الشتوي: 09/09 هو الموعد النهائي لتطبيق إجراءات الأمن والحماية

على هامش ملتقى التزامات الدفع عبر البطاقات الائتمانية

تواجه العديد من المؤسسات مصاعب جمة في تلبية متطلبات الأمن والحماية للدفع والتحصيل عبر البطاقات الائتمانية، وتعمل جاهدة على تبني أفضل الممارسات و الحلول بهدف الحد من الأخطار المتزايدة، واحتمال تعرض نظم المعلومات لديها للاختراق، بعد أن اتضح لديها مؤخرا بأنه لامناص من انتهاج مبدأ الالتزام، لكي تستطيع التعامل مع المخاطر التي تواكب استخدام التقنيات الحديثة، والحد من تلك المخاطر، عبر وضع السياسات الموجِّهة للتعاملات بهذه المؤسسات، والاطلاع على السياسات التشريعية والتنظيمية ذات الصلة، ووضع الآليات المناسبة التي تكفل الالتزام بها.
وفي هذا السياق ذكر الأستاذ عبدالرحمن الشتوي، الرئيس التنفيذي لشركة الحلول المتميزة أن صناعة بطاقات الدفع (PCI) Payment Card Industry؛ هي عبارة عن تجميع لأفضل الممارسات التي تم تركيبها من قبل كبرى شركات بطاقات الائتمان لحماية العملاء من تزايد سرقة الهوية والخروق الأمنية، وأن الشركات التي تبيع وتعالج البيانات، بحاجة إلى المحافظة على الامتثال لمتطلبات نظام الدفع (PCI)، وأن عدم الامتثال لتلك المعايير قد يؤدي إلى فرض غرامات باهظة وقيود معينة، أو الطرد الدائم من قبول شركات بطاقات الائتمان، علماً بأن نهاية شهر سبتمبر لعام 2009 سيكون الموعد النهائي الإلزامي لتطبيق التزام الأمن والحماية الخاصة بالدفع للبطاقات الائتمانية.
جاء ذلك خلال ملتقى خاص لمسؤولي البنوك، وشركات الاتصالات، والجهات الحكومية، لمناقشة التزامات الأمن والحماية للدفع عبر البطاقات الائتمانية PCI Compliance . الذي أقامته شركة الحلول المتميزة، المتخصصة في استشارات وحلول أمن المعلومات، وشركة (F5)، نهاية الأسبوع الماضي بالرياض.
كما أضاف الشتوي، بأنه وفي بعض القطاعات لم تعد مسألة تبني "برنامج للالتزام" مرهونة بقرار المؤسسات، فقبل عامين، عمدت كل من "فيزا" و"ماستر كارد" إلى إطلاق معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (PCI)، بهدف ضمان توافق وتجانس المعايير الأمنية اللازمة لحماية بيانات بطاقات الائتمان، وانضم إلى الركب كل من "أميركان إكسبرس"، "داينرز كلوب"، "بنك ديسكفر، و" جيه سي بي انترناشيونال"، إلا أن مستوى الالتزام يبقى دون المستوى المأمول، نظراً لأن عواقب عدم الالتزام بهذه المعايير لا زالت غير جلية، مما دفع بشركات بطاقات الائتمان مؤخراً، إلى تهديد عملائها بعواقب وخيمة في حالة عدم تلبية شرط الالتزام، وتضمنت هذه التهديدات إيقاع غرامات مالية، أو الحرمان من استخدام الماركات التجارية، أو حتى إلغاء الاتفاقيات الموقعة مع هذه الشركات، وترتبط معايير صناعة بطاقات الدفع مباشرة بمسألة الحد من المخاطر التي قد تتعرض لها المؤسسة، حيث أن من شأن غياب الضوابط، أن تتعرض المؤسسة لمخاطر أمنية كبيرة بما في ذلك زيادة فرص تعرضها للاختراق.
ونوه الشتوي بأن الهدف الأساسي من أمن المعلومات هو إيجاد حماية تستطيع من خلالها الحدّ من مخاطر الاختراقات والفيروسات مع الاستفادة من العمل التجاري في الفضاء الإلكتروني، مضيفاً أنه وبسبب تلك المخاطر المستمرة وسرعة التغير فإننا بحاجة إلى تحقيق أمن مستمر يلاحقها بلا انقطاع، ويطور أدواته مع كل تحدّ جديد وذلك لا يأتي إلا من خلال الإبداع في تقديم خدمات تواكب التطور المستمر لهذا المجال.
وأبان الشتوي إن المؤسسات التي تفتقر إلى سياسة أمنية فعالة توفر الصلة الأساسية بين أهداف العمل ومتطلباته وبين التطبيقات الأمنية وتخاطر بجهودها الأمنية، ويمكن أن تعرض المؤسسة لاختراقات أمنية مدمرة لذلك بات أمن المعلومات في المملكة كما في العالم أجمع هاجساً لدى أصحاب الشركات ومديري أقسام تقنية المعلومات فيها بحيث صار همهم الأكبر البحث عن استشارات في مجال أمن المعلومات، وخدمات لتقييم المخاطر الأمنية وتقديم الحلول الأمنية المتوافقة مع المقاييس الدولية ISO 27001 الخاصة بأمن المعلومات، إضافة إلى إعداد وصياغة السياسات والإجراءات الأمنية التي تحتاج إليها هذه الشركات التي يقوم بها خبراء ومتخصصون بشركة الحلول المتميزة لتلبية احتياجات السوق في ضوء تزايد الطلب نحو تعزيز درجة الحماية المعلوماتية لأنظمة تقنية المعلومات.
وأوضح الشتوي بأن الشركة لديها فريق عمل متميز من حملة شهادات مراجعي الحساباتCISA وخبراء أمن المعلومات ومديري المشاريع الذين هم على درجة عالية من التدريب لإجراء تقييمات أمنية معقدة من ناحية ضمان ثابت وتطبيق سليم للتدابير الأمنية والضوابط والحد من مخاطر العميل البيانات للخطر والحد من مخاطر الاحتيال في استخدام البطاقات الائتمانية على الإنترنت، وفريق على درجة عالية من التدريب لمساعدة التجار ومقدمي الخدمات في تحقيق الامتثال الكامل لأمن البيانات الموحدة PCI.
ومن جانبه قام السيد بيتر درابر، المستشار الأمني، بشرح ماهية الطريقة المثلى لتطبيق التزامات ومعايير الأمن والحماية للدفع عبر البطاقات الائتمانية، وشرح طريقة تقييم حلول الأمن والحماية وخاصة في مجال أمن وحماية التطبيقات (Application Security) بالقطاعات المختلفة، كما شرح بإسهاب متطلبات التزامات الأمن والحماية للدفع عبر البطاقات الائتمانية . PCI Compliance
وأضاف بيتر درابر بأن الخطوات اللازمة للالتزام بمعايير الأمن والحماية للدفع عبر بطاقات الائتمان تتلخص في بناء وصيانة شبكة آمنة Application Security، والحفاظ على جدار ناري لحماية البيانات وحماية بيانات البطاقة المخزنة, تشفر نقل حاملي بطاقات البيانات والمعلومات الحساسة عبر الشبكات العامة، وتعيين هوية محددة لكل شخص عند الحصول على جهاز الكمبيوتر وأخيراً رصد منتظم وتقييم للشبكات.
وفي منحى آخر، تطرق السيد نايجل آشورث، المدير التقني لشركة (F5) في الشرق الأوسط في إحدى الجلسات التي تضمنها الملتقى شرحاً مفصلاَ عن أوجه الاستفادة المثلى من التطبيقات الحاسوبية في المنشآت مع عدم إغفال الأمن المعلوماتي وما يتضمنه من أدوات لتسريع الإجابة على متطلبات المستخدم النهائي من جدران نارية للتطبيقات وأجهزة الدخول عن بعد.
وفي ختام الملتقى أشاد الأستاذ عبد الرحمن الشتوي بالحضور واهتمامهم بأمور الأمن والحماية والتي تعتبر إحدى الركائز الأساسية في بناء البنية التحتية للخدمات المختلفة وضرورة الاهتمام بهذا الجانب.