ای کامرس کے لیے PCI-DSS تعمیل: ادائیگی کی حفاظت اور ٹوکنائزیشن

2025 میں عالمی سطح پر کارڈ کی ادائیگی کے دھوکہ دہی سے ہونے والے نقصانات $33 بلین سے تجاوز کر گئے، اور تمام کارڈ فراڈ میں ای کامرس کا حصہ 73% ہے۔ پیمنٹ کارڈ انڈسٹری ڈیٹا سیکیورٹی اسٹینڈرڈ (PCI-DSS) اس کا مقابلہ کرنے کے لیے موجود ہے، اور ورژن 4.0 --- جو مارچ 2025 میں لازمی ہو گیا تھا --- نے اہم نئی ضروریات متعارف کرائی ہیں جن پر عمل درآمد کے لیے بہت سے ای کامرس کاروبار ابھی تک کوشش کر رہے ہیں۔

اچھی خبر: اگر آپ ہوسٹڈ ادائیگی کے حل جیسے Shopify Payments یا Stripe Checkout استعمال کرتے ہیں، تو آپ کا PCI دائرہ ڈرامائی طور پر کم ہو جاتا ہے۔ بری خبر: یہ کبھی صفر نہیں ہوتا۔ ہر ای کامرس کاروبار جو کارڈ کی ادائیگیوں کو قبول کرتا ہے اس کی PCI-DSS ذمہ داریاں ہوتی ہیں، چاہے وہ کبھی بھی کارڈ نمبر نہ دیکھیں۔

اہم ٹیک ویز

• PCI-DSS v4.0 کارڈ ہولڈر کے ڈیٹا تک تمام رسائی کے لیے اپنی مرضی کے مطابق توثیق کے طریقہ کار اور لازمی MFA متعارف کراتا ہے۔
• ٹوکنائزیشن کارڈ نمبروں کو ناقابل واپسی ٹوکن کے ساتھ بدل کر PCI دائرہ کار کے 80-90% کو ختم کر دیتی ہے۔
• SAQ کا انتخاب آپ کے تعمیل کے بوجھ کا تعین کرتا ہے --- صحیح SAQ کا انتخاب مہینوں کے کام کو بچاتا ہے
• سہ ماہی ASV اسکین اور سالانہ پینیٹریشن ٹیسٹنگ غیر گفت و شنید کے تقاضے ہیں۔

---

PCI-DSS v4.0: کیا تبدیل ہوا۔

PCI-DSS v4.0، جو 2022 میں جاری کیا گیا اور 31 مارچ 2025 سے مکمل طور پر لازمی ہے، ایک دہائی سے زائد عرصے میں معیار کے لیے سب سے اہم اپ ڈیٹ کی نمائندگی کرتا ہے۔ اہم تبدیلیاں ہر ای کامرس کاروبار کو متاثر کرتی ہیں۔

v4.0 میں اہم تبدیلیاں

سکرپٹ کے انتظام کی ضرورت

ضرورت 6.4.3 ای کامرس کے لیے خاص طور پر مؤثر ہے: آپ کو ادائیگی کے صفحات پر تمام اسکرپٹس کی انوینٹری کو برقرار رکھنا چاہیے اور غیر مجاز تبدیلیوں کا پتہ لگانے کے لیے ایک طریقہ کار کو نافذ کرنا چاہیے۔ اس کا مطلب ہے:

• آپ کے چیک آؤٹ پیج پر بھری ہوئی ہر JavaScript فائل کا دستاویزی ہونا ضروری ہے۔
• مواد کی حفاظت کی پالیسی (CSP) ہیڈر کو سکرپٹ کے ذرائع کو محدود کرنا چاہیے۔
• سبریسورس انٹیگریٹی (SRI) ہیشز کو اسکرپٹ کے مواد کی تصدیق کرنی چاہیے۔
• ایک مانیٹرنگ میکانزم کو غیر مجاز اسکرپٹ کی تبدیلیوں پر خبردار کرنا چاہیے۔

