احراز هویت حساس ذخیره شده (SAD) باید با استفاده از رمزنگاری قوی رمزگذاری شود. با توجه به این الزام، اگر سیستم احراز هویت شما به درستی داده‌های احراز هویت را رمزگذاری و ذخیره نمی‌کند، ممکن است با الزامات احراز هویت در PCI DSS مطابقت نداشته باشد.

 

انطباق الزامات احراز هویت در PCI DSS 4.0  با استفاده از راهکار نشانه

چارچوب جدید PCI DSS اکنون بسیار نزدیک‌تر با سایر دستورالعمل‌های هویت دیجیتال که از پذیرش MFA مقاوم در برابر فیشینگ مبتنی بر FIDO و یک رویکرد احراز هویت اعتماد صفر حمایت می‌کنند، همسو شده است.

راهکار احراز هویت نشانه، به سازمان‌ها کمک می‌کند تا با الزامات احراز هویت در PCI DSS انطباق پیدا نمایند. این محصول که در شرکت رهسا (ره‌آورد سامانه‌های امن) تولید شده است، رویکرد سنتی مبتنی بر رمز عبور را با احراز هویت بدون رمز عبور امن جایگزین می‌کند. این شیوه توسط FIDO تایید شده و بر اساس کلیدهای عبور (Passkey) نیز کار می‌کند. عناصر اصلی راهکار نشانه، مانند ادغام احراز هویت بیومتریک، داشتن یک دستگاه قابل اعتماد و توکن‌های رمزنگاری ذخیره شده در TPM دستگاه، احراز هویت چند عاملی قوی و مقاوم در برابر فیشینگ را فراهم و مطابقت با الزامات PCI DSS را تضمین می‌کند.

در عین حال، نشانه تجربه کاربری را به طور قابل توجهی بهبود می‌بخشد، نیاز به رمزهای عبور طولانی و پیچیده را از بین برده و احراز هویت چند عاملی را تنها به یک حرکت ساده کاربران تبدیل می‌کند.