PCI DSS Compliance for eCommerce: Payment Security Guide

ای کامرس کے لیے # PCI DSS تعمیل: ادائیگی کی سیکیورٹی گائیڈ

ہر ای کامرس لین دین جس میں ادائیگی کارڈ شامل ہوتا ہے PCI DSS - ادائیگی کارڈ انڈسٹری ڈیٹا سیکیورٹی اسٹینڈرڈ کے تحت تعمیل کی ذمہ داری پیدا کرتا ہے۔ عدم تعمیل نظریاتی خطرہ نہیں ہے: کارڈ برانڈز (Visa, Mastercard, Amex) حاصل کرنے والے بینکوں پر $5,000–$100,000 ماہانہ جرمانہ عائد کرسکتے ہیں، جو اپنے ادائیگی کے پروسیسنگ معاہدوں کے ذریعے براہ راست تاجروں کو ذمہ داری منتقل کرتے ہیں۔ خلاف ورزی کے بعد، غیر تعمیل کرنے والے تاجروں کو $50–$90 فی کارڈ کے جرمانے، کارڈ برانڈ کی فرانزک تحقیقات کے اخراجات، اور - انتہائی سنگین صورتوں میں - ان کے مرچنٹ اکاؤنٹ کو ختم کرنے کا سامنا کرنا پڑتا ہے۔

PCI DSS v4.0، مارچ 2025 سے لازمی تعمیل کے ساتھ مارچ 2022 کو جاری کیا گیا، اس نے کرپٹوگرافک ضروریات، تصدیق کے معیارات، اور ادائیگی کے صفحات پر اسکرپٹس کی ہینڈلنگ میں اہم تبدیلیاں متعارف کرائیں۔ یہ گائیڈ ای کامرس ٹیموں کو مکمل نفاذ کا روڈ میپ فراہم کرتا ہے۔

اہم ٹیک ویز

• PCI DSS v4.0 31 مارچ 2025 سے لازمی ہے — تمام ای کامرس مرچنٹس کو نئے ورژن کے مطابق ہونا ضروری ہے
• اسکوپنگ سب سے اہم پہلا قدم ہے: اپنے کارڈ ہولڈر ڈیٹا انوائرمنٹ (سی ڈی ای) کو جتنا ممکن ہو کم کریں۔
• ادائیگی کے پروسیسر کے میزبان ادائیگی کے صفحے (سٹرائپ، برینٹری، ایڈین) کا استعمال ڈرامائی طور پر دائرہ کار کو کم کرتا ہے۔
• SAQ A کا اطلاق زیادہ تر میزبان ادائیگی والے صفحہ کے تاجروں پر ہوتا ہے — لیکن صرف اس صورت میں جب کارڈ ہولڈر کا کوئی ڈیٹا آپ کے سرورز کو نہ چھوئے۔
• نئی v4.0 ضروریات میں تمام CDE تک رسائی کے لیے MFA، ادائیگی کے صفحات پر اسکرپٹ انٹیگریٹی کنٹرولز، اور خطرے کے ہدف کا تجزیہ شامل ہے۔
• ویب سکیمنگ (Magecart حملوں) کو ادائیگی کے صفحہ کی اسکرپٹ انوینٹری پر نئی ضرورت 6.4.3 کے ذریعے حل کیا گیا ہے۔
• سالانہ دخول ٹیسٹ اور سہ ماہی کمزوری اسکین لازمی رہیں گے۔
• عدم تعمیل کے جرمانے کارڈ برانڈز → حاصل کرنے والے بینکوں → تاجروں سے منظور کیے جاتے ہیں

---

PCI DSS فریم ورک کے بنیادی اصول

PCI DSS کو پیمنٹ کارڈ انڈسٹری سیکیورٹی اسٹینڈرڈز کونسل (PCI SSC) کے ذریعے برقرار رکھا جاتا ہے، یہ ادارہ امریکن ایکسپریس، ڈسکور، JCB، ماسٹر کارڈ، اور ویزا کے ذریعے قائم کیا گیا ہے۔ موجودہ معیار PCI DSS v4.0 ہے۔

معیار کو 6 اہداف میں 12 ضروریات میں منظم کیا گیا ہے:

تعمیل کسی ایسے ادارے پر لاگو ہوتی ہے جو کارڈ ہولڈر کے ڈیٹا کو اسٹور، پروسیس، یا منتقل کرتی ہے — یا کارڈ ہولڈر کے ڈیٹا کی سیکیورٹی کو متاثر کر سکتی ہے۔ اس میں مرچنٹس، پیمنٹ پروسیسرز، حاصل کرنے والے، جاری کنندگان، اور سروس فراہم کرنے والے شامل ہیں۔

---

مرحلہ 1 - اپنے دائرہ کار کی وضاحت کریں اور اسے کم کریں۔

کارڈ ہولڈر ڈیٹا انوائرمنٹ (سی ڈی ای) کوئی بھی ایسا نظام ہے جو کارڈ ہولڈر ڈیٹا (CHD) یا حساس تصدیقی ڈیٹا (SAD) کو اسٹور، پروسیس، یا منتقل کرتا ہے۔ دائرہ کار کو کم سے کم کرنا وہ واحد سب سے مؤثر قدم ہے جو آپ اٹھا سکتے ہیں۔

کارڈ ہولڈر ڈیٹا بمقابلہ حساس تصدیقی ڈیٹا:

ای کامرس کے لیے دائرہ کار میں کمی کی حکمت عملی:

1. میزبان ادائیگی کا صفحہ استعمال کریں: صارفین کو اپنے پیمنٹ پروسیسر کے میزبان ادائیگی والے صفحے پر بھیجیں (سٹرائپ چیک آؤٹ، برینٹری ہوسٹڈ فیلڈز، ایڈین ڈراپ ان)۔ کارڈ ہولڈر کا کوئی ڈیٹا آپ کے سرورز کو نہیں چھوتا ہے، اور آپ SAQ A کے لیے اہل ہیں - سب سے آسان خود تشخیص سوالنامہ۔

2. ٹوکنائزیشن: اجازت کے فوراً بعد کارڈ نمبروں کو پروسیسر سے تیار کردہ ٹوکنز سے بدل دیں۔ صرف ٹوکن اسٹور کریں، جو حملہ آوروں کے لیے پروسیسر کے ٹوکنائزیشن والٹ تک رسائی کے بغیر بیکار ہے۔

3. iFrame پر مبنی ادائیگی کے فارم: ادائیگی کے پروسیسر کے جاوا اسکرپٹ سے پیش کردہ فارم کو اپنے چیک آؤٹ صفحہ میں شامل کریں۔ کارڈ کا ڈیٹا براہ راست پروسیسر کے ڈومین پر ہوسٹ کردہ فارم میں داخل کیا جاتا ہے، آپ کا نہیں۔

4. نیٹ ورک کی تقسیم: CDE سسٹمز (ادائیگی پروسیسنگ سرورز، ڈیٹا بیس) کو فائر والز کا استعمال کرتے ہوئے دائرہ کار سے باہر کے نظاموں سے الگ کریں۔ مناسب طریقے سے تقسیم شدہ نیٹ ورکس آڈٹ کے دائرہ کار کو ڈرامائی طور پر کم کر دیتے ہیں۔

---

مرحلہ 2 — اپنی SAQ کی قسم کی شناخت کریں۔

سیلف اسسمنٹ سوالنامہ (SAQ) تاجروں اور سروس فراہم کنندگان کے لیے ایک توثیق کا آلہ ہے جس کے لیے سائٹ پر کسی کوالیفائیڈ سیکیورٹی اسیسسر (QSA) کی ضرورت نہیں ہے۔ SAQ کی قسم کا تعین اس بات سے ہوتا ہے کہ آپ ادائیگی کیسے قبول کرتے ہیں:

SAQ A — کارڈ کے بغیر موجود (ای کامرس) تاجروں پر لاگو ہوتا ہے جو PCI DSS کے مطابق تھرڈ پارٹی کو ادائیگی کی پروسیسنگ کو مکمل طور پر آؤٹ سورس کرتے ہیں۔ کوئی بھی الیکٹرانک کارڈ ہولڈر ڈیٹا آپ کے سسٹم یا احاطے میں محفوظ، پروسیس یا منتقل نہیں ہوتا ہے۔ آپ کا ادائیگی کا صفحہ مکمل طور پر آپ کے ادائیگی کے پروسیسر کے ذریعے پہنچایا جاتا ہے۔ تقریباً 22 ضروریات۔

SAQ A-EP — ای کامرس کے تاجروں کے لیے جو جزوی طور پر ادائیگی کی پروسیسنگ کو آؤٹ سورس کرتے ہیں لیکن پھر بھی ان کے اپنے سرور پر ہوسٹ کردہ ادائیگی کا صفحہ ہے، جو فریق ثالث کی ادائیگی کے iframe کو سرایت کرتا ہے۔ آپ کا ویب سرور بالواسطہ طور پر ادائیگی کی کارروائی کی حفاظت کو متاثر کرتا ہے۔ SAQ A سے زیادہ تقاضے نئے v4.0 کی ضرورت سے شدید متاثر 6.4.3۔

SAQ D — ایسے تاجروں کے لیے جو کسی دوسرے SAQ قسم کے معیار پر پورا نہیں اترتے، یا جو کارڈ ہولڈر کا ڈیٹا اسٹور کرتے ہیں۔ تمام 12 ضروریات کا احاطہ کرتا ہے۔ ان تاجروں کے لیے ضروری ہے جو خود ادائیگی پراسیسنگ کا بنیادی ڈھانچہ چلا رہے ہیں۔ عام طور پر ~300+ ذیلی ضروریات۔

لیول ٹائرز (ماسٹر کارڈ/ویزا اسٹینڈرڈ):

---

مرحلہ 3 — ای کامرس کے لیے PCI DSS v4.0 کلیدی تبدیلیاں

PCI DSS v4.0 نے متعدد تقاضے متعارف کرائے جو خاص طور پر ای کامرس کے تاجروں کو متاثر کرتی ہیں۔ سبھی 31 مارچ 2025 سے لازمی تھے۔

ضرورت 6.4.3 — ادائیگی کے صفحہ کے اسکرپٹ کا انتظام

یہ ضرورت براہ راست Magecart/web skimming حملوں کو نشانہ بناتی ہے — جہاں حملہ آور کارڈ ہولڈر کا ڈیٹا حقیقی وقت میں چوری کرنے کے لیے ای کامرس ادائیگی کے صفحات میں بدنیتی پر مبنی JavaScript داخل کرتے ہیں۔ 6.4.3 کے تحت، SAQ A-EP یا اس سے زیادہ استعمال کرنے والے تاجروں کو:

• ادائیگی کے صفحات پر عمل کرنے کے لیے مجاز تمام اسکرپٹس کی انوینٹری کو برقرار رکھیں
• ہر اسکرپٹ کی کاروباری یا تکنیکی ضرورت کا جواز پیش کریں۔
• ہر اسکرپٹ کی سالمیت کی تصدیق کے لیے ایک طریقہ نافذ کریں (تیسرے فریق کے اسکرپٹس کے لیے ذیلی وسائل کی سالمیت، یا مواد کی حفاظت کی پالیسی کی ہدایات)

SAQ کے لیے مکمل طور پر آؤٹ سورس ادائیگی کے صفحہ والے تاجروں کے لیے، یہ شرط آپ کے ادائیگی کے پروسیسر کے صفحات پر لاگو ہوتی ہے — انہیں آپ کی جانب سے تعمیل کا مظاہرہ کرنا چاہیے۔

ضرورت 11.6.1 — ادائیگی کے صفحات کے لیے تبدیلی اور چھیڑ چھاڑ کا پتہ لگانا

ادائیگی کے صفحات پر HTTP ہیڈر اور اسکرپٹ کے مواد میں غیر مجاز تبدیلیوں کا پتہ لگانے کے لیے تاجروں کو ایک طریقہ کار (مثلاً، مواد کی حفاظت کی پالیسی، اسکرپٹ مانیٹرنگ سروس) کو تعینات کرنا چاہیے۔ کسی بھی غیر منظور شدہ تبدیلیوں کے 7 دنوں کے اندر الرٹس تیار کرنا ضروری ہے۔

ضرورت 8.4.2 — CDE تک تمام رسائی کے لیے MFA

CDE تک رسائی والے تمام صارف اکاؤنٹس کے لیے اب کثیر عنصر کی تصدیق کی ضرورت ہے — نہ صرف دور دراز تک رسائی۔ اس میں کارپوریٹ نیٹ ورک کے اندر سے پیداواری ادائیگی کے نظام تک رسائی حاصل کرنے والے اندرونی صارفین شامل ہیں۔

