كارت اعتباری ایمنی و داده های شخصی دیگر

سعی شركت من بر این مبنی است تا Payment Card PCI Data Security Standard DSS را انجام دهد یعنی ما نمی توانیم هیچ داده كارت اعتباری Track II را ذخیره نماییم و همچنین بدین معنی است كه باید داده اكانت اصلی را كه ذخیره می كنیم, كدگذاری نماییم

سعی شركت من بر این مبنی است تا Payment Card (PCI) Data Security Standard (DSS) را انجام دهد. یعنی ما نمی‌توانیم هیچ داده كارت اعتباری Track II را ذخیره نماییم و همچنین بدین معنی است كه باید داده اكانت اصلی را كه ذخیره می‌كنیم، كدگذاری نماییم. مشكل اینجاست: سالهاست كه ما بعضی از آن اطلاعات را ذخیره‌ كرده‌ایم.

چگونه می‌توانیم مطمئن باشیم كه تمام داده مهم، كشف شده و حذف شده است یا كاملا كد گذاری گشته است؟

نخست، باید به هر سازمانی كه این سوال را پرسیده است تبریك گفت، كجاست جای غیرساختار شده یا اكانت شده داده پنهانی در شبكه و میزبانی‌های ما؟ هنگامیكه بعضی سازمان‌ها در مورد این پرسش به دنبال تداركات PCI فكر می‌كنند، در ماورای داده كارت اعتباری همه چیز خوب پیش می‌رود. هر سازمانی كه اطلاعات مهم را ذخیره می‌نماید، چه داده حساب مالی باشد یا اطلاعات شخصی مثل تاریخ تولد یا شماره‌های تامین اجتماعی و یا اموال هوشمند حفاظت شده، باید سوال مشابهی در مورد آنان پرسیده شود.

البته، پرسیدن این سوال همیشه جواب مشابه ندارد. در واقع كشف و سندسازی تمام نمونه‌های نوع داده می‌تواند به سختی اثبات گردد. به مثال PCI خود بازگردیم، بعضی از عناصر داده، كه با كارت‌های اعتباری مرتبط هستند، كاملا به آسانی قابل تشخیص می‌باشند. Primary account numbers یا PAN طرح ویژه‌ای را دنبال می‌كنند كه نسبتا تك است. ابزارهای تشخیص می‌توانند به منظور جستجور PAN مخصوص مثل تشخیص و جستجوی این شماره‌ها پیكربندی شوند، چه در سرورها، و پایگاه‌های اطلاعاتی و یا در میزبان‌ها در فایل‌هایی مثل ورد یا اسناد اكسل ذخیره شده باشند. داده با امضای كمتر قابل تشخیص را در مدت كشف مشكل‌تر می‌توان تفاوت گذاشت. معمولا Personal Information Number یا PIN یك عدد چهار تا شش رقمی دیجیتال است.

بر طبق قوانین ‌PIN، PCI DSS‌ها مجاز به ذخیره شدن نمی‌باشند. اما چهار تا شش عدد دیجیتال به اندازه كافی واضح نیستند تا با سطح بالای اطمینان همانند یك PIN تشخیص داده شوند. چهار تا شش عدد دیجیتال می‌توانند یك عدد تعیین هویت شخصی، میزان صورت موجودی، ارزش طرح فروش‌ها یا هر عدد سایر چیزهای غیر از PIN باشند. استفاده از ابزار تشخیص به منظور جستجوی چهار عدد دیجیتال، بدون هیچ نوع كمك جستجوی واجد شرایط، منتج به سطح بالای پاسخ‌های مثبت اشتباه خواهد شد.

پس چه می‌توان كرد؟ در یك جمله كوتاه، سازگاری ابزارهای تشخیص به منظور جستجوی رویدادهای داده‌ای كه نزدیك می‌باشد، سایر شاخص‌ها می‌توانند به كاهش پاسخ‌های مثبت اشتباه كمك كند. برای مثال، اگر یك صفحه گسترده "داده كارت" را بر چسب زده باشد، چهار عدد دیجیتال ارزش رسیدگی دارند. اگر مسیر پایگاه اطلاعاتی با عنوان "فهرست صورت موجودی Widget" باشد، چهار عدد دیجیتال كمتر شبیه PIN می‌باشند. سازگاری ابزارهای تشخیص به منظور جستجوی ارتباطات مشابه می‌باشد كه دلالت بر نوع داده‌ای كه كشف شده، می‌كند كه پاسخ‌های مثبت اشتباه را حذف نمی‌نماید، اما آنان مطمئنا می‌توانند در تهیه نشانه‌ها در جاییكه اولین بار دیده شده‌اند، كمك كنند.

در یك جمله بلند می‌توان گفت، موقع آن است كه در مورد طبقه‌بندی داده و برچسب‌های meta-data فكر نماییم. عناصر داده می‌توانند با تگ‌هایی كه دلالت بر نوع داده می‌كنند، ایجاد شوند و سپس روش‌های مربوط به اینكه داده چگونه بكار برده می‌شود، (یعنی ذخیره شده، پاك شده، ذخیره شده فقط با كدگذاری، غیره) می‌توانند اجرا شوند. وقتی عناصر داده "كارت‌های" تعیین هویت خود را (تگ meta-data) با آنان حمل می‌كنند، آنان به راحتی بیشتری از تاریكی، گوشه‌های پنهانی لپ‌تاپ‌ها و سرورها خارج می‌شوند.

نویسنده: Diana Kelley

مترجم: آزاده ارشدی

فرامینگهام