تواجه عديد من المؤسسات مصاعب جمة في تلبية متطلبات الأمن والحماية للدفع عبر البطاقات الائتمانية، وهي تعمل جاهدة على تبني أفضل الممارسات بهدف الحد من الأخطار المتزايدة واحتمال تعرض نظم المعلومات لديها للاختراق، بعد أن اتضح لديها أخيرا، بأنه لا مناص من انتهاج مبدأ الالتزام لكي يمكنها التعامل مع المخاطر التي تواكب استخدام تقنيات المعلومات، والحد من هذه المخاطر عبر وضع السياسات الموجِّهة للتعاملات بهذه المؤسسات، والاطلاع على السياسات التشريعية والتنظيمية ذات الصلة، ووضع الآليات المناسبة التي تكفل الالتزام بها.
وفي هذا السياق أقامت شركة الحلول المتميزة المتخصصة في استشارات وحلول أمن المعلومات وشركة F5 أخيراً بقاعة مكارم بفندق الماريوت، ملتقى للمسؤولين في كل من البنوك وشركات الاتصالات والجهات الحكومية عن التزامات الأمن والحماية للدفع عبر البطاقات الائتمانية PCI Compliance .
وذكر عبد الرحمن الشتوي الرئيس التنفيذي لشركة الحلول المتميزة، أن صناعة بطاقات الدفع PCI هي عبارة عن تجميع لأفضل الممارسات التي تم تركيبها من قبل كبرى شركات بطاقات الائتمان لحماية العملاء من تزايد سرقة الهوية وخروق الأمنية، وأن الشركات التي تبيع وتعالج البيانات بحاجة إلى المحافظة على الامتثال لمتطلبات نظام الدفع PCI، وعدم الامتثال لهذه المعايير قد يؤدي إلى فرض غرامات باهظة وقيود، أو الطرد الدائم من قبول شركات بطاقات الائتمان، علماً بأن نهاية شهر أيلول (سبتمبر) لعام 2009 سيكون الموعد النهائي الإلزامي لتطبيق التزام الأمن والحماية الخاصة بالدفع للبطاقات الائتمانية.
#2#
وأضاف الشتوي بأنه وفي بعض القطاعات لم تعد مسألة تبني "برنامج للالتزام" مرهونة بقرار المؤسسات، فقبل عامين، عمدت كل من "فيزا" و"ماستر كارد" إلى إطلاق معايير أمن البيانات الخاصة بصناعة بطاقات الدفع Payment Card Industry (PCI)، بهدف ضمان توافق وتجانس المعايير الأمنية اللازمة لحماية بيانات بطاقات الائتمان، وانضم إلى الركب كل من "أميركان إكسبرس"، "داينرز كلوب"، "بنك ديسكفر، و" جيه سي بي إنترناشيونال"، إلا أن مستوى الالتزام يبقى دون المستوى المأمول نظراً لأن عواقب عدم الالتزام بهذه المعايير ما زالت غير جلية، مما دفع بشركات بطاقات الائتمان أخيرا، إلى تهديد عملائها بعواقب وخيمة في حالة عدم تلبية شرط الالتزام، وتضمنت هذه التهديدات إيقاع غرامات مالية أو الحرمان من استخدام الماركات التجارية، أو حتى إلغاء الاتفاقيات الموقعة مع هذه الشركات، وترتبط معايير صناعة بطاقات الدفع مباشرة بمسألة الحد من المخاطر التي قد تتعرض لها المؤسسة، حيث إن من شأن غياب الضوابط، أن يعرض المؤسسة لمخاطر أمنية كبيرة بما في ذلك زيادة فرص تعرضها للاختراق.
وأبان الشتوي أن المؤسسات التي تفتقر إلى سياسة أمنية فعالة توفر الصلة الأساسية بين أهداف العمل ومتطلباته وبين التطبيقات الأمنية وتخاطر بجهودها الأمنية يمكن أن تعرض المؤسسة لاختراقات أمنية مدمرة، لذلك بات أمن المعلومات في المملكة كما في العالم أجمع هاجساً لدى أصحاب الشركات ومديري أقسام تقنية المعلومات فيها بحيث صار همهم الأكبر البحث عن استشارات في مجال أمن المعلومات، وخدمات لتقييم المخاطر الأمنية وتقديم الحلول الأمنية المتوافقة مع المقاييس الدولية ISO 27001 الخاصة بأمن المعلومات.
من جانبه قام بيتر درابر، المستشار الأمني لشركة الحلول المتميزة، بشرح ماهية الطريقة المثلى لتطبيق التزامات ومعايير الأمن والحماية للدفع عبر البطاقات الائتمانية، وشرح طريقة تقييم حلول الأمن والحماية وخاصة في مجال أمن وحماية التطبيقات Application Security بالقطاعات المختلفة، كما شرح بإسهاب متطلبات التزامات الأمن والحماية للدفع عبر البطاقات الائتمانية . PCI Compliance
وأضاف بيتر درابر بأن الخطوات اللازمة للالتزام بمعايير الأمن والحماية للدفع عبر بطاقات الإئتمان تتلخص في بناء وصيانة شبكة آمنة Application Security والحفاظ على جدار ناري لحماية البيانات وحماية بيانات البطاقة المخزنة, تشفر نقل حاملي بطاقات البيانات والمعلومات الحساسة عبر الشبكات العامة، تعيين هوية محددة لكل شخص عند الحصول على جهاز الكمبيوتر وأخيراً رصد منتظم وتقييم الشبكات.