প্রতি বছর, ব্যবসাগুলি ডেটা লঙ্ঘনের ঝুঁকিতে থাকে যা গ্রাহকের তথ্যের সাথে আপস করে। ঝুঁকি ভিত্তিক নিরাপত্তার একটি বার্ষিক প্রতিবেদন অনুসারে, গত বছর লঙ্ঘনের ঘটনাগুলির একটি নতুন শিখর দেখেছে:3,930টি ঘটনা ঘটেছে যার ফলে 736 মিলিয়নেরও বেশি রেকর্ড প্রকাশ করা হয়েছে৷
ডেটা সুরক্ষা একটি গুরুতর ব্যবসায়িক উদ্বেগ, বিশেষ করে বিবেচনা করে যে লঙ্ঘনের পরে প্রায় 60% ছোট ব্যবসা দেউলিয়া হয়ে যায়।
যদি আপনার ব্যবসা ডেবিট/ক্রেডিট পেমেন্ট গ্রহণ করে, তাহলে আপনি পেমেন্ট কার্ড ইন্ডাস্ট্রি (PCI) সম্মতি, নিরাপত্তার প্রয়োজনীয়তা এবং শিল্প দ্বারা প্রতিষ্ঠিত ব্যবস্থাগুলির সাথে পরিচিত হতে পারেন। যাইহোক, অনেক নতুন ব্যবসা (এবং কিছু সুপ্রতিষ্ঠিত) সম্পূর্ণভাবে PCI সম্মতির সাথে অপরিচিত।
PCI সম্মতি বলতে পেমেন্ট কার্ড ইন্ডাস্ট্রি দ্বারা লিখিত এবং প্রয়োগ করা বাধ্যতামূলক মান এবং নিয়মগুলির একটি সেট বোঝায়, যেমন ভিসা, মাস্টারকার্ড, আমেরিকান এক্সপ্রেস এবং ডিসকভার৷
যে কোনো কোম্পানী যা ক্রেডিট এবং ডেবিট কার্ডের অর্থপ্রদান সঞ্চয়, প্রক্রিয়া বা প্রেরণ করে PCI সিকিউরিটি স্ট্যান্ডার্ড কাউন্সিল (SSC) নির্দেশিকাগুলি পূরণ করতে হবে এবং বার্ষিক সম্মতি প্রদর্শন করতে হবে অন্যথায় ব্যয়বহুল জরিমানা এবং লেনদেন প্রক্রিয়া করার কর্তৃপক্ষের সম্ভাব্য ক্ষতির সম্মুখীন হতে হবে৷
SSC PCI সম্মতির জন্য বারোটি বিস্তৃত প্রয়োজনীয়তা নির্ধারণ করেছে। যদিও এই প্রয়োজনীয়তাগুলি অবশ্যই পূরণ করতে হবে, তারা নির্দিষ্টভাবে কীভাবে বিস্তারিতভাবে জানায় না আপনার ব্যবসা তাদের পূরণ করতে হবে. উদাহরণস্বরূপ, কোম্পানিগুলিকে অবশ্যই অ্যান্টি-ভাইরাস সফ্টওয়্যার ব্যবহার এবং আপডেট করতে হবে, কিন্তু SSC কোন সফ্টওয়্যার ব্যবহার করতে হবে তা নির্দিষ্ট করে না৷
এই মানগুলি বাস্তবায়নের জন্য, SSC PCI কমপ্লায়েন্স গাইডের জন্য একটি অগ্রাধিকারমূলক পদ্ধতি প্রদান করে৷
ডেটা সিকিউরিটি স্ট্যান্ডার্ড প্রয়োজনীয়তা:
1:মূল্যায়ন
