معايير أمن البيانات لحامل البطاقة

تفترض شركة فوريستر (Forrester) على أن تكوين أي رأي خارجي عن شركة ما يُحدده نظرة المتعامل عن مدى شفافيتها ونزاهتها وكفاءتها طوال فترة تعامله معها.

يمثل عامل الثقة الركيزة الأساسية في هذا العصر الرقمي الجديد لإسهامه في توفير تجربة إيجابية للمتعاملين قوامها الاستدامة والمثالية والمرونة والأمان والشفافية. ويعتبر بناء الثقة أمراً أساسياً لترسيخ العلاقة الناجحة مع كل متعامل سيستفيد من التجربة الرقمية في إطار النظام الإيكولوجي الجديد للأعمال.

يركز الإمارات الإسلامي على تقديم الخدمات والحماية الموثوقة للمتعاملين باستمرار في هذا العصر الرقمي.

كما يسعى الإمارات الإسلامي إلى تقديم نفسه كمصرف رقمي رائد وبناء قدراته لتوطيد علاقته مع المتعاملين. ويتيح عامل الثقة لأي منتج جيد إمكانية التطور إلى منصة مستدامة بدلاً من كونه مجرد بدعة تكنولوجية تزول بعد فترة من الزمن.

في هذا العصر الرقمي، ومع كثرة استخدام البطاقات في المنصات التجارية الإلكترونية ولدى المتاجر ومشاركتها مع مزودي الخدمات، نحرص في الإمارات الإسلامي على إبداء كامل الاهتمام وتوفير الممارسات اللازمة لإدارة المخاطر للكيانات والهيئات المرتبطة معنا.

إن مجلس معايير أمن البيانات في قطاع بطاقات الدفع (PCI SSC) هو الهيئة التي تشرف وتدير معيار أمن البيانات في قطاع بطاقات الدفع، وعلى نحو أكثر تحديداً، وحسب تعريفها الرسمي، تشير إلى: "تتكون بيانات حامل البطاقة على أقل تقدير من "رقم الحساب الأساسي الكامل PAN. كما قد تظهر بيانات حامل البطاقة أيضاً على شكل رقم الحساب الأساسي الكامل PAN وأي مما يلي: اسم حامل البطاقة، تاريخ انتهاء الصلاحية و/ أو رمز الخدمة (الموجود على الشريط المغناطيسي للبطاقة). إن بيانات المصادقة الحساسة هي عناصر إضافية ضمن البيانات يمكن نقلها أو معالجتها (دون حفظها) كجزء من معاملة الدفع".

ولتوضيح هذه المصطلحات الإضافية على نحو أكبر، قام مجلس معايير أمن البيانات في قطاع بطاقات الدفع (PCI SSC) بتعريف هذه المصطلحات الإضافية ضمن قائمة المصطلحات الرسمية الخاصة به على النحو التالي:

• PAN – هو اختصار لـ "رقم الحساب الأساسي" ويشار إليه ايضاً باسم "رقم الحساب". يقوم رقم بطاقة الدفع المميز (والذي يوجد عادة في بطاقات الائتمان أو الخصم) بتحديد جهة الإصدار وحساب حامل البطاقة.
• رمز الخدمة - هو رقم مكون من ثلاثة أو أربعة أرقام، يتواجد في الشريط المغناطيسي ويتبع تاريخ انتهاء صلاحية بطاقة الدفع وذلك ضمن مسار تسلسل البيانات. يتم استخدام هذا الرمز في العديد من الأمور مثل تحديد خصائص الخدمة، وللتمييز بين عمليات التبادل الدولية والمحلية، أو لتحديد القيود المفروضة على الاستخدام.
• بيانات المصادقة الحساسة – هي المعلومات المتعلقة بأمن البطاقة (بما يشمل، وعلى سبيل المثال لا الحصر، رموز/ قيم التحقق من صحة البطاقة، والمسار الكامل للبيانات (المأخوذة من الشريط المغناطيسي أو من ما يعادلها على الشريحة الإلكترونية CHIP، وأرقام التعريف الشخصية PIN، وأرقام حظر رقم التعريف الشخصي PIN)، وتستخدم للتحقق من حاملي البطاقات و/ أو لمصادقة المعاملات المنفذة ببطاقة الدفع.
• رمز التحقق من البطاقة – يُعرف أيضاً باسم رمز التحقق من صحة البطاقة أو رقمها، أو هو رمز الأمان للبطاقة. يشير هذا الرمز إما إلى: (1) بيانات الشريط المغناطيسي للبطاقة، أو (2) مزايا الأمان المطبوعة.
• PIN – اختصار لـ "رقم التعريف الشخصي". وهو كلمة المرور الرقمية السرية المعروفة من قبل المستخدم والنظام فقط، وتستخدم للتحقق من المستخدم ضمن النظام. ويمنح المستخدم فقط حق الدخول إلى النظام عند مطابقة رقم التعريف الشخصي الذي تم إدخاله برقم التعريف الشخصي الموجود في النظام. تُستخدم أرقام التعريف الشخصية (PIN) النموذجية في عمليات السلف النقدية التي تتم عبر أجهزة الصراف الآلي (ATM). وهناك نوع آخر من رقم التعريف الشخصي وهو النوع المستخدم في البطاقات التي تحتوي على شريحة إلكترونية EMV، حيث يحل رقم التعريف الشخصي محل توقيع حامل البطاقة.