ضرورت 3.3.1.1 — اجازت کے بعد SAD کو برقرار نہیں رکھا جا سکتا

اجازت کے بعد حساس تصدیقی ڈیٹا (مکمل ٹریک ڈیٹا، CVV، PIN) کو ذخیرہ کرنے پر واضح طور پر پابندی لگاتا ہے۔ یہ ہمیشہ ممنوع تھا لیکن اب اس میں خامیوں کو بند کرنے کے لئے زیادہ واضح الفاظ میں کہا گیا ہے کہ کس طرح کچھ سسٹمز نے ڈیبگ/تشخیصی آؤٹ پٹس میں SAD کو لاگ ان کیا۔

ٹارگیٹڈ رسک اینالیسس (TRA)

v4.0 ٹارگٹڈ رسک اینالیسس کا تصور متعارف کرایا ہے — اگر تاجر مساوی تحفظ کو ظاہر کرنے والے دستاویزی خطرے کا تجزیہ کرتے ہیں تو کچھ ضروریات کے لیے متبادل طریقوں کا مظاہرہ کر سکتے ہیں۔ یہ بڑے، زیادہ پیچیدہ ماحول کے لیے لچک فراہم کرتا ہے۔

---

مرحلہ 4 — نیٹ ورک سیکیورٹی آرکیٹیکچر

SAQ A سے باہر کے سسٹمز والے تاجروں کے لیے، نیٹ ورک سیکیورٹی ایک بنیادی تعمیل ڈومین ہے۔

ضرورت 1 — نیٹ ورک سیکیورٹی کنٹرولز کو انسٹال اور برقرار رکھیں:

• ناقابل اعتماد نیٹ ورکس (انٹرنیٹ) اور CDE کے درمیان ایک فائر وال لاگو کریں۔
• سی ڈی ای اور دوسرے اندرونی نیٹ ورکس (سیگمنٹیشن) کے درمیان فائر وال کو نافذ کریں۔
• کاروبار کے جواز کے ساتھ فائر وال کے تمام قواعد کو دستاویز کریں۔
• کم از کم ہر 6 ماہ بعد فائر وال کے قوانین کا جائزہ لیں۔
• تمام ٹریفک سے انکار کریں جو واضح طور پر درکار نہیں ہیں (پہلے سے طے شدہ - انکار کرنسی)
• ای کامرس کے لیے: ویب سرورز کے سامنے WAF (ویب ایپلیکیشن فائر وال) کو لاگو کریں۔

نیٹ ورک سیگمنٹیشن ٹیسٹنگ:

ایک عام غلط فہمی یہ ہے کہ نیٹ ورک کی تقسیم خود بخود گنجائش کو کم کر دیتی ہے۔ PCI SSC آپ سے یہ جانچنے کا تقاضہ کرتا ہے کہ سیگمنٹیشن موثر ہے — دخول ٹیسٹ میں سیگمنٹیشن باؤنڈری کو عبور کرنے کی کوششیں شامل ہونی چاہئیں۔ اگر ایک دخول ٹیسٹر دائرہ کار سے باہر نیٹ ورکس سے CDE سسٹم تک پہنچ سکتا ہے، تو سیگمنٹیشن موثر نہیں ہے اور وسیع تر ماحول دائرہ کار میں آتا ہے۔

ڈی ایم زیڈ فن تعمیر برائے ای کامرس:

Internet → WAF/Load Balancer → DMZ (Web Servers) → Internal Firewall → CDE (Payment Servers, DB) → Internal Network

DMZ میں ویب سرورز آپ کے اسٹور فرنٹ پر کام کرتے ہیں۔ صرف مخصوص، دستاویزی ٹریفک (HTTPS سے ادائیگی API، SQL پر مخصوص پورٹ سے مخصوص DB تک) DMZ سے CDE تک جاتی ہے۔ باقی تمام ٹریفک بلاک ہے۔

---

مرحلہ 5 — ایپلیکیشن سیکیورٹی کے تقاضے

ضرورت 6 — محفوظ نظام اور سافٹ ویئر تیار اور برقرار رکھیں:

• دائرہ کار میں تمام کسٹم اور تھرڈ پارٹی سافٹ ویئر کی انوینٹری کو برقرار رکھیں
• خطرات سے نمٹنے کے لیے ایک رسمی خطرے کے انتظام کے عمل کے حصے کے طور پر
• معروف حملوں سے ویب کا سامنا کرنے والی ایپلی کیشنز کی حفاظت کریں (OWASP ٹاپ 10)
• اہم تبدیلیوں کی پیداوار کی تعیناتی سے پہلے حفاظتی کوڈ کے جائزے یا ایپلیکیشن کی رسائی کے ٹیسٹ کروائیں۔
• پرعزم حفاظتی پیچ کے عمل کے ساتھ صرف معروف دکانداروں سے سافٹ ویئر استعمال کریں۔

ویب ایپلیکیشن فائر وال (WAF) — ضرورت 6.3.2 اور 6.4.2:

WAF تمام عوامی ویب ایپلیکیشنز کے لیے لازمی ہے، جو حملوں کو روکنے یا الرٹس پیدا کرنے اور 1 گھنٹے کے اندر جائزہ لینے کے لیے ترتیب دی گئی ہیں۔ ای کامرس کے لیے، WAF کا احاطہ کرنا چاہیے:

• ایس کیو ایل انجیکشن کی روک تھام
• کراس سائٹ اسکرپٹنگ (XSS) تحفظ
• کراس سائٹ درخواست جعل سازی (CSRF) تحفظ
• بدنیتی پر مبنی بوٹ کا پتہ لگانا
• بروٹ فورس کی روک تھام کے لیے شرح کو محدود کرنا

انحصار اور تھرڈ پارٹی سافٹ ویئر مینجمنٹ:

ای کامرس پلیٹ فارمز (WooCommerce، Magento، Shopify حسب ضرورت) پلگ انز اور ایکسٹینشنز پر بہت زیادہ انحصار کرتے ہیں۔ دائرہ کار میں ہر پلگ ان کا سیکورٹی کے لیے جائزہ لیا جانا چاہیے۔ ایک انوینٹری کو برقرار رکھیں اور اپنے پیچنگ SLA کے اندر پیچ لاگو کریں (اہم: وینڈر پیچ کی رہائی سے 7 دن)۔

---

مرحلہ 6 - رسائی کنٹرول اور تصدیق

مطالبہ 7 — سسٹم کے اجزاء اور کارڈ ہولڈر ڈیٹا تک رسائی کو محدود کریں:

• کم از کم استحقاق کی بنیاد پر رول پر مبنی رسائی کنٹرول کو نافذ کریں۔
• دستاویزی واضح گرانٹس کے ساتھ "سب سے انکار" تک پہلے سے طے شدہ تمام رسائی
• کم از کم ہر 6 ماہ بعد صارف تک رسائی کے حقوق کا جائزہ لیں۔

ضرورت 8 — صارفین کی شناخت کریں اور رسائی کی تصدیق کریں:

• CDE تک رسائی رکھنے والے ہر فرد کو ایک منفرد ID تفویض کریں۔
• پاس ورڈز کم از کم 12 حروف (v4.0 v3.2.1 میں 7 سے بڑھ کر)، پیچیدگی کے تقاضے
• زیادہ سے زیادہ 10 غلط کوششوں کے بعد اکاؤنٹس کو لاک کریں (v4.0 ڈیفالٹ، یا فی TRA)
• سی ڈی ای سیشنز کے لیے زیادہ سے زیادہ 15 منٹ کی غیرفعالیت کے بعد سیشن کا ٹائم آؤٹ
• تمام CDE رسائی کے لیے MFA درکار ہے (صرف ریموٹ سے v4.0 توسیع)
• سروس اکاؤنٹس اور سسٹم اکاؤنٹس کا نظم صارف اکاؤنٹس سے الگ ہونا چاہیے۔

---

مرحلہ 7 — خطرے کا انتظام اور جانچ

ضرورت 11 — سسٹمز اور نیٹ ورکس کی سیکیورٹی کی جانچ کریں:

سہ ماہی اندرونی کمزوری اسکین: تمام دائرہ کار کے نظام کو اسکین کریں۔ اگلے اسکین سے پہلے تمام شدید اور اہم کمزوریوں کا ازالہ کریں۔ داخلی عملہ منظور شدہ ٹولز (Nessus, Qualys, OpenVAS) کا استعمال کرتے ہوئے اسکین کر سکتا ہے۔

