دليل ضبط قطاع بطاقات الدفع العامة (PCI) لخدمة Edge العامة

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X.
المعلومات

يجب أن يتّخذ العميل بعض الإجراءات والعمليات التي يجريها بموجب "نموذج المسؤولية المشتركة"، وذلك لكي يكون العميل متوافقًا مع قطاع بطاقات الدفع في Apigee Edge Public Cloud. يجب مراجعة العناصر التالية من قِبل العملاء الذين اشتروا حزمة امتثال صناعة بطاقات الدفع ويجب أن تكون متوافقة مع قطاع بطاقات الدفع. هذه العناصر خدمة ذاتية ضمن Edge ويجب معالجتها حتى تتوافق مؤسسة العميل (org) مع قطاع بطاقات الدفع الخاصة بك. يتمثّل المفهوم الرئيسي في "تأمين Google للمنصة، إلا أنّ العميل يؤمّن بياناته".

مصفوفة مسؤولية العملاء

على العملاء الرجوع إلى مصفوفة Google Apigee PCI-DSS 3.2.1 للمسؤولية ومشاركتها مع مقيِّم الأمان المؤهّل في قطاع بطاقات الدفع (PCI) عند إجراء عملية التدقيق الخاصة بهم.

تحديد متطلبات قطاع بطاقات الدفع

متطلبات قطاع بطاقات الدفع الآمن (PCI) Section
الشرط 7: فرض قيود على الوصول إلى بيانات حامل البطاقة حسب حاجة النشاط التجاري إلى المعرفة

الاستخدام/عمليات التفويض

الشرط 3: حماية بيانات حامل البطاقة المخزنة

إخفاء البيانات

المطلب 10: تتبُّع ومراقبة جميع عمليات الوصول إلى موارد الشبكة وبيانات حامل البطاقة

مسار التدقيق

الشرط 8: تخصيص معرّف فريد لكل شخص لديه إذن الوصول إلى جهاز الكمبيوتر

متطلبات كلمة المرور المعقّدة أو SAML

المتطلب 11: اختبار أنظمة وعمليات الأمان بانتظام

فحص نقاط النهاية

الشرط 4: تشفير نقل بيانات حامل البطاقة على الشبكات المفتوحة والعامة

ضبط بروتوكول أمان طبقة النقل (TLS)

الشرط 3: حماية بيانات حامل البطاقة المخزنة

تخزين البيانات

الشرط 4: تشفير نقل بيانات حامل البطاقة على الشبكات المفتوحة والعامة

تشفير البيانات

للحصول على مصادقة معيار أمان البيانات في قطاع Apigee (AOC)، يُرجى فتح طلب دعم لدى فريق دعم Apigee أو التواصل مع فريق مبيعات Apigee.

التتبُّع / تصحيح الأخطاء

التتبُّع/تصحيح الأخطاء هي أداة لتحديد المشاكل وحلّها تتيح للمستخدم عرض حالة ومحتوى طلب البيانات من واجهة برمجة التطبيقات أثناء معالجته من خلال معالج رسائل Apigee. التتبّع وتصحيح الأخطاء هما اسمان للخدمة نفسها، ولكن يمكن الوصول إليهما باستخدام آليات مختلفة. Trace هي اسم هذه الخدمة في واجهة مستخدم Edge. تصحيح الأخطاء هو اسم الخدمة نفسها عند استخدامه من خلال طلبات البيانات من واجهة برمجة التطبيقات. يُعدّ استخدام المصطلح "تتبُّع" في هذا المستند صالحًا لكل من "تتبُّع" و"تصحيح الأخطاء".

أثناء جلسة التتبُّع، يتم فرض "إخفاء البيانات". يمكن لهذه الأداة حظر عرض البيانات أثناء عملية التتبُّع. يُرجى الاطّلاع على قسم إخفاء البيانات أدناه.

قد يتم استخدام خرائط القيم الرئيسية (KVMs) المشفّرة لعملاء صناعة بطاقات الدفع. إذا كان آلة KVM مشفّرة قيد الاستخدام، قد يستمر استخدام ميزة Trace (التتبُّع)، ولكن لن تكون بعض المتغيرات مرئية في شاشة عرض التتبُّع. يمكن اتخاذ خطوات إضافية لعرض هذه المتغيّرات أيضًا أثناء التتبُّع.

وتتوفّر تعليمات تفصيلية حول استخدام "التتبُّع" في استخدام أداة التتبُّع.

