التحديات المتطورة للامتثال في صناعة المقامرة- نظرة على معيار PCI DSS 4.0

بينما يزداد الامتثال أهمية في النظام البيئي العالمي للمقامرة عبر الإنترنت، يوضح كريغ لوشر، مدير المنتج للحلول الآمنة في Continent 8 Technologies، الآثار التي قد تترتب على أحد التطورات الأخيرة في هذا المجال.

وشهد ذلك قيام مجلس معايير أمان صناعة بطاقات الدفع (PCI Security Standards Council)، الذي يوفر خطًا أساسيًا من المتطلبات الفنية والتشغيلية المصممة لحماية بيانات الحساب، بتقديم تفويض 4.0 مع 60 مطلبًا جديدًا، والتي ستحل محل المعيار الحالي بحلول 31 مارس 2025.

في الجزء الأول من برنامج خاص لقناة SBC News مكون من جزأين، يتعمق لوشر في المكونات الرئيسية للتحول والتحديات المطروحة والجوانب الحاسمة التي يجب تبنيها مع استبدال PCI DSS v4.0 بالإصدار 3.2.1.

SBC News: هل يمكنك التحدث معنا عن الأسباب الرئيسية وراء تحول مجلس معايير أمان صناعة بطاقات الدفع (PCI Security Standards Council) إلى PCI DSS 4.0؟

كريغ لوشر: الدافع الأساسي وراء انتقال مجلس معايير أمان صناعة بطاقات الدفع (PCI Security Standards Council) إلى PCI DSS 4.0 هو المشهد المتطور للتهديدات الإلكترونية والحاجة إلى تعزيز أمان بيانات بطاقات الدفع باستمرار. مع تقدم التكنولوجيا وظهور نقاط ضعف جديدة، من الضروري تحديث المعايير لمعالجة هذه التحديات بفعالية.

يقدم PCI DSS 4.0 العديد من التغييرات الرئيسية التي تهدف إلى تعزيز التدابير الأمنية وتعزيز المرونة ودعم التقنيات المبتكرة. يولي المعيار المحدث تركيزًا أكبر على تحليل المخاطر، مما يمكّن المؤسسات من تصميم ضوابطها الأمنية بناءً على بيئة المخاطر الفريدة الخاصة بها. يسمح هذا النهج للشركات بتحديد الأولويات وتخصيص الموارد بشكل أكثر فعالية مع الحفاظ على وضع أمني قوي.

يدرك المعيار الجديد التبني المتزايد لتقنيات السحابة والحاجة إلى التنفيذ الآمن لهذه الحلول. يوفر PCI DSS 4.0 إرشادات أوضح بشأن تأمين البيئات السحابية، ويضمن قدرة المؤسسات على الاستفادة من فوائد الحوسبة السحابية دون المساس بأمن بيانات حامل البطاقة.

بنت Continent 8 سمعتها على مساعدة شركات iGaming في التنقل في الأسواق المنظمة وتلبية معايير الامتثال الصارمة. نحن ندرك أهمية البقاء في الطليعة فيما يتعلق باللوائح والمعايير المتطورة، بالإضافة إلى الفوائد التي يجلبها هذا النهج الاستباقي لعملائنا.

الغرض من PCI DSS 4.0 هو توفير إطار عمل أكثر شمولاً يستوعب نماذج الأعمال والتقنيات المتنوعة. كما أنه يؤكد على التقييم المستمر للمخاطر وإدارتها، مما يشجع المؤسسات على تبني وضع أمني استباقي. وفقًا لتقرير صادر عن IBM، بلغ متوسط تكلفة خرق البيانات في عام 2023 4.45 مليون دولار، مما يؤكد الحاجة إلى تدابير أمنية قوية.

SBCN: ما هي التحديات الرئيسية التي تواجهها المؤسسات، وخاصة تلك الموجودة في مجال iGaming والمراهنات الرياضية عبر الإنترنت، في الالتزام بقواعد معالجة مدفوعات بطاقات الائتمان المحدثة هذه؟

CL: أحد التحديات الرئيسية التي تواجهها المؤسسات في صناعة iGaming والمراهنات الرياضية عبر الإنترنت هو تعقيد بيئات تكنولوجيا المعلومات الخاصة بها. غالبًا ما تتعامل هذه الشركات مع عدد كبير من الأنظمة المترابطة وعمليات تكامل الجهات الخارجية وواجهات برمجة التطبيقات (APIs) وكمية هائلة من البيانات الحساسة، مما يجعلها أهدافًا رئيسية للهجمات الإلكترونية وصعبة لضمان الأمن الشامل والامتثال لـ PCI DSS 4.0.

هناك عقبة كبيرة أخرى تتمثل في التطور المستمر للتهديدات الإلكترونية. مع ازدياد تطور المهاجمين، يجب على المؤسسات تحديث وتعزيز ضوابطها الأمنية باستمرار لمنع خروقات البيانات.

يفرض PCI DSS 4.0 تنفيذ حلول أمنية قوية مثل Web Application and API Protection (WAAP) أو Web Application Firewalls (WAFs) للحماية من الهجمات المستندة إلى الويب. مطلوب أيضًا استخدام أنظمة كشف/منع التطفل (IDS/IPS) لمراقبة الحوادث الأمنية المحتملة والاستجابة لها في الوقت الفعلي.

تعد التقييمات المنتظمة لنقاط الضعف واختبار الاختراق أيضًا جزءًا من متطلبات PCI DSS ، مما يساعد المؤسسات على تحديد ومعالجة نقاط الضعف المحتملة في وضعها الأمني.

في حين أن استخدام مركز عمليات الأمان (SOC) وقدرات إدارة معلومات الأمان والأحداث (SIEM) ليس مطلوبًا بشكل صريح، إلا أن مجلس معايير أمان صناعة بطاقات الدفع (PCI Security Standards Council) يوصي به بشدة. توفر هذه الأدوات مراقبة مركزية وتحليلًا وقدرات الاستجابة للحوادث، مما يمكّن المؤسسات من اكتشاف التهديدات والاستجابة لها بشكل أكثر فعالية.

غالبًا ما يتطلب تنفيذ هذه التدابير الأمنية الاستباقية والحفاظ عليها موارد بشرية إضافية تتمتع بمهارات متخصصة (والتي يوجد نقص عالمي كبير فيها).

قد تحتاج المنظمات إلى الاستثمار في توظيف الأفراد المكلفين بالأمن الداخلي والاحتفاظ بهم وتدريبهم أو التفكير في الاستعانة بمصادر خارجية لمقدمي خدمات الأمن المُدارة (MSSPs) مثل Continent 8. من خلال الشراكة مع MSSP ذي خبرة، يمكن للمنظمات الوصول إلى الخبرة والتقنيات اللازمة لتلبية متطلبات PCI DSS والحفاظ على وضع أمني قوي دون إرهاق فرقها الداخلية.

تضيف الطبيعة العالمية لصناعة iGaming والمراهنات الرياضية عبر الإنترنت طبقة إضافية من التعقيد. يجب على المؤسسات التنقل بين اللوائح الإقليمية المختلفة والتأكد من أن أنظمة معالجة الدفع الخاصة بها تتوافق مع كل من PCI DSS 4.0 والمتطلبات المحلية. يمكن أن تكون هذه مهمة شاقة، خاصة بالنسبة للشركات التي تعمل في ولايات قضائية متعددة.

تتفهم Continent 8 هذه التحديات وقد طورت مجموعة شاملة من الحلول لمساعدة المؤسسات في التغلب عليها. تم تصميم خدماتنا الأمنية المُدارة، بما في ذلك VAPT وWAAP/WAF وM-SOC & SIEM وIDS/IPS، لتوفير دفاع قوي ضد التهديدات الإلكترونية مع تبسيط الامتثال لـ PCI DSS 4.0. يعمل فريق الخبراء لدينا عن كثب مع العملاء لتلبية الاحتياجات المحددة لصناعة iGaming والمراهنات الرياضية عبر الإنترنت.

SBCN: من تجربتك، ما الذي تقوله هي المقدمات الهامة التي سيتم اعتمادها بموجب المعيار العالمي الجديد؟ هل تقول إنه تم التغاضي عن أي جوانب؟

CL: أحد المقدمات الهامة في PCI DSS 4.0 هو زيادة التركيز على تحليل المخاطر واعتماد نهج مخصص للأمن. يتيح هذا التحول للمؤسسات تصميم ضوابطها الأمنية بناءً على بيئة المخاطر الفريدة الخاصة بها، مما يمكنها من تخصيص الموارد بشكل أكثر فعالية والتركيز على المجالات الأكثر أهمية في البنية التحتية لتكنولوجيا المعلومات الخاصة بها.

جانب رئيسي آخر هو المتطلبات المحسنة للحماية من الهجمات المستندة إلى الويب. يفرض PCI DSS 4.0 استخدام حلول تقنية مؤتمتة، مثل WAFs، للكشف عن الهجمات المستندة إلى الويب ومنعها باستمرار. يسلط هذا المطلب الضوء على أهمية الدفاع الاستباقي ضد التهديد المتزايد للهجمات على طبقة التطبيق، والتي يمكن أن تؤدي إلى خروقات مدمرة للبيانات.

يضع المعيار المحدث أيضًا تركيزًا أكبر على المراقبة الأمنية والاستجابة للحوادث. يُطلب من المؤسسات تنفيذ آليات تسجيل قوية، ومراجعة السجلات بانتظام للبحث عن أنشطة مشبوهة، ووضع خطط رسمية للاستجابة للحوادث. هذه التدابير ضرورية للكشف عن الحوادث الأمنية والاستجابة لها في الوقت المناسب، مما يقلل من تأثير خروقات البيانات المحتملة.

في حين أن PCI DSS 4.0 يغطي مجموعة واسعة من الجوانب الأمنية، إلا أن هناك عددًا قليلاً من المجالات التي يمكن أن تستفيد من مزيد من التركيز. على سبيل المثال، يمكن للمعيار تقديم إرشادات أكثر تفصيلاً بشأن تأمين البيئات المحتواة وبنى الخدمات المصغرة، والتي أصبحت سائدة بشكل متزايد في البنى التحتية الحديثة لتكنولوجيا المعلومات. أيضًا، كان بإمكانه معالجة التقنيات الناشئة مثل blockchain والحلول الأمنية المدفوعة بالذكاء الاصطناعي بشكل أكبر.

وفقًا لـ Gartner، بحلول عام 2025، ستعتبر 60٪ من المؤسسات مخاطر الأمن السيبراني المرتبطة بشركائها التجاريين وموردي الطرف الثالث كأحد العوامل الرئيسية عند اتخاذ قرار بشأن المشاركة في المعاملات أو إقامة علاقات تجارية معهم. تعتقد Continent 8 أن اتباع نهج شامل ومتعدد الطبقات للأمن أمر ضروري لتحقيق والحفاظ على امتثال PCI DSS وللشراكات الأوسع.