**ایک منظور شدہ اسکیننگ وینڈر (ASV) کے ذریعہ سہ ماہی بیرونی خطرے کے اسکین **: تمام بیرونی طور پر قابل رسائی سسٹمز کے بیرونی اسکین PCI SSC سے منظور شدہ ASV کے ذریعہ کئے جانے چاہئیں۔ اس سے پہلے کہ آپ تعمیل کی تصدیق کر سکیں اسکین کو پاس ہونا چاہیے (کوئی کھلا اعلی/اہم کمزوری نہیں)۔

سالانہ دخول کی جانچ: ایک قابل داخلی وسائل یا معروف بیرونی فرم کے ذریعے کروائی جاتی ہے۔ احاطہ کرنا ضروری ہے:

• تمام دائرہ کار کے نظام اور نیٹ ورکس
• سیگمنٹیشن کنٹرول (تصدیق کریں کہ CDE مناسب طریقے سے الگ تھلگ ہے)
• ویب کا سامنا کرنے والی ایپلی کیشنز کے لیے OWASP ٹاپ 10
• سوشل انجینئرنگ (زیادہ خطرے والے ماحول کے لیے)

تمام دخول ٹیسٹ کے نتائج کا ازالہ کریں اور تدارک کی تصدیق کے لیے تصدیقی ٹیسٹ کرائیں۔

فائل انٹیگریٹی مانیٹرنگ (ایف آئی ایم): تمام اہم سسٹم فائلوں، کنفیگریشن فائلوں، اور مواد کی فائلوں پر ایف آئی ایم کو تعینات کریں۔ کسی بھی غیر مجاز تبدیلی کے 1 گھنٹے (v4.0) کے اندر الرٹ۔

---

ای کامرس کے لیے PCI DSS تعمیل چیک لسٹ

• ادائیگی کی کارروائی کے دائرہ کار کی وضاحت اور کم کی گئی (میزبان ادائیگی کا صفحہ یا ٹوکنائزیشن جہاں ممکن ہو استعمال کیا گیا)
• ادائیگی کی قبولیت کے طریقہ کی بنیاد پر SAQ قسم کی شناخت کی گئی۔
• نیٹ ورک سیگمنٹیشن لاگو اور دستاویزی
• کارڈ ہولڈر کی ڈیٹا انوینٹری مکمل ہو گئی — SAD کہیں بھی محفوظ نہیں ہے۔
• تمام کارڈ ہولڈر ڈیٹا اسٹوریج انکرپٹڈ (AES-256 یا اس کے مساوی)
• TLS 1.2+ تمام ادائیگی کے ڈیٹا کی ترسیل کے لیے نافذ ہے۔
• ادائیگی کے صفحہ کی اسکرپٹ انوینٹری کو دستاویز کیا گیا (ضرورت 6.4.3)
• تبدیلی / چھیڑ چھاڑ کا پتہ لگانے کی ادائیگی کے صفحات پر تعینات (ضرورت 11.6.1)
• WAF کو عوام کے سامنے آنے والی تمام ویب ایپلیکیشنز کے سامنے تعینات کیا گیا ہے۔
• MFA تمام CDE رسائی کے لیے نافذ ہے (ضرورت 8.4.2)
• منفرد یوزر آئی ڈیز، مضبوط پاس ورڈز، اکاؤنٹ لاک آؤٹ کنفیگرڈ
• سہ ماہی کمزوری اسکین (اندرونی + ASV بیرونی) مکمل
• سالانہ دخول ٹیسٹ مکمل، نتائج کو درست کیا گیا۔
• فائل کی سالمیت کی نگرانی CDE سسٹمز پر تعینات ہے۔
• پچھلے 6 مہینوں میں فائر وال کے اصولوں کا جائزہ لیا گیا۔
• سی ڈی ای کو چھونے والے تمام عملے کے لیے سیکورٹی سے متعلق آگاہی کی تربیت مکمل ہو گئی۔
• واقعہ کے جواب کا منصوبہ ادائیگی کارڈ کی خلاف ورزی کے منظرناموں کا احاطہ کرتا ہے۔
• وینڈر/سروس فراہم کنندہ PCI DSS تعمیل کی تصدیق ہو گئی۔