تتوفّر تفاصيل حول KVM، بما في ذلك KVMs، في مقالة العمل باستخدام خرائط القيم الرئيسية.

الاستخدام/التفويضات

تتم إدارة إمكانية الوصول إلى Trace من خلال نظام RBAC (التحكُّم في الوصول المستند إلى الدور) لحسابات المستخدمين ضمن Edge. تتوفّر التعليمات التفصيلية حول استخدام نظام RBAC لمنح امتيازات التتبُّع وإبطالها في تخصيص الأدوار وإنشاء أدوار مخصَّصة في واجهة المستخدم. تتيح أذونات التتبُّع للمستخدم تشغيل أداة تتبُّع أو إيقاف عملية تتبُّع أو الوصول إلى الناتج من جلسة تتبُّع.

بما أنّ تطبيق Trace يمكنه الوصول إلى حمولة طلبات البيانات من واجهة برمجة التطبيقات (المعروفة رسميًا باسم "نص الرسالة")، من المهم تحديد مَن يمكنه الوصول لتشغيل عملية التتبُّع. بما أنّ مسؤولية إدارة المستخدمين هي مسؤولية العميل، تقع على عاتق العميل أيضًا مسؤولية منح أذونات التتبُّع. وبإمكان Apigee، بصفتهما مالك المنصة، إضافة مستخدم إلى مؤسسة عملاء ومنح الامتيازات. لا يتم استخدام هذه الإمكانية إلا بناءً على طلب العميل للحصول على الدعم في الحالات التي يبدو فيها أن خدمة العملاء لا تعمل، ويُعتقد أن مراجعة جلسة التتبُّع تقدّم أفضل المعلومات عن السبب الأساسي.

إخفاء البيانات

يؤدي إخفاء البيانات إلى منع عرض البيانات الحسّاسة أثناء جلسة التتبُّع/تصحيح الأخطاء فقط، وذلك في كلٍّ من التتبُّع (واجهة مستخدم Edge) وفي الخلفية من خلال تصحيح الأخطاء (Edge API). يمكنك الاطّلاع على تفاصيل حول طريقة ضبط إعدادات إخفاء البيانات في القسم إخفاء البيانات وإخفائها. يندرج إخفاء البيانات الحساسة ضمن مطلب PCI 3 - حماية بيانات حامل البطاقة المخزنة

لا يؤدي إخفاء البيانات إلى منع ظهور البيانات في ملفات السجل وذاكرة التخزين المؤقت والإحصاءات، وما إلى ذلك. للحصول على مساعدة بشأن إخفاء البيانات في السجلات، يمكنك إضافة نمط تعبير عادي إلى ملف logback.xml. يجب عادةً عدم كتابة البيانات الحساسة لحفظها في ذاكرة التخزين المؤقت أو التحليلات بدون مبرّر قوي للنشاط التجاري، كما يجب عدم مراجعتها من قِبل فِرق أمن العملاء والقوانين القانونية.

ذاكرة التخزين المؤقت L1 وL2

يتوفر التخزين المؤقت لعملاء قطاع بطاقات الدفع (PCI) للاستخدام مع البيانات غير الخاضعة للرقابة فقط. يجب عدم استخدام ذاكرة التخزين المؤقت لبيانات حامل بطاقة PCI (CHD)، لأنه لم تتم الموافقة عليها من خلال عملية التدقيق في Apigee PCI Compliance كموقع تخزين لـ CHD. وفقًا لإرشادات قطاع بطاقات الدفع (المطلب 3: حماية بيانات حامل البطاقة المخزّنة)، يجب تخزين بيانات قطاع بطاقات الدفع في مكان متوافق فقط مع قطاع بطاقات الدفع. سيؤدي استخدام ذاكرة التخزين المؤقت L1 تلقائيًا إلى استخدام ذاكرة التخزين المؤقت L2 أيضًا. تكون ذاكرة التخزين المؤقت L1 هي "الذاكرة فقط"، بينما تكتب ذاكرة التخزين المؤقت L2 البيانات على القرص لمزامنتها عبر ذاكرات التخزين المؤقت المتعددة L1. وتساهم ذاكرة التخزين المؤقت L2 في الحفاظ على مزامنة عدّة معالِجات رسائل ضمن منطقة وعالمية. لا يمكن في الوقت الحالي تفعيل ذاكرة التخزين المؤقت L1 بدون ذاكرة تخزين مؤقت L2 خلفها. تخزن ذاكرة التخزين المؤقت L2 البيانات على القرص بحيث يمكن مزامنتها مع معالجات الرسائل الأخرى لمؤسسة العملاء. بما أنّ ذاكرة التخزين المؤقت L2 تكتب البيانات على القرص، لا يمكن استخدام ذاكرة التخزين المؤقت لنظام CHD أو أي بيانات محظورة أخرى.