মূল্যায়নের উদ্দেশ্য হল গ্রাহক পেমেন্ট ডেটার নিরাপত্তার জন্য ঝুঁকিপূর্ণ দুর্বলতাগুলি চিহ্নিত করা। মূল্যায়ন প্রকৃতির ব্যাপক হওয়া উচিত, শুরু থেকে শেষ পর্যন্ত আপনার কোম্পানির সম্পূর্ণ লেনদেন প্রক্রিয়া বিশ্লেষণ করে। এর মধ্যে শুধু ডিজিটাল নেটওয়ার্কই নয়, সমস্ত ও অন্তর্ভুক্ত যেসব এলাকায় গ্রাহকের অর্থপ্রদানের ডেটা সংরক্ষণ করা হয়, যেমন ফিজিক্যাল ল্যাপটপ, ডেস্কটপ এবং কাগজের রসিদ।
যদি কোনো তৃতীয় পক্ষ আপনার পেমেন্ট প্রবাহ প্রক্রিয়ার অংশ হয়, তাহলে আপনাকে তাদের পদ্ধতি এবং সিস্টেমগুলিও মূল্যায়ন করতে হবে।
SSC পেশাদার মূল্যায়নকারীদের প্রশিক্ষণ এবং যাচাই করে সহায়তা প্রদান করে, যার মধ্যে দুটি প্রকার রয়েছে:যোগ্য নিরাপত্তা মূল্যায়নকারী এবং অনুমোদিত স্ক্যানিং বিক্রেতা (ASVs)।
QSA আপনার ডেটা সুরক্ষা মূল্যায়ন করে এবং সম্মতির প্রমাণ হিসাবে জমা দেওয়ার জন্য প্রমাণ প্রস্তুত করে।
ASV বাণিজ্যিক সফ্টওয়্যার সরঞ্জাম সরবরাহ করে যা দুর্বলতার জন্য আপনার ডেটা সিস্টেম বিশ্লেষণ করতে পারে৷
2:প্রতিকার
প্রতিকার হল আপনার মূল্যায়নের সময় পাওয়া যেকোন দুর্বলতার সমাধান এবং সংশোধন করার প্রক্রিয়া।
অনেক প্রতিকারের কৌশল সহজ:অ্যান্টি-ভাইরাস সফ্টওয়্যার আপডেট করুন, কোম্পানির সার্ভারগুলি যেখানে অবস্থিত সেখানে দরজায় তালা যুক্ত করুন, নতুন পাসওয়ার্ড গ্রহণ করুন যা প্রতি 90 দিনে আপডেট হয়৷
যেখানে অনেক কোম্পানী সংগ্রাম করছে, যদিও, কর্পোরেট নিরাপত্তা নীতি ও পদ্ধতির সৃষ্টি ও বাস্তবায়নে। পুরো কোম্পানি জুড়ে স্পষ্টভাবে যোগাযোগ করা ভালভাবে তৈরি করা নীতি এবং পদ্ধতিগুলি ছাড়া, বেশিরভাগ ব্যবসা শেষ পর্যন্ত সম্মতি বজায় রাখতে ব্যর্থ হবে৷
প্রতিটি কোম্পানি অনন্য, এবং এই কারণে প্রতিকার প্রতিটি ব্যবসার জন্য অত্যন্ত নির্দিষ্ট। কোন দুটি প্রতিকারের কৌশল ঠিক একই রকম দেখায় না।
3:প্রতিবেদন
আপনার ব্যবসা SSC প্রয়োজনীয়তা পূরণ করেছে তা প্রদর্শন করার জন্য কমপ্লায়েন্স সংক্রান্ত একটি প্রতিবেদন (ROC) জমা দিতে হবে। একটি ROC একটি একক নথি নয়, বরং মূল্যায়ন এবং প্রতিকারের পর্যায়ে সংগ্রহ করা প্রমাণের সারসংক্ষেপ।
ROC নথিতে একজন যোগ্য মূল্যায়নকারীর কাছ থেকে বিস্তারিত কাজের কাগজপত্র, সিস্টেম পরীক্ষার ফলাফল, কনফিগারেশন ডেটা, ইন্টারভিউ নোট, স্ক্রিনশট এবং অন্যান্য অনেক প্রমাণ অন্তর্ভুক্ত থাকতে পারে।