یہ ضرورت براہ راست Magecart طرز کے سکیمنگ حملوں کو نشانہ بناتی ہے، جہاں حملہ آور کارڈ ڈیٹا چوری کرنے کے لیے ادائیگی کے صفحات میں بدنیتی پر مبنی اسکرپٹ لگاتے ہیں۔

---

ٹوکنائزیشن کو سمجھنا

ٹوکنائزیشن PCI کے دائرہ کار کو کم کرنے کے لیے واحد سب سے زیادہ مؤثر ٹیکنالوجی ہے۔ یہ حساس کارڈ ڈیٹا کو ایک غیر حساس ٹوکن سے بدل دیتا ہے جس کی خلاف ورزی کی صورت میں کوئی فائدہ مند قیمت نہیں ہوتی۔

ٹوکنائزیشن کیسے کام کرتی ہے۔

1. صارف ادائیگی فراہم کرنے والے کے میزبانی کردہ فارم پر کارڈ کی تفصیلات درج کرتا ہے (کبھی آپ کے سرور پر نہیں)
2. ادائیگی فراہم کرنے والا کارڈ کی نمائندگی کرنے والا ٹوکن بناتا ہے۔
3. آپ کا سسٹم صرف ٹوکن اسٹور کرتا ہے (جیسے، tok_1MqLkJLkdIwHu7ixUAuBjz5Y)
4. بعد کے چارجز کے لیے، آپ ادائیگی فراہم کرنے والے کو ٹوکن بھیجتے ہیں۔
5. فراہم کنندہ ٹوکن کو کارڈ کی اصل تفصیلات پر واپس نقشہ بناتا ہے اور ادائیگی پر کارروائی کرتا ہے۔

ٹوکنائزیشن بمقابلہ خفیہ کاری

بڑے پلیٹ فارمز کے ساتھ عمل درآمد

Shopify: ٹوکنائزیشن کو مکمل طور پر Shopify ادائیگیوں کے ذریعے ہینڈل کیا جاتا ہے۔ تاجر کبھی بھی کارڈ ڈیٹا کو ہاتھ نہیں لگاتے ہیں۔ PCI کی تعمیل کا احاطہ Shopify کے لیول 1 سرٹیفیکیشن سے ہوتا ہے۔ آپ SAQ-A کے ذمہ دار ہیں۔

سٹرائپ: اسٹرائپ ایلیمنٹس یا اسٹرائپ چیک آؤٹ استعمال کریں تاکہ کارڈ کا ڈیٹا براہ راست اسٹرائپ کے سرورز پر جائے۔ آپ کے پسدید کو صرف کبھی ٹوکن موصول ہوتے ہیں۔ یہ عمل درآمد کے لحاظ سے آپ کو SAQ-A یا SAQ-A-EP کے لیے اہل بناتا ہے۔

Odoo کے ساتھ اپنی مرضی کے مطابق ادائیگی کا انضمام: اگر آپ Odoo پر ایک حسب ضرورت ای کامرس حل بنا رہے ہیں، تو ان کے میزبان فیلڈز یا ری ڈائریکٹ اپروچ کا استعمال کرتے ہوئے PCI کے مطابق ادائیگی کے گیٹ وے (Stripe, Adyen, Authorize.net) کے ساتھ انضمام کریں۔ اپنے Odoo سرور پر کبھی بھی خام کارڈ ڈیٹا پر کارروائی نہ کریں۔

---

SAQ سلیکشن گائیڈ

سیلف اسسمنٹ سوالنامہ (SAQ) جو آپ کو مکمل کرنا ضروری ہے اس کا انحصار اس بات پر ہے کہ آپ کارڈ ڈیٹا کو کیسے ہینڈل کرتے ہیں۔ صحیح SAQ کا انتخاب کرنا --- اور آسان SAQ کے لیے کوالیفائی کرنے کے لیے اپنے ادائیگی کے بہاؤ کو ترتیب دینا --- PCI کا سب سے اہم فیصلہ ہے جو آپ کریں گے۔