ويُسمح باستخدام ذاكرة التخزين المؤقت من قِبل العملاء للبيانات غير المستندة إلى تنسيق CHD والبيانات الأخرى غير المحظورة. لا نوقف ذاكرة التخزين المؤقت تلقائيًا لعملاء قطاع صناعة بطاقات الدفع، لأنّ بعض العملاء يشغّلون طلبات بيانات من واجهة برمجة التطبيقات (PCI) وغير المرتبطة بها من خلال مؤسسة واحدة. بما أنّ الميزة لا تزال مفعّلة لعملاء صناعة بطاقات الدفع، تقع على عاتق العميل مسؤولية استخدام الخدمة بشكل مناسب وتدريب المستخدمين على عدم استخدام ذاكرة التخزين المؤقت عندما يُحتمل أن تكون بيانات قطاع بطاقات الدفع في طلب بيانات من واجهة برمجة التطبيقات. إنّ عملية التدقيق في Apigee PCI Compliance لا تتوافق مع ميزة CHD المخزَّنة في ذاكرة التخزين المؤقت.

تتوفر تعليمات تفصيلية حول استخدام ذاكرة التخزين المؤقت في إضافة التخزين المؤقت والاستمرار.

مسار التدقيق

يمكن للعملاء مراجعة مسار التدقيق لكل الأنشطة الإدارية التي تم تنفيذها داخل مؤسسة العميل، بما في ذلك استخدام Trace. وتتوفّر التعليمات المفصّلة هنا وعلى استخدام أداة التتبُّع. (الشرط 10 في قطاع بطاقات الدفع (PCI): تتبُّع ومراقبة كل عمليات الوصول إلى موارد الشبكة وبيانات حامل البطاقة)

متطلبات كلمة المرور المعقدة أو SAML

على العملاء الذين لديهم متطلبات محدَّدة لكلمات المرور استخدام SAML لتلبية متطلباتهم الفردية. يُرجى الاطّلاع على تفعيل مصادقة SAML لتطبيق Edge. يوفّر Edge أيضًا مصادقة متعدّدة العوامل (شرط PCI 8: تحديد معرّف فريد لكل شخص لديه إذن وصول إلى جهاز الكمبيوتر). يُرجى الاطّلاع على تفعيل المصادقة الثنائية لحسابك على Apigee.

أمان نقطة النهاية

فحص نقاط النهاية

يجب فحص المضيفين واختباره للتأكّد من الامتثال لمعيار صناعة بطاقات الدفع (PCI) (المطلب 11: اختبار أنظمة وعمليات الأمان بانتظام). بالنسبة إلى Edge Cloud، يتحمل العملاء مسؤولية فحص واختبار نقاط النهاية الخاصة بواجهة برمجة التطبيقات (تُعرف أحيانًا باسم "مكونات وقت التشغيل") في Edge. يجب أن يشمل اختبار العملاء خدمات الخادم الوكيل لواجهة برمجة التطبيقات الفعلية التي يتم استضافتها على Edge، حيث يتم إرسال عدد زيارات واجهة برمجة التطبيقات إلى Edge قبل معالجتها ثم تسليمها إلى مركز بيانات العملاء. لم تتم الموافقة على اختبار الموارد المشتركة، مثل واجهة مستخدم بوابة الإدارة، للعملاء الفرديين (تقرير تابع لجهة خارجية يغطي اختبار الخدمات المشتركة يتوفّر للعملاء بموجب اتفاقية عدم إفصاح وعند الطلب).

على العملاء اختبار نقاط النهاية في واجهة برمجة التطبيقات وتشجيعهم على إجراء ذلك. لا تحظر اتفاقيتك مع Apigee اختبار نقاط النهاية في واجهة برمجة التطبيقات، ولكنّنا لا نسمح لك باختبار واجهة المستخدم للإدارة المشتركة. على الرغم من الحاجة إلى توضيح إضافي، يُرجى فتح طلب دعم يتضمّن الاختبار المخطط له. نشكرك على إرسال إشعار إلى Apigee مقدمًا حتى نتمكن من معرفة عدد زيارات الاختبار.

