مصادقة PCI DSS 4.0: مفاتيح المرور (Passkeys)

يشهد المشهد الرقمي تطورًا مستمرًا، ومعه يزداد تطور التهديدات السيبرانية وتواترها. لا تزال بيانات بطاقات الدفع هدفًا رئيسيًا للجهات الخبيثة، مما يجعل وجود معايير أمان قوية أمرًا ضروريًا لأي منظمة تتعامل معها. لطالما كان معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) هو المقياس لحماية بيانات حاملي البطاقات. ويمثل أحدث إصدار له، PCI DSS 4.0، خطوة مهمة إلى الأمام، حيث يعالج التهديدات الحديثة بشكل مباشر من خلال تحسينات جوهرية، من بينها تعزيز متطلبات المصادقة بشكل كبير.

بينما تتعامل المنظمات مع هذه المتطلبات الجديدة، تقدم التقنيات الناشئة حلولًا واعدة. تأتي مفاتيح المرور (Passkeys)، المبنية على معايير تحالف FIDO (Fast Identity Online) وبروتوكول WebAuthn، في طليعة هذه الموجة الجديدة من المصادقة. فهي توفر نهجًا بدون كلمة مرور ومقاومًا للتصيد الاحتيالي، وتحسن كيفية تأمين الوصول إلى البيانات الحساسة. يحلل هذا المقال التغييرات الحاسمة التي أحدثها معيار PCI DSS 4.0، خاصة فيما يتعلق بالمصادقة الآمنة، ويستكشف إمكانيات مصادقة مفاتيح المرور، ويقدم خارطة طريق للاستفادة من هذه التقنية لتحقيق الامتثال والحفاظ عليه.

يقودنا هذا الاستكشاف إلى سؤالين مهمين للمنظمات التي تبحر في هذا المجال الجديد:

1. المصادقة: مع رفع معيار PCI DSS 4.0 لمستوى متطلبات المصادقة، كيف يمكن للمنظمات تلبية هذه المتطلبات الجديدة الصارمة بفعالية دون إثقال كاهل المستخدمين أو فرق الأمان؟
2. مفاتيح المرور والامتثال لمعيار PCI: هل يمكن للتقنيات الناشئة مثل مفاتيح المرور (Passkeys) تلبية ضوابط المصادقة في معيار PCI DSS 4.0، وتعزيز الأمان، وتحسين الكفاءة التشغيلية؟

يهدف هذا المقال إلى تقديم إجابات، وتوجيه المهنيين التقنيين نحو مستقبل أكثر أمانًا وامتثالًا.

لتقدير دور مفاتيح المرور في مشهد الامتثال الحالي، من الضروري فهم إطار عمل PCI DSS والتطور الكبير الذي شهده الإصدار 4.0.

معيار أمان بيانات PCI هو معيار عالمي لأمن المعلومات مصمم لحماية بيانات الدفع. ينطبق على جميع الكيانات التي تخزن أو تعالج أو تنقل بيانات حاملي البطاقات، ويشمل التجار، والمعالجين، والبنوك المحصلة، والبنوك المصدرة، ومقدمي الخدمات. تم تطوير المعيار من قبل العلامات التجارية الكبرى لبطاقات الدفع (American Express، وDiscover Financial Services، وJCB International، وMasterCard، وVisa) التي شكلت مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC) في 7 سبتمبر 2006، لإدارة تطوره المستمر. يتكون معيار PCI DSS من مجموعة شاملة من المتطلبات التقنية والتشغيلية، والتي تشكل خط أساس لحماية بيانات الدفع طوال دورة حياتها.

يعمل مجلس PCI SSC كمنتدى عالمي، يجمع أصحاب المصلحة في صناعة المدفوعات لتطوير ودفع تبني معايير أمان البيانات والموارد اللازمة للمدفوعات الآمنة في جميع أنحاء العالم. بالإضافة إلى PCI DSS، يدير المجلس مجموعة من المعايير التي تتناول جوانب مختلفة من أمان الدفع. تتمثل مهمته في تعزيز أمان بيانات حسابات الدفع العالمية من خلال تطوير المعايير والخدمات الداعمة التي تدفع التعليم والوعي والتنفيذ الفعال من قبل أصحاب المصلحة.

يمثل معيار PCI DSS 4.0، الذي صدر رسميًا في مارس 2022، مع مراجعة طفيفة لاحقة (v4.0.1) لمعالجة ملاحظات أصحاب المصلحة، أهم تحديث للمعيار منذ سنوات. كان الدافع الأساسي لهذا التطور هو الحاجة إلى معالجة مشهد التهديدات السيبرانية المتزايد التعقيد والبيئة التكنولوجية المتغيرة داخل صناعة المدفوعات.

تتمثل الأهداف الأساسية لمعيار PCI DSS 4.0 في:

• تلبية الاحتياجات الأمنية المتطورة لصناعة الدفع: ضمان بقاء المعيار فعالًا ضد التهديدات الحالية والناشئة، مثل التصيد الاحتيالي القائم على الذكاء الاصطناعي.
• تعزيز الأمان كعملية مستمرة: تحويل التركيز من الامتثال في نقطة زمنية محددة إلى نهج أمني مستمر.
• تحسين طرق وإجراءات التحقق: تحسين دقة واتساق تقييمات الامتثال.
• إضافة المرونة ودعم منهجيات إضافية: منح المنظمات مزيدًا من الحرية في كيفية تحقيق أهداف ونتائج الأمان.

يقدم معيار PCI DSS 4.0 العديد من التغييرات الأساسية التي تؤثر على كيفية تعامل المنظمات مع الامتثال:

التركيز على النتائج الأمنية مقابل الضوابط الإلزامية

أحد التغييرات المحورية هو التحول من الضوابط الإلزامية بشكل أساسي إلى التركيز على النتائج الأمنية. يوضح المعيار نفسه هذه المرونة:

يعني هذا التحول أنه بينما قدم PCI DSS 3.2.1 تعليمات مفصلة حول ما يجب القيام به، يسمح الإصدار 4.0 للمنظمات بمرونة أكبر في كيفية تلبية المتطلبات. يمكن للشركات تنفيذ الضوابط الأنسب لبيئتها، بشرط أن تتمكن من إثبات أن هذه الضوابط تحقق الأهداف الأمنية المعلنة. هذا الأمر وثيق الصلة بشكل خاص بتبني التقنيات المبتكرة مثل مفاتيح المرور، والتي قد لا تتناسب تمامًا مع أوصاف الضوابط القديمة والأكثر صرامة. ومع ذلك، تأتي هذه المرونة مع توقع أن تجري المنظمات تقييمات شاملة للمخاطر وتبرر بوضوح منهجيات التحكم التي اختارتها.

الأمن المستمر (العمل كالمعتاد)

مبدأ رئيسي آخر في PCI DSS 4.0 هو تعزيز الأمان كعملية مستمرة، أو ما يعرف بـ "العمل كالمعتاد" (BAU). يفصل المعيار هذا في القسم 5:

هذا التركيز على عمليات "العمل كالمعتاد" (BAU) يعني أنه يجب على المنظمات دمج الأمان في أنشطتها الروتينية. يتعلق الأمر بتعزيز ثقافة لا يكون فيها الأمان فكرة لاحقة أو سباقًا سنويًا، بل جزءًا لا يتجