معضلی که متاسفانه امروزه شاهد آن هستیم، تبدیل شدن مراکز مرتبط با عملیات الکترونیکی بانکی به طعمه‌ای جذاب و هوس‌انگیز برای کلاه‌برداری‌های مالی است. بعضی اوقات سهل‌انگاری امنیتی توسط برخی از این مراکز به راحتی مجرمین را قادر به سرقت و استفاده از اطلاعات شخصی مالی افراد با تمرکز بر تراکنش‌ها و سیستم‌های مالی مرتبط با کارت‌های پرداخت می‌کند. برای یک پذیرنده کارت (Merchant) که فعالیت‌ هایش از طریق کارت‌ها پرداخت الکترونیکی انجام می‌شود، استفاده از روال‌ها و فناوری‌های استاندارد امنیتی به منظور جلوگیری از سرقت داده‌های دارنده کارت گریزناپذیر است. آسیب‌ پذیری‌های مرتبط با پذیرنده کارت‌ در هر نقطه‌ای از چرخه پردازش کارت شامل تجهیزات POS، رایانه‌های شخصی یا سرویس‌ دهنده‌ها، ارتباطات بی‌سیم و برنامه‌های کاربردی مختص خرید وب‌محور، در سیستم‌های ذخیره‌سازی کاغذی، و ارسال ناامن داده‌های دارنده کارت به فراهم‌کنندگان سرویس، می‌توانند وجود داشته باشند. این آسیب‌پذیری‌ها حتی تا سیستم‌های تحت اختیار فراهم‌کنندگان سرویس و نهادهای مالی و اعتباری (موسسات مالی ایجادکننده و نگهدارنده ارتباطات با پذیرندگان کارت‌ که قبول کننده کارت‌های پرداخت هستند) نیز می‌توانند گسترش یابند. تطابق با استاندارد Payment Card Industry (PCI) Data Security Standard (DSS)S به کاهش این آسیب‌پذیری‌ها و حفاظت از داده‌های دارنده کارت کمک بسزایی می‌کند.

 

  • شناخت سیستم و تحلیل نیازمندی‌ها: که فعالیت‌هایی نظیر شناخت نیازها و فرآیندهای کسب و کار، بویژه فرآیند‌های پرداخت الکترونیکی، شناسایی کلیه ذی‌ نفعان مرتبط با فرآیند‌های پرداخت الکترونیکی، شناخت و مستندسازی جریان اطلاعات کارت، شناخت و مستند سازی کلیه کانال‌های ارتباطی و … را شامل می‌شود.
  • تعیین محدوده‌ی پروژه بر اساس فاز شناخت.
  • ارزیابی و تحلیل شکاف: شناسایی داده‌های دارنده کارت و ایجاد فهرست دارایی‌های مرتبط با فناوری اطلاعات و فرآیند‌های کاری مرتبط با پردازش کارت پرداخت، و تحلیل آنها جهت شناسایی آسیب پذیری‌هایی که ممکن است داده‌های دارنده‌ی کارت را در در معرض خطر قرار دهند. در این مرحله براساس نیازمندی‌های اعلام شده در استاندارد و نیز تحلیل وضعیت موجود، میزان انطباق با استاندارد مشخص می‌شود.
  • اصلاح و تعیین کنترل‌های جبرانی (پیاده سازی استاندارد): رفع آسیب‌پذیری‌ها و عدم ذخیره داده‌های دارنده کارت مگر در صورت نیاز.
  • بازبینی اثر بخشی کنترل‌ها، ارزیابی: ایجاد و ارایه شواهد معتبر بودن راه حل و ارایه گزارش تطبیق.