ويجب أن يبحث العملاء الذين يختبرون نقاط النهاية عن أي مشاكل متعلّقة بواجهة برمجة التطبيقات، وأي مشاكل متعلّقة بخدمات Apigee، وأن يتحقّقوا أيضًا من بروتوكول أمان طبقة النقل (TLS) والعناصر الأخرى القابلة للضبط. يجب إبلاغ Apigee بأي عناصر يتم العثور عليها ذات صلة بخدمات Apigee من خلال طلب الدعم.

معظم العناصر المتعلقة بنقطة النهاية هي عناصر خدمة ذاتية للعميل ويمكن إصلاحها من خلال مراجعة مستندات Edge. وفي حال عدم وضوح كيفية إصلاحها في بعض العناصر، يُرجى تقديم طلب دعم.

ضبط بروتوكول أمان طبقة النقل (TLS)

وفقًا لمعايير PCI الخاصة، يجب نقل طبقة المقابس الآمنة وبروتوكول أمان طبقة النقل (TLS) المبكرة إلى الإصدارات الآمنة. ويكون العملاء مسؤولين عن تحديد وإعداد نقاط نهاية بروتوكول أمان طبقة النقل (TLS) الخاصة بهم للخوادم الوكيلة لواجهة برمجة التطبيقات. هذه ميزة ذاتية الخدمة في Edge. إنّ متطلبات العملاء المتعلّقة بالتشفير والبروتوكول والخوارزمية تتغيّر على نطاق واسع وخاصة بحالات الاستخدام الفردي. بما أنّ Apigee لا تعرف تفاصيل حمولات البيانات وتصميم واجهة برمجة التطبيقات لكل عميل، تقع على عاتق العملاء مسؤولية تحديد التشفير المناسب للبيانات التي يتم نقلها. وتتوفّر التعليمات التفصيلية حول ضبط بروتوكول أمان طبقة النقل (TLS) في بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة.

مخزن البيانات

ولا يتطلب الأمر تخزين البيانات داخل Edge حتى تعمل شبكة Edge بشكل صحيح. ومع ذلك، هناك خدمات متوفرة لتخزين البيانات في Edge. يمكن للعملاء اختيار استخدام ذاكرة التخزين المؤقت أو خرائط القيم الرئيسية أو الإحصاءات لتخزين البيانات. لا يُسمح لأي من هذه الخدمات لتخزين CHD وفقًا لعملية تدقيق Apigee PCI. وفقًا للشرط 3 (حماية بيانات حامل البطاقة المخزّنة)، يجب تخزين بيانات قطاع بطاقات الدفع في المواقع المتوافقة مع قطاع بطاقات الدفع فقط. يمكن للعملاء استخدام هذه الخدمات لتخزين البيانات غير الصادرة عن قطاع بطاقات الدفع أو البيانات الأخرى غير المحظورة وفقًا لمتطلبات العميل المتعلقة بالأمان والقانون. هذه الخدمات هي عناصر خدمة ذاتية للعملاء، لذا تقع على عاتق العميل مسؤولية ضبط إعداداتها بحيث لا يتم تسجيل أو تخزين مفتاح CHD. يُنصَح بمراجعة عمليات الضبط والسياسات وعمليات النشر من قِبل مشرفي العملاء لتجنُّب الاستخدام غير المقصود أو الضار لخدمات تخزين البيانات في Edge بطريقة غير متوافقة .

تشفير البيانات

لا يتم تقديم أدوات تشفير البيانات للعملاء لاستخدامها داخل Edge. مع ذلك، يمكن للعملاء تشفير بيانات قطاع بطاقات الدفع الخاصة بهم قبل إرسالها إلى Edge. الشرط 4 في قطاع بطاقات الدفع الخاصة بك: (تشفير نقل بيانات حامل البطاقة على الشبكات المفتوحة والعامة) ننصح بتشفير بيانات حامل البطاقة على جميع الشبكات المفتوحة والعامة. ولا تمنع البيانات المشفّرة في الحمولة (أو نص الرسالة) تشغيل Edge. قد لا تتمكّن بعض سياسات Edge من التفاعل مع البيانات إذا استلمها العميل مشفّرًا. على سبيل المثال، لا يمكن إجراء عملية تحويل إذا كانت البيانات نفسها غير متاحة لأداة Edge لتغييرها. في المقابل، ستعمل السياسات والحِزم الأخرى والسياسات التي ينشئها العملاء حتى إذا كانت حمولات البيانات مشفّرة.