Visa به دنبال هماهنگی امنيتی
نويسنده: Jaikumar Vijayan
Computer World
مترجم: آزاده ارشدی
فرامينگهام- شركت Visa U.S.A بر شدتش مبنی بر مراقبت از اينكه فروشندگان برنامههای پردازش پرداخت با مجموعه طرحهای راهنمای امنيتی داده را انجام دهند، افزوده است. اين شركت به عنوان همراه استاندارد PCI برای اعتبار ايمن و معاملات كارت پرداخت به مبارزه میپردازد.
اوايل ماه قبل، Visa طی نامهای، نرمافزاراهای شش فروشنده منتشر كرد و از خردهفروشان و ساير بازرگانان خواست كه از اين نرمافزارها استفاده نكنند زيرا اطلاعات حساس كارت حساسی را ذخيره و نگهداری میكردند كه شامل اطلاعاتی مثل شمارههای تعيين هويت شخصی و شمارههای اثبات كارت چاپ شده در پشت كارت اعتباری و كارتهای پرداخت میباشد.
Visa نامهای را به موسسات مالی "خريدار" فرستاده است كه به بازرگانان مصوبههايی را واگذار میكند كه آنان نياز دارند تا معاملات كارت فردی را بپذيرند. اين نامه رسمی به خريداران اصرار میكند كه مراقب باشند كه شركتها از ارتقا بخش نرمافزار ليست شده در نسخههای جديدتر استفاده كنند كه با طرحهای راهنمای امنيتی خود انجام میدهند، يا محصولات متفاوت را سوئيچ مینمايند. Visa در نامه خود گفته است كه شركتهايی كه استفاده از برنامههای مورد هدف را ادامه میدهند، از استاندارد صنعتی امنيت كارت پرداخت تخلف میورزند. استاندارد PCI كه توسط تمام شركتهای كارت اعتباری بزرگ پشتيبانی میشود به هر وجودی كه پرداختهای كارتی را در پذيرش مجموعه كنترل امنيتی قبول میكند، نيازمند است. به نوبت، بانكهای خريدار و ساير موسسات مسئول مراقب هستند كه بازرگانان با PCI خود را انجام دهند.
Avivah Litan تحليلگر گراتنر گفت، نامه Visa موجب جلوهگری "يك نكته بسيار ضعيف" در پردازش PCI گشت: فقدان استانداردها كه فروشندگان نرمافزار بايد پيگر آن باشند.
Lita گفت، اگر چه كوششها تحت روشی هستند كه بخش Payment Application Best Practices احكام قيومت PCI شركت ويستا ناميده میشود، طرحهای راهنمای PABP كه هنوز اختياری میباشند را انجام دهند. اما رشتههای امنيتی همچون يك رشته كه شركت TJX Companies است وامسال معرفی شد، بر نياز رو به رشد فروشندگان نرمافزار مبنی بر دارا بودن استانداردهای مشابه چنانكه خردهفروشان تحت استاندارد PCI هستند تاكيد میكند.
تهديد مهم
Chris Noell مدير ارشد اجرايی Tru Comply كه يك شركت مشاور واقع در Austin است، و بر صنعت كارت پرداخت تمركز دارد، گفت، PCI نياز به بازرگانانی دارد كه مراقب باشند كه سيستمهای پرداخت آنان ، داده ممنوع شده را نگهداری نكند بلكه وظايفی مثل ورود به معامله و كدگذاری داده را پشتيبانی نمايند.
Noell گفت، اما در اينجا الزامی برای فروشنده برنامه پرداخت وجود ندارد تا نرمافزار آماده انجام PCI را توليد كند. وی در نامه خود افزود كه Visa بر خردهفروشان فشار میآورد تا برنامههای ليست شده را نصب نمايند. اين نرمافزاری كه آنان از آن استفاده میكنند، آماده انجام نيست و بنابراين بازرگان نيز آماده نمیباشد.
تاكنون، Visa بطور آشكار فروشندگانی را تشخيص نداده است كه محصولاتی را در ليست برنامههای خود داشته باشند كه طرحهای راهنمای PABP را انجام ندهند.
Eduardo Perez قائم مقام مدير عامل خطر سيستم پرداخت Visa گفت، اين شركت به همه فروشندگان پيش از اينكه نامه ماه آوريل به بانكهای خريدار ارسال شود، اطلاع داد. Perez در پست الكترونيكی گفت، اگر چه همه نه اما اكثر فروشندگان، تهيه هر پچ يا ارتقا بخشی را كه مراقب خواهد بود كه برنامههايشان داده ممنوع شده را ذخيره نكند، فهرست كردهاند. بنابراين خوشبختانه مشتريان بازرگانان اين فروشندگان، اقدامهای مقتضی را بدست خواهند آورد.
اين نخستين باری است كه Visa، ليست نرمافزاری را كه میخواهد شركتها از آن اجتناب ورزند را ارسال كرده است. Perez، ذخيره داده ممنوع شده را به عنوان "يكی از مهمترين تهديدهای امنيت سيستم پرداخت" توصيف كرده است. او اضافه نمود كه بازرگانان توسط سارقان داده مورد هدف میباشند چون آنان داده كارت پرداخت حساس را ذخيره كردهاند و حتی اطلاع ندادهاند كه سيستمهای آنان داده را ذخيره نمودهاند.
Perez افزود، Visa اميدوار است تا فهرست برنامههايی كه در مواجهه با پيشنهادات PABP كه اكثر فروشندگان را به پذيرش طرحهای راهنما وادار میكند، رد شدهاند را توزيع نمايد. چنانكه Visa، صدو پنجاه وپنج برنامه فروش و پرداخت را از 83 فروشندهای كه بهترين رويههای پيشنهادی خود را انجام میدهند را تاييد نموده است. Perez نوشت، اكثر اين فروشندگان به PABP همانند رقيب قابل رقابت مینگرند.
pEREZ اضافه نمود، Visa اولين بار ليست نرمافزاری كه آماده انجام نمیباشد را در بخشی از نامه رسمی تاريخ 27 فوريه چاپ كرد و سپس ليست را در نامههايی كه به موسسات خريدار ارسال شد، قرار داد. اين شركت در صدد است تا در فواصل معين ليست را روزرسانی نمايد.
Copyright 1998-2007 PC World Iran All
rights reserved.
Copyright 1977-2007 Electronics and Computer
Magazine (GSRP). All rights reserved.
Copyright 2000-2007.
International Data Corp. Inc.. All right Reserved.