Visa به دنبال هماهنگی امنیتی

فرامینگهام- شركت Visa U.S.A بر شدتش مبنی بر مراقبت از اینكه فروشندگان برنامه‌های پردازش پرداخت با مجموعه طرح‌های راهنمای امنیتی داده را انجام دهند، افزوده است. این شركت به عنوان همراه استاندارد PCI برای اعتبار ایمن و معاملات كارت پرداخت به مبارزه می‌پردازد.
اوایل ماه قبل، Visa طی نامه‌ای، نرم‌افزاراهای شش فروشنده منتشر كرد و از خرده‌فروشان و سایر بازرگانان خواست كه از این نرم‌افزارها استفاده نكنند زیرا اطلاعات حساس كارت حساسی را ذخیره و نگهداری می‌كردند كه شامل اطلاعاتی مثل شماره‌های تعیین هویت شخصی و شماره‌های اثبات كارت چاپ شده در پشت كارت اعتباری و كارت‌های پرداخت می‌باشد.
Visa نامه‌ای را به موسسات مالی "خریدار" فرستاده است كه به بازرگانان مصوبه‌هایی را واگذار می‌كند كه آنان نیاز دارند تا معاملات كارت فردی را بپذیرند.
این نامه رسمی به خریداران اصرار می‌كند كه مراقب باشند كه شركت‌ها از ارتقا بخش نرم‌افزار لیست شده در نسخه‌های جدیدتر استفاده كنند كه با طرح‌های راهنمای امنیتی خود انجام می‌دهند، یا محصولات متفاوت را سوئیچ می‌نمایند. Visa در نامه خود گفته است كه شركت‌هایی كه استفاده از برنامه‌های مورد هدف را ادامه می‌دهند، از استاندارد صنعتی امنیت كارت پرداخت تخلف می‌ورزند.
استاندارد PCI كه توسط تمام شركت‌های كارت اعتباری بزرگ پشتیبانی می‌شود به هر وجودی كه پرداخت‌های كارتی را در پذیرش مجموعه كنترل امنیتی قبول می‌كند، نیازمند است. به نوبت، بانك‌های خریدار و سایر موسسات مسئول مراقب هستند كه بازرگانان با PCI خود را انجام دهند.
Avivah Litan تحلیلگر گراتنر گفت، نامه Visa موجب جلوه‌گری "یك نكته بسیار ضعیف" در پردازش PCI گشت: فقدان استانداردها كه فروشندگان نرم‌افزار باید پیگر آن باشند.
Lita گفت، اگر چه كوشش‌ها تحت روشی هستند كه بخش Payment Application Best Practices احكام قیومت PCI شركت ویستا نامیده می‌شود، طرح‌های راهنمای PABP كه هنوز اختیاری می‌باشند را انجام دهند. اما رشته‌های امنیتی همچون یك رشته كه شركت TJX Companies است وامسال معرفی شد، بر نیاز رو به رشد فروشندگان نرم‌افزار مبنی بر دارا بودن استانداردهای مشابه چنانكه خرده‌فروشان تحت استاندارد PCI هستند تاكید می‌كند.
● تهدید مهم
Chris Noell مدیر ارشد اجرایی Tru Comply كه یك شركت مشاور واقع در Austin ‌است، و بر صنعت كارت پرداخت تمركز دارد، گفت، PCI نیاز به بازرگانانی دارد كه مراقب باشند كه سیستم‌های پرداخت آنان ، داده ممنوع شده را نگهداری نكند بلكه وظایفی مثل ورود به معامله و كدگذاری داده را پشتیبانی نمایند.
Noell گفت، اما در اینجا الزامی برای فروشنده برنامه پرداخت وجود ندارد تا نرم‌افزار آماده انجام PCI را تولید كند. وی در نامه خود افزود كه Visa بر خرده‌فروشان فشار می‌آورد تا برنامه‌های لیست شده را نصب نمایند. این نرم‌افزاری كه آنان از آن استفاده می‌كنند، آماده انجام نیست و بنابراین بازرگان نیز آماده نمی‌باشد.
تاكنون، Visa بطور آشكار فروشندگانی را تشخیص نداده‌ است كه محصولاتی را در لیست برنامه‌های خود داشته باشند كه طرح‌های راهنمای PABP را انجام ندهند.
Eduardo Perez قائم مقام مدیر عامل خطر سیستم پرداخت Visa گفت، این شركت به همه فروشندگان پیش از اینكه نامه ماه آوریل به بانك‌های خریدار ارسال شود، اطلاع داد. Perez در پست الكترونیكی گفت، اگر چه همه نه اما اكثر فروشندگان، تهیه هر پچ یا ارتقا بخشی را كه مراقب خواهد بود كه برنامه‌هایشان داده ممنوع شده را ذخیره نكند، فهرست كرده‌اند. بنابراین خوشبختانه مشتریان بازرگانان این فروشندگان، اقدام‌های مقتضی را بدست خواهند آورد.
این نخستین باری است كه Visa، لیست نرم‌افزاری را كه می‌خواهد شركت‌ها از آن اجتناب ورزند را ارسال كرده است. Perez، ذخیره داده ممنوع شده را به عنوان "یكی از مهمترین تهدیدهای امنیت سیستم پرداخت" توصیف كرده است. او اضافه نمود كه بازرگانان توسط سارقان داده مورد هدف می‌باشند چون آنان داده كارت پرداخت حساس را ذخیره كرده‌اند و حتی اطلاع نداده‌اند كه سیستم‌های آنان داده را ذخیره نموده‌اند.
Perez افزود، Visa امیدوار است تا فهرست برنامه‌هایی كه در مواجهه با پیشنهادات PABP كه اكثر فروشندگان را به پذیرش طرح‌های راهنما وادار می‌كند، رد شده‌اند را توزیع نماید. چنانكه Visa، صدو پنجاه وپنج برنامه فروش و پرداخت را از ۸۳ فروشنده‌ای كه بهترین رویه‌های پیشنهادی خود را انجام می‌دهند را تایید نموده است. Perez نوشت، اكثر این فروشندگان به PABP همانند رقیب قابل رقابت می‌نگرند.
pEREZ اضافه نمود، Visa اولین بار لیست نرم‌افزاری كه آماده انجام نمی‌باشد را در بخشی از نامه رسمی تاریخ ۲۷ فوریه چاپ كرد و سپس لیست را در نامه‌هایی كه به موسسات خریدار ارسال شد، قرار داد. این شركت در صدد است تا در فواصل معین لیست را روزرسانی نماید.