إن معايير أمن البيانات في قطاع بطاقات الدفع PCI DSS هي الامتثال العالمي ضمن القطاع ومعايير الأمان المخصصة لحماية بيانات حاملي البطاقات. وتعتبر هذه المعايير أيضاً من أكثر المعايير الأمنية صرامة في السوق المصرفية.

يستند أسلوب عملنا على ثقة الجمهور، لذلك من الضروري جداً تجنب المخاطر التي يمكن أن تقوض هذه الثقة، إضافة إلى المخاطر القياسية الملازمة لأعمالنا.

ومع تعاظم أهمية بيانات البطاقة، يواصل المخترقون الإلكترونيون البحث عن طرق جديدة وماكرة للدخول إلى هذه الأصول الرقمية وكشفها. ولقد شهد العالم خروقات معلنة للبيانات لم تكن بمجملها من المتسللين الماكرين بل نتيجة الاستخدام غير الأخلاقي للمعلومات الحساسة عن طريق سرقة الهوية. الآن، أصبح بإمكان المخترقين (قراصنة المعلومات) انتحال شكل البطاقة وسرقة هوية حامل البطاقة ثم استخدام البطاقة.

مصرف الإمارات العربية المتحدة المركزي: قام مصرف الإمارات العربية المتحدة المركزي (CBUAE) بتكليف جميع المؤسسات المالية / البنوك للامتثال لمعايير أمن البيانات في قطاع بطاقات الدفع (PCI DSS) من أجل "الحد من الانتهاكات التي تؤدي إلى سحب الأموال والهجمات الاحتيالية التي ينتج عنها عواقب مالية وخيمة وتضر بسمعة المؤسسة".

يرتكز اهتمامنا على الاحتفاظ بثقة متعاملينا، وقد اتخذنا هذا المبدأ كدليل لنا في جميع أنشطتنا وقمنا بتطبيقه في كافة قطاعات أعمالنا. فثقة المتعامل هي من تحدد التزامنا الصارم بقيمنا ومبادئنا، والتي تمكننا من تحسين مستوى رضا المتعامل وكسب ولائه على المدى الطويل.

ولكي نولي متعاملينا الاهتمام اللازم ونكسب ثقتهم، كان لا بد من التركيز على رضا المتعامل وعلى المنفعة التي ستقدمها خدماتنا ومنتجاتنا له.

حقق المصرف امتثالاً عالياً بمعايير أمن بيانات قطاع بطاقات الدفع في إطار التزامه باللوائح المطبقة وحماية بيانات المتعاملين.

فقد قام المصرف المركزي في الإشعار الذي أصدره بتاريخ 21 مايو 2019 بتكليف كافة المؤسسات المالية العاملة في نظام الدفع بالبطاقات للامتثال بمعايير أمن بيانات قطاع بطاقات الدفع.

فالحوكمة الموثوقة للشركات من وجهة نظرنا لا تعني الالتزام بالقوانين واللوائح والمعايير فحسب، بل تتطلب برنامج امتثال صارم. لذلك، قمنا بوضع قواعد وإرشادات صارمة لموظفينا في جميع نطاق عملياتنا ومناطقنا بما يضمن حماية الشركة ومساهميها ومتعامليها وموظفيها بشكل شامل قدر المستطاع من خلال امتالنا للقانون.

نحن في الإمارات الإسلامي نسعى باستمرار لتحسين وتطوير تقنياتنا وإجراءاتنا والنظام الإيكولوجي الخاص بأعمالنا لتعزيز أطرنا الأمنية العامة، ما سيساعدنا على حماية بيانات متعاملينا.

يتم التعامل مع بيانات بطاقة الائتمان والخصم كمعلومات سرية ضمن المصرف. لذا، نقوم بتنفيذ واعتماد عمليات التصديق بما يتوافق مع أفضل معايير هذا القطاع للحفاظ على أمن بيانات البطاقة.

إن إعطاء الأولوية للخصائص الأمنية والخصوصية في تصميم البيانات، ومعاملة البيانات كأصول، والاستجابة الآنية لأي حادث هي القدرات التقنية الرئيسية الثلاث التي تسهم جميعها في حماية المتعامل.

نظراً لإمكانية اختيار الإمارات الإسلامي الاستفادة من مزودي الخدمات من الأطراف الثالثة لتحقيق أهدافنا، فقد تصبح هذه الأطراف جزءًا لا يتجزأ من بيئة بيانات حامل البطاقة وتؤثر على معايير أمن بيانات قطاع بطاقات الدفع لدينا وعلى أمان بيئة بيانات حامل البطاقة. لذلك ينبغي على أي مؤسسة من طرف ثالث أن تقوم بمعالجة بيانات حامل البطاقة أو بيانات المصادقة الحساسة أو تخزينها أو نقلها مباشرة نيابة عن الإمارات الإسلامي وأن تفي بمعايير الامتثال لمعايير أمن بيانات قطاع بطاقات الدفع.

يحرص الإمارات الإسلامي على تقديم برنامج أمني قوي للأطراف الثالثة كي يساعد في حماية البيانات والأنظمة التي يعهد بها إلى الأطراف الثالثة ليتم صيانتها بطريقة مضمونة وممتثلة للقانون.