---

اکثر پوچھے گئے سوالات

ہم اپنے اسٹور کے لیے Shopify استعمال کرتے ہیں — کیا ہمیں اب بھی PCI DSS کی تعمیل کی ضرورت ہے؟

Shopify ایک PCI DSS لیول 1 مصدقہ سروس فراہم کنندہ ہے۔ اگر آپ Shopify کی معیاری ادائیگی کی پروسیسنگ (Shopify Payments یا Shopify-hosted checkout) استعمال کرتے ہیں، تو آپ کی تعمیل کا دائرہ ڈرامائی طور پر کم ہو جاتا ہے۔ آپ کے پاس اب بھی ذمہ داریاں ہیں — بنیادی طور پر SAQ A — جو آپ کے Shopify کی خدمات کے استعمال کا احاطہ کرتی ہے۔ اگر آپ اپنے Shopify چیک آؤٹ میں حسب ضرورت JavaScript شامل کرتے ہیں یا تیسری پارٹی کی ادائیگی کی ایپس استعمال کرتے ہیں جو Shopify کے ماحول سے باہر کارڈ ڈیٹا پر کارروائی کرتی ہیں، تو دائرہ کار وسیع ہو جاتا ہے۔

PCI DSS تعمیل اور PCI DSS سرٹیفیکیشن میں کیا فرق ہے؟

تاجروں کے لیے کوئی باقاعدہ "PCI DSS سرٹیفیکیشن" نہیں ہے۔ مرچنٹس سیلف اسیسمنٹ سوالناموں کے ذریعے تعمیل کی تصدیق کرتے ہیں یا (لیول 1 مرچنٹس) ایک QSA کی طرف سے کی گئی تعمیل پر رپورٹ (RoC) کے ذریعے۔ سروس فراہم کرنے والوں کو ویزا کی گلوبل رجسٹری آف سروس پرووائیڈرز پر درج کیا جا سکتا ہے۔ اصطلاحات "تصدیق شدہ" اور "مطابق" اکثر مارکیٹ مواصلات میں ایک دوسرے کے ساتھ استعمال ہوتی ہیں، لیکن تکنیکی طور پر تاجر خود تصدیق کرتے ہیں یا QSA کی تصدیق شدہ تعمیل رکھتے ہیں۔

غیر تعمیل پر تاجروں کو کن جرمانے کا سامنا کرنا پڑتا ہے؟

جرمانے براہ راست PCI SSC سے نہیں ہوتے ہیں - یہ کارڈ برانڈز سے حاصل کرنے والے بینکوں کے ذریعے آتے ہیں۔ ماہانہ جرمانے کی حد عام طور پر $5,000–$100,000 تک ہوتی ہے جو مرچنٹ کی سطح اور عدم تعمیل کی مدت کے لحاظ سے ہوتی ہے۔ خلاف ورزی کے بعد، کارڈ برانڈز فی کارڈ جرمانہ ($50–$90 فی ویزا کارڈ، جیسا کہ ماسٹر کارڈ کے لیے)، فرانزک تفتیشی اخراجات ($20,000–$200,000+)، اور لازمی کارڈ دوبارہ جاری کرنے کے اخراجات عائد کر سکتے ہیں۔ سنگین صورتوں میں، تاجر مکمل طور پر کارڈ کی ادائیگی قبول کرنے کی صلاحیت کھو دیتے ہیں۔ دہرانے والے مجرموں یا بڑے پیمانے پر خلاف ورزی کرنے والے تاجروں کو سب سے زیادہ سزا کا سامنا کرنا پڑتا ہے۔

Megecart حملہ کیا ہے اور PCI DSS v4.0 اسے کیسے حل کرتا ہے؟

میجکارٹ سے مراد وہ حملے ہیں جہاں کارڈ ہولڈر کے ڈیٹا کو حقیقی وقت میں روکنے کے لیے ای کامرس چیک آؤٹ پیجز میں بدنیتی پر مبنی JavaScript داخل کیا جاتا ہے جب گاہک اسے ٹائپ کرتے ہیں۔ یہ حملے تھرڈ پارٹی اسکرپٹس (تجزیہ، چیٹ ویجٹ، ٹیگ مینیجر) کا استحصال کرتے ہیں جو تاجر ادائیگی کے صفحات پر شامل کرتے ہیں۔ PCI DSS v4.0 کے تقاضے 6.4.3 اور 11.6.1 براہ راست اس پر توجہ دیتے ہیں: تاجروں کو ادائیگی کے صفحات پر تمام اسکرپٹس کی انوینٹری اور ان کی سالمیت کی تصدیق کرنی چاہیے، اور ادائیگی کے صفحہ کوڈ میں غیر مجاز تبدیلیوں کا پتہ لگانے کے لیے نگرانی کو تعینات کرنا چاہیے۔