SSC একটি বিশদ 113-পৃষ্ঠার রিপোর্টিং নির্দেশনা নথি প্রদান করেছে যা রিপোর্টিং প্রক্রিয়াকে গাইড করার জন্য পর্যালোচনা করা যেতে পারে।
চলছে
PCI সম্মতি হল একটি চলমান প্রক্রিয়া . একটি একক মূল্যায়ন বা বার্ষিক বৈধতা প্রক্রিয়ার শেষ নয়। পরিবর্তে, সম্মতি হল ডেটা নিরাপদ এবং সুরক্ষিত থাকা নিশ্চিত করার জন্য অসংখ্য কৌশলগুলির ক্রমাগত বাস্তবায়ন এবং পর্যবেক্ষণ৷
যদি আমি ক্রেডিট কার্ডের তথ্য সংরক্ষণ না করি, PCI আমার জন্য প্রযোজ্য হবে না।
PCI সম্মতি সেই সংস্থাগুলির ক্ষেত্রে প্রযোজ্য যেগুলি ডেবিট/ক্রেডিট কার্ডের অর্থপ্রদানের তথ্য এবং সঞ্চয় করে৷ যে কোম্পানিগুলি সেই অর্থপ্রদান প্রক্রিয়া বা প্রেরণ করে। আপনি ডেটা সঞ্চয় করুন বা না করুন, আপনি ডেবিট/ক্রেডিট পেমেন্ট গ্রহণ করলে, PCI সম্মতি আপনার জন্য প্রযোজ্য।
আমি শুধুমাত্র অল্প সংখ্যক লেনদেন প্রক্রিয়া করি এবং PCI শুধুমাত্র বিশাল কর্পোরেশনের জন্য প্রযোজ্য৷
PCI সম্মতি এমন সমস্ত কোম্পানির জন্য যেগুলি এমনকি একটি ডেবিট/ক্রেডিট পেমেন্ট সঞ্চয়, প্রক্রিয়া বা প্রেরণ করে। একমাত্র ছাড় হল সেইসব ব্যবসার জন্য যারা সম্পূর্ণ লেনদেন প্রক্রিয়া তৃতীয় পক্ষের হাতে তুলে দিয়েছে।
আমি রিপোর্ট করার পরে এবং সম্মতি যাচাই করার পরে, PCI শেষ হয়ে গেছে।
PCI সম্মতি একটি চলমান প্রক্রিয়া, বছরে একবার ইভেন্ট নয়। বৈধকরণকে সময়ের স্ন্যাপশট হিসাবে দেখা উচিত, অনুমোদনের কম্বল স্ট্যাম্প নয়। একটি বার্ষিক মূল্যায়নের সময় বৈধ করা হয়েছিল কিন্তু পরবর্তীতে সম্মতিতে ত্রুটির কারণে নিরাপত্তা লঙ্ঘনের সম্মুখীন হয়েছে এমন কোম্পানিগুলি খুঁজে পাওয়া সাধারণ৷
অন্যান্য বণিকদের জরিমানা করা হয়নি, এবং আমি মেনে না নিলেও, জরিমানা কোন বড় ব্যাপার নয়।
অ-সম্মতির জন্য জরিমানা ভারী, প্রতি মাসে $5000 থেকে $100,000 পর্যন্ত। সম্মতি প্রদর্শন এবং নিশ্চিত না হওয়া পর্যন্ত ব্যবসাগুলি সম্পূর্ণভাবে ডেবিট/ক্রেডিট পেমেন্ট প্রক্রিয়া করার অধিকার হারাতে পারে।
আমি আমার ASV স্ক্যান পাস করেছি, তাই আমি পরিষ্কার আছি।
ASV স্ক্যানগুলি ক্রমাগত প্রক্রিয়ার একটি মাত্র ধাপ। সম্মতি বজায় রাখার চলমান প্রচেষ্টায় অনেকের মধ্যে তাদের একটি একক হাতিয়ার হিসাবে বিবেচনা করুন।