SAQ قسم سلیکشن گائیڈ

فیصلے کا بہاؤ

کیا آپ صارفین کو میزبان ادائیگی کے صفحے پر بھیجتے ہیں (Shopify Checkout، Stripe Checkout، PayPal)؟ اگر ہاں، SAQ-A۔

کیا آپ ادائیگی فراہم کنندہ کے فارم کو اپنے صفحہ پر ایمبیڈ کرتے ہیں (سٹرائپ ایلیمینٹس، برینٹری ہوسٹڈ فیلڈز)؟ اگر ہاں، SAQ-A-EP۔ آپ کا صفحہ فارم کی میزبانی کرتا ہے، لیکن کارڈ کا ڈیٹا براہ راست فراہم کنندہ کو جاتا ہے۔

کیا کارڈ ڈیٹا کبھی آپ کے سرور کو چھوتا ہے، یہاں تک کہ عارضی طور پر؟ اگر ہاں، SAQ-D۔ یہ مکمل تشخیص ہے اور اس کے بجائے آپ کو SAQ-A یا SAQ-A-EP کے لیے اہل ہونے کے لیے دوبارہ تعمیر کرنے پر سختی سے غور کرنا چاہیے۔

لاگت کے مضمرات

کارڈ کے ڈیٹا کو خود پروسیس کرنے کے بجائے میزبان ادائیگی کے فارم استعمال کرنے کا فن تعمیر کا فیصلہ تعمیل کے اخراجات میں $50,000-$250,000 سالانہ بچا سکتا ہے۔

---

3D سیکیور 2.0: ذمہ داری شفٹ اور فراڈ کی روک تھام

3D Secure 2.0 (3DS2) آن لائن کارڈ کے لین دین میں ایک تصدیقی پرت کا اضافہ کرتا ہے۔ صحیح طریقے سے لاگو ہونے پر، یہ فراڈ کی ذمہ داری کو مرچنٹ سے کارڈ جاری کرنے والے پر منتقل کر دیتا ہے۔

3DS2 کیسے کام کرتا ہے۔

1. کسٹمر آپ کی سائٹ پر ادائیگی شروع کرتا ہے۔
2. آپ کا ادائیگی فراہم کنندہ کارڈ جاری کنندہ کو لین دین کا ڈیٹا بھیجتا ہے۔
3. جاری کنندہ کا رسک انجن ٹرانزیکشن کا جائزہ لیتا ہے (آلہ کے فنگر پرنٹ، لین دین کی تاریخ، رقم)
4. بغیر رگڑ کے بہاؤ: کم خطرے والے لین دین کی خاموشی سے تصدیق کی جاتی ہے (کسٹمر کی کارروائی کی ضرورت نہیں ہے)
5. چیلنج کا بہاؤ: زیادہ خطرے والے لین دین کے لیے اضافی تصدیق کی ضرورت ہوتی ہے (بائیو میٹرک، OTP، ایپ کی تصدیق)
6. تصدیق کا نتیجہ واپس آ گیا ہے اور ادائیگی پر کارروائی کی جاتی ہے۔

3DS2 فوائد

• لائبیلیٹی شفٹ: فراڈ کی ذمہ داری تصدیق شدہ لین دین کے لیے جاری کرنے والے بینک کو منتقل ہوتی ہے۔
• دھوکہ دہی میں کمی: 3DS2 غیر مستند لین دین کے مقابلے میں فراڈ کی شرح کو 40-60% تک کم کرتا ہے۔
• بہتر UX: بغیر رگڑ کے تصدیق کا مطلب ہے کہ 85-95% لین دین کے لیے کسی اضافی کسٹمر کی کارروائی کی ضرورت نہیں ہے۔
• ریگولیٹری تعمیل: PSD2 Strong Customer Authentication (SCA) کو EU ٹرانزیکشنز کے لیے 3DS2 درکار ہے

نفاذ کے تحفظات

• اپنے ادائیگی فراہم کنندہ کے ذریعے 3DS2 کو فعال کریں (سٹرائپ، ایڈین، اور زیادہ تر فراہم کنندگان مقامی طور پر اس کی حمایت کرتے ہیں)
• خطرے پر مبنی توثیق کی حدیں ترتیب دیں: کم قیمت یا کم خطرے والے لین دین کو مستثنیٰ رکھتے ہوئے زیادہ خطرہ والے لین دین پر 3DS2 کا اطلاق کریں۔
• تصدیق کی شرحوں کی نگرانی کریں: اگر بہت زیادہ لین دین کو چیلنج کیا جاتا ہے تو، اپنے خطرے کے اشاروں کا جائزہ لیں۔
• لائیو جانے سے پہلے بغیر رگڑ اور چیلنج کے بہاؤ دونوں کی اچھی طرح جانچ کریں۔

---

کمزوری اسکیننگ اور دخول کی جانچ

PCI-DSS کو دائرہ کار میں موجود تمام ماحول کے لیے خودکار کمزوری اسکیننگ (سہ ماہی) اور دستی رسائی کی جانچ (سالانہ) دونوں کی ضرورت ہوتی ہے۔

سہ ماہی ASV اسکینز

ایک منظور شدہ سکیننگ وینڈر (ASV) کو ہر سہ ماہی میں بیرونی خطرے کے اسکین کرنا چاہیے۔ تقاضے:

• اسکینز کو کارڈ ہولڈر ڈیٹا انوائرنمنٹ (CDE) میں تمام بیرونی چہرے والے IP پتوں اور ڈومینز کا احاطہ کرنا ضروری ہے۔
• اسکین کے گزرنے سے پہلے تمام شدید خطرات (CVSS 4.0+) کا ازالہ اور دوبارہ اسکین کرنا ضروری ہے۔
• پاسنگ اسکین رپورٹس کو آڈٹ کے مقاصد کے لیے برقرار رکھا جانا چاہیے۔
• عام ASVs: Qualys، Tenable، SecurityMetrics، Trustwave

سالانہ دخول ٹیسٹنگ

تقاضہ 11.4 کی سالانہ دخول جانچ کو لازمی قرار دیتا ہے:

• نیٹ ورک سیگمنٹیشن کنٹرولز (اگر دائرہ کار کو کم کرنے کے لیے استعمال کیا جاتا ہے)
• CDE کا بیرونی دائرہ
• CDE کے اندر اندرونی نظام
• ادائیگی کی درخواستوں کی ایپلیکیشن لیئر ٹیسٹنگ

v4.0 میں نیا: دخول کی جانچ کو اب واضح طور پر اس بات کی تصدیق کرنی ہوگی کہ سیگمنٹیشن کنٹرولز کام کر رہے ہیں اور یہ کہ CDE باقی نیٹ ورک سے مناسب طریقے سے الگ تھلگ ہے۔

مسلسل نگرانی

سہ ماہی اور سالانہ جانچ کے علاوہ، PCI-DSS v4.0 مسلسل نگرانی پر زور دیتا ہے:

• اہم سسٹم فائلوں اور ادائیگی کے صفحہ کے اسکرپٹس پر فائل انٹیگریٹی مانیٹرنگ (FIM)
• CDE نیٹ ورک کی حدود میں مداخلت کا پتہ لگانے/روک تھام کے نظام (IDS/IPS)
• بے ضابطگی کا پتہ لگانے کے لئے خودکار لاگ جائزہ (نئی v4.0 ضرورت)
• غیر مجاز رسائی کی کوششوں کے لیے ریئل ٹائم الرٹنگ

---

ایک PCI-مطابق ای کامرس آرکیٹیکچر بنانا

پی سی آئی کی تعمیل کا سب سے مؤثر طریقہ یہ ہے کہ فن تعمیر کے فیصلوں کے ذریعے دائرہ کار کو کم سے کم کیا جائے۔

تجویز کردہ فن تعمیر

ٹیر 1: ادائیگی کا صفحہ (کم سے کم دائرہ کار)۔ اپنے چیک آؤٹ صفحہ پر ایک iframe میں ایمبیڈ کردہ میزبان ادائیگی والے فیلڈز (سٹرائپ ایلیمنٹس، ایڈین ڈراپ ان) کا استعمال کریں۔ کارڈ کا ڈیٹا گاہک کے براؤزر سے براہ راست ادائیگی فراہم کرنے والے کو جاتا ہے۔ آپ کا سرور اسے کبھی نہیں دیکھتا۔

ٹیر 2: ایپلیکیشن سرور (دائرہ کار سے باہر)۔ آپ کی ای کامرس ایپلیکیشن (Shopify، Odoo، custom) آرڈر مینجمنٹ، انوینٹری، اور کسٹمر ڈیٹا کو ہینڈل کرتی ہے۔ یہ صرف ٹوکن کے ذریعے ادائیگی فراہم کرنے والے کے ساتھ بات چیت کرتا ہے۔

**ٹیر 3: ڈیٹا اسٹوریج (کارڈ ڈیٹا کی گنجائش سے باہر)۔ ** آپ کا ڈیٹا بیس آرڈر کی تفصیلات، کسٹمر کی معلومات، اور ادائیگی کے ٹوکنز کو اسٹور کرتا ہے --- لیکن کارڈ نمبر، CVVs، یا میعاد ختم ہونے کی تاریخیں کبھی نہیں۔

نیٹ ورک سیگمنٹیشن

اگر آپ کے بنیادی ڈھانچے کا کوئی حصہ کارڈ ڈیٹا پر کارروائی کرتا ہے، تو نیٹ ورک کی تقسیم اہم ہے:

• سی ڈی ای کو علیحدہ نیٹ ورک سیگمنٹ (VLAN، سب نیٹ، یا VPC) میں الگ کر دیں۔
• فائر وال کے قوانین کو لاگو کریں جو سی ڈی ای تک اور جانے والی ٹریفک کو محدود کرتے ہیں۔
• سیگمنٹیشن باؤنڈری کو عبور کرنے والی تمام ٹریفک کی نگرانی کریں۔
• دخول کی جانچ کے دوران ٹیسٹ سیگمنٹیشن کنٹرولز

جامع تعمیل آرکیٹیکچر رہنمائی کے لیے جو PCI-DSS سے آگے پھیلی ہوئی ہے، ہماری انٹرپرائز کمپلائنس ہینڈ بک دیکھیں۔

---

اکثر پوچھے گئے سوالات

اگر میں صرف Shopify پر فروخت کرتا ہوں تو کیا مجھے PCI کی تعمیل کی ضرورت ہے؟

ہاں، لیکن آپ کا دائرہ کم سے کم ہے۔ Shopify ایک PCI-DSS لیول 1 سرٹیفائیڈ سروس فراہم کنندہ ہے، جس کا مطلب ہے کہ Shopify ہیوی لفٹنگ کو سنبھالتا ہے۔ تاہم، آپ اب بھی SAQ-A کو سالانہ مکمل کرنے اور بنیادی حفاظتی طریقوں کو برقرار رکھنے کے ذمہ دار ہیں: مضبوط پاس ورڈز، آپ کے Shopify ایڈمن پر MFA، Shopify کے باہر کارڈ ڈیٹا اسٹور نہ کرنا، اور سیکیورٹی پر عملے کو تربیت دینا۔

اگر میرا سہ ماہی ASV اسکین ناکام ہوجاتا ہے تو کیا ہوگا؟

آپ کے پاس شناخت شدہ کمزوریوں کو دور کرنے اور دوبارہ اسکین کی درخواست کرنے کا موقع ہے۔ ناکام سکین کے لیے کوئی جرمانہ نہیں ہے --- صرف سہ ماہی ونڈو کے اندر پاسنگ سکین نہ ہونے پر۔ تاہم، اگر آپ مسلسل اسکین کرنے میں ناکام رہتے ہیں اور تعمیل کا مظاہرہ نہیں کر سکتے ہیں، تو آپ کا حاصل کرنے والا بینک آپ کی پروسیسنگ فیس میں اضافہ کر سکتا ہے، زیادہ سخت تشخیص کی ضرورت ہے، یا انتہائی صورتوں میں، آپ کا مرچنٹ اکاؤنٹ ختم کر سکتا ہے۔

کیا قانون کے مطابق PCI کی تعمیل ضروری ہے؟

PCI-DSS کوئی حکومتی ضابطہ نہیں ہے --- یہ کارڈ برانڈز (Visa, Mastercard, American Express, Discover, JCB) سے معاہدہ کی ضرورت ہے۔ تعمیل آپ کے حاصل کرنے والے بینک کے ساتھ آپ کے مرچنٹ معاہدے کے ذریعے نافذ کی جاتی ہے۔ عدم تعمیل کے نتیجے میں کارڈ برانڈز ($5,000-$100,000/ماہ)، ٹرانزیکشن فیس میں اضافہ، اور دھوکہ دہی پر مبنی لین دین کی ذمہ داری عائد ہوسکتی ہے۔ کچھ دائرہ اختیار (نیواڈا، مینیسوٹا، واشنگٹن) نے ایسے قوانین بنائے ہیں جن میں PCI-DSS کی ضروریات شامل ہیں۔

PCI-DSS کا GDPR سے کیا تعلق ہے؟

PCI-DSS اور GDPR ایکسیس کنٹرول، انکرپشن، اور واقعے کے ردعمل جیسے شعبوں میں اوورلیپ ہوتے ہیں، لیکن ان کی توجہ مختلف ہوتی ہے۔ PCI-DSS خاص طور پر ادائیگی کارڈ کے ڈیٹا کی حفاظت کرتا ہے، جبکہ GDPR یورپی یونین کے رہائشیوں کے تمام ذاتی ڈیٹا کی حفاظت کرتا ہے۔ ادائیگی کارڈ نمبر بھی GDPR کے تحت ذاتی ڈیٹا ہے، لہذا آپ کو دونوں کی تعمیل کرنے کی ضرورت ہے۔ ہماری ڈیٹا پرائیویسی موازنہ گائیڈ دیکھیں کہ مختلف ضابطے کیسے آپس میں تعامل کرتے ہیں۔

---

آگے کیا ہے۔

PCI-DSS کی تعمیل کسی ایسے کاروبار کے لیے اختیاری نہیں ہے جو کارڈ کی ادائیگی قبول کرتا ہے۔ اچھی خبر یہ ہے کہ جدید ادائیگی کے پلیٹ فارمز نے آپ کی جانب سے کارڈ ڈیٹا پروسیسنگ کے انتہائی حساس پہلوؤں کو سنبھال کر اسے ڈرامائی طور پر آسان بنا دیا ہے۔ آپ کا کام صحیح فن تعمیر کا انتخاب کرنا، مناسب SAQ کو مکمل کرنا، مسلسل حفاظتی طریقوں کو برقرار رکھنا، اور معیار کے ارتقا کے ساتھ ساتھ موجودہ رہنا ہے۔

ECOSIRE ای کامرس کاروباروں کو شروع سے ہی PCI کے مطابق ادائیگی کے فن تعمیر میں مدد کرتا ہے۔ ہمارے Shopify نفاذ کم سے کم PCI دائرہ کار کے لیے Shopify کے لیول 1 سرٹیفیکیشن کا فائدہ اٹھاتے ہیں، اور ہمارے Odoo ERP انضمام ٹوکنائزڈ ادائیگی کے بہاؤ کا استعمال کرتے ہیں جو آپ کے سسٹم کو PCI دائرہ کار سے باہر رکھتے ہیں۔ ادائیگی کی حفاظتی تشخیص کے لیے ہم سے رابطہ کریں۔

---

شائع کردہ بذریعہ ECOSIRE — کاروباروں کو Odoo ERP، Shopify eCommerce، اور OpenClaw AI میں AI سے چلنے والے حل کے ساتھ پیمانے میں مدد کرنا۔