ہم بغیر ہیڈ لیس ای کامرس فن تعمیر کے لیے PCI DSS کو کیسے ہینڈل کرتے ہیں؟

ہیڈ لیس ای کامرس فرنٹ اینڈ پریزنٹیشن لیئر کو بیک اینڈ کامرس انجن سے الگ کرتا ہے۔ PCI DSS مقاصد کے لیے، اہم بات یہ ہے کہ کارڈ ہولڈر کا ڈیٹا کہاں سے آتا ہے۔ اگر آپ کا ہیڈ لیس فرنٹ اینڈ اسٹرائپ ایلیمنٹس یا اسی طرح کا iFrame پر مبنی حل استعمال کرتا ہے، تو کارڈ ڈیٹا آپ کے فرنٹ اینڈ سرورز کو چھوئے بغیر براہ راست براؤزر سے ادائیگی کے پروسیسر تک جاتا ہے — یہ SAQ A علاقہ ہے۔ اگر آپ کے بغیر ہیڈ لیس فن تعمیر میں کسٹم سرور سائیڈ ادائیگی کی پروسیسنگ شامل ہے، تو دائرہ کار نمایاں طور پر پھیلتا ہے اور آپ کو اسکوپنگ گائیڈنس کے لیے QSA کو شامل کرنا چاہیے۔

کیا ہمیں اپنے PCI DSS اسسمنٹ کے لیے QSA کی ضرورت ہے؟

صرف لیول 1 کے مرچنٹس (ویزا/ماسٹر کارڈ کے لیے 6 ملین سے زیادہ لین دین/سال) کو تعمیل کی سالانہ رپورٹ (RoC) کے لیے QSA سے منسلک کرنے کی ضرورت ہے۔ لیول 2–4 مرچنٹس SAQ کے ذریعے خود تصدیق کر سکتے ہیں۔ تاہم، بہت سے تاجر رضاکارانہ طور پر رہنمائی کے لیے QSA یا کوالیفائیڈ سیکیورٹی اسیسسر کمپنی (QSAC) کو شامل کرتے ہیں یہاں تک کہ جب ضرورت نہ ہو، خاص طور پر جب وہ اپنے دائرہ کار کے بارے میں غیر یقینی ہوں یا پیچیدہ انفراسٹرکچر ہوں۔

---

اگلے اقدامات

PCI DSS کی تعمیل آپ کے صارفین کے ادائیگی کے ڈیٹا کی حفاظت کرتی ہے، آپ کی ذمہ داری کی نمائش کو محدود کرتی ہے، اور کارڈ کی قبولیت کو برقرار رکھنے کے لیے ایک شرط ہے۔ Shopify یا حسب ضرورت پلیٹ فارمز پر ای کامرس کاروباروں کے لیے، پہلا قدم ہمیشہ دائرہ کار میں کمی کا ہوتا ہے — میزبان ادائیگی والے صفحات کے مناسب استعمال کے ذریعے SAQ A تک پہنچنا تیز ترین اور سب سے زیادہ لاگت والا راستہ ہے۔

ECOSIRE کی ای کامرس عمل درآمد ٹیم کے پاس PCI DSS کے مطابق Shopify اسٹورز اور کسٹم کامرس پلیٹ فارمز بنانے کا وسیع تجربہ ہے، جس میں CDE کے دائرہ کار کو کم سے کم کرنے کے لیے زمین سے ڈیزائن کیا گیا ہے۔

شروع کریں: ECOSIRE Shopify سروسز

ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی یا تعمیل کے مشورے پر مشتمل نہیں ہے۔ PCI DSS کی ضروریات کارڈ برانڈ اور حاصل کنندہ کے لحاظ سے تبدیل اور مختلف ہو سکتی ہیں۔ اپنے ماحول کے لیے مخصوص تعمیل رہنمائی کے لیے ایک QSA سے منسلک ہوں۔