علي مصطفى حسن
تفشل العديد من المؤسسات المالية والمصرفية وشركات الدفع الالكتروني في فهم المتطلبات الخاصة بتشريعات PCI DSS والتي تفرض الامتثال على اي مؤسسة تتعامل مع بيانات (معالجة، خزن، نقل) البطاقات الالكترونية مع شركات الدفع الالكتروني العالمية الخمس: وDISCOVERY،AMERICAN EXPRESS، VISA ، MASTER CARD، JCB .
وقد تلجأ هذه المؤسسات لشركات منفذة من دون فهم حقيقي واساسي لمتطلبات هذه الشهادة، التي قد تزيد عن 350 من الضوابط التقنية والادارية ولايمكن التعامل معه كمشروع تكنولوجي فقط مما يسبب في تلكؤ هذه الشركات لتحقيق متطلبات الامتثال .
تهدف هذه التشريعات الدولية اساسا الى ضمان حماية معلومات بطاقة الدفع الالكتروني والعملاء من اي اختراق سيبراني او فيزيائي والامتثال لشروط وقوانين منظمةPCI SSC . وهي المنظمة المستقلة التي اسستها الشركات الكبرى الخمس المذكورة اعلاه عام 2005.
ينبغي على الادارات العليا اعتبار مشروع PCI DSS كــ Business as Usual وليس كـ IT Project وتحتاج هذه الشهادة لادامة سنوية ومن هذا الباب ولدعم هذه المؤسسات في فهم الخطوات الرئيسة للاستعداد لهذا المشروع، لا بد من إصدار سياسة خاصة ملزمة من قبل الادارة العليا خاصة بتنفيذ واستمرارية المشروع لضمان تعاون والتزام جميع الاقسام والافراد وتسهيل عمل الفريق المختص، وتحديد اعضاء فريق المشروع من قبل الاقسام قدر تعلق الموضوع بها والتي سوف يطبق عليها الضوابط التقنية والادارية باشراف خبير أمن معلومات متخصص في مجال PCI DSS ، فضلا عن تفعيل اجراءات تدقيق نظم المعلومات للاستعداد للتقارير الفصلية الاربعة سنويأ والتي ستقدم الى PCI SSC باشراف مدقق معتمد، والقيام بـبرنامج توعية - Awareness Program PCI لاعضاء المؤسسة الذين هم على تماس مع بطاقات الدفع الالكتروني.
تحديد ما يسمى بـ CDE (Card Holder Data Environment) والذي سيساعد في تحديد حدود مسار بيانات البطاقات الالكترونية خاصة لتنفيذ ضوابط هذه التشريعات.
هذا المشروع سيتطلب فريق عمل مستمرا ومن الممكن فقدان هذه الشهادة والتعرض لغرامات وعقوبات من قبل PCI SSC ، لهذا يفضل ان يكون committee خاصة ويمكن الاستعانة باستشاريين أمن معلومات لتعزيز عمل هذه اللجنة.
ان القطاع المالي في العراق هو قطاع ناشئ بحاجة لسنوات عدة، لكي يستطيع ان يقدم خدمات موازية لما متواجد في بقية الدول المجاورة، وعلى الادارات العليا لشركات الدفع الالكتروني والقطاع المصرفي ان تدرك ان هكذا تشريعات لا تتحمل التراخي او عدم الجدية، لكونها ترتبط بجوهر الخدمات المقدمة واستمرار فرصة الاستثمار المستقبلي من عدمه في هذا القطاع الناشئ.