معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) مطلوب لأي منظمة تخزن أو تعالج أو تنقل بيانات حامل البطاقة. الإصدار الحالي هو PCI DSS v4.0.1.

المرجع: [مجلس معايير أمن PCI](https://www.pcisecuritystandards.org/document_library/)

## تعيين المتطلبات

| متطلب PCI DSS | الوصف | قدرة Rediacc |
|---------------|-------|--------------|
| **المتطلب 1**، ضوابط أمن الشبكة | تثبيت وصيانة ضوابط أمن الشبكة | قواعد iptables لكل مستودع تمنع جميع حركة المرور بين المستودعات. كل مستودع يحصل على شبكة فرعية loopback IP خاصة (/26). |
| **المتطلب 2**، التكوينات الآمنة | تطبيق تكوينات آمنة على جميع مكونات النظام | تفرض خطافات دورة حياة Rediaccfile تكوينات حتمية وقابلة للتكرار. لا بيانات اعتماد افتراضية. مفاتيح LUKS يولدها المشغل. |
| **المتطلب 3**، حماية بيانات الحساب المخزنة | حماية بيانات الحساب المخزنة بالتشفير | تشفير LUKS2 AES-256 على جميع وحدات تخزين المستودعات. التشفير إلزامي وليس اختيارياً. المحو التشفيري عبر تدمير مفتاح LUKS. |
| **المتطلب 4**، حماية البيانات أثناء النقل | حماية بيانات حامل البطاقة بتشفير قوي أثناء النقل | جميع العمليات عن بُعد عبر SSH. نقل النسخ الاحتياطي مشفر من طرف إلى طرف. لا مسارات بيانات غير مشفرة. |
| **المتطلب 6**، التطوير الآمن | تطوير وصيانة أنظمة وبرامج آمنة | استنساخ CoW ينشئ بيئات اختبار معزولة دون كشف بيانات بطاقات الإنتاج لشبكات التطوير. سير عمل fork-test-promote. |
| **المتطلب 7**، تقييد الوصول | تقييد الوصول إلى مكونات النظام وبيانات حامل البطاقة حسب الحاجة | مقابس Docker daemon لكل مستودع. الوصول إلى مستودع لا يمنح الوصول إلى آخر. مصادقة بمفتاح SSH. |
| **المتطلب 8**، تحديد المستخدمين والمصادقة | تحديد هوية المستخدمين والمصادقة على الوصول | مصادقة بمفتاح SSH. رموز API مع ربط IP وصلاحيات محددة النطاق. المصادقة الثنائية (TOTP). |
| **المتطلب 9**، تقييد الوصول المادي | تقييد الوصول المادي لبيانات حامل البطاقة | الاستضافة الذاتية: الأمن المادي تحت سيطرتك المباشرة. تشفير LUKS يجعل الأقراص المسروقة غير قابلة للقراءة. |
| **المتطلب 10**، التسجيل والمراقبة | تسجيل ومراقبة جميع عمليات الوصول | أكثر من 40 نوع حدث على مستوى الحساب (المصادقة، رموز API، التكوين، الترخيص). لوحة تحكم المسؤول مع تصفية حسب المستخدم والفريق والتاريخ. `rdc audit` CLI للتصدير البرمجي. عمليات مستوى الجهاز قابلة للتدقيق عبر SSH وسجلات النظام. |
| **المتطلب 12**، السياسات التنظيمية | دعم أمن المعلومات بسياسات وبرامج تنظيمية | الاستضافة الذاتية تلغي نطاق معالج الطرف الثالث (المتطلب 12.8). تقلل حدود الامتثال لـ PCI DSS. |

## تجزئة الشبكة

يركز PCI DSS بشدة على تجزئة الشبكة لعزل بيئة بيانات حامل البطاقة (CDE). يوفر Rediacc ذلك من خلال التصميم:

- كل مستودع يعمل في Docker daemon خاص به في `/var/run/rediacc/docker-<networkId>.sock`
- المستودعات لها شبكات فرعية loopback IP معزولة (127.0.x.x/26، 61 عنوان IP قابل للاستخدام لكل شبكة)
- قواعد iptables المفروضة من renet تمنع جميع حركة المرور بين الشياطين
- لا يمكن للحاويات من مستودعات مختلفة التواصل على مستوى الشبكة

مستودع معالجة المدفوعات معزول شبكياً عن جميع التطبيقات الأخرى على نفس الجهاز. لا حاجة لتكوين جدار حماية إضافي.

## تقليل النطاق

الاستضافة الذاتية في Rediacc تقلل نطاق الامتثال لـ PCI DSS:

- لا مزود سحابة طرف ثالث في تدفق بيانات حامل البطاقة
- لا مورد SaaS للتقييم بموجب المتطلب 12.8 (مزودو خدمة طرف ثالث)
- ضوابط الأمن المادي تحت إدارتك المباشرة
- مفاتيح التشفير مخزنة فقط في التكوين المحلي للمشغل

## حالات التنفيذ

أدت تجزئة الشبكة الضعيفة والتشفير المفقود إلى إجراءات تنفيذ مكلفة لـ PCI DSS:

- Heartland Payment Systems (2008): تحرك المهاجمون أفقياً عبر 48 قاعدة بيانات بسبب ضعف تجزئة الشبكة، مما كشف 130 مليون رقم بطاقة. [تجاوزت التكلفة الإجمالية 200 مليون دولار.](https://www.philadelphiafed.org/-/media/frbp/assets/consumer-finance/discussion-papers/d-2010-january-heartland-payment-systems.pdf)
- Target (2013): تحول المهاجمون من وصول شبكة مورد HVAC إلى أنظمة نقاط البيع بسبب بنية الشبكة المسطحة، والتقطوا 40 مليون بطاقة دفع. [تسوية بقيمة 18.5 مليون دولار مع 47 مدعي عام للولايات.](https://oag.ca.gov/news/press-releases/attorney-general-becerra-target-settles-record-185-million-credit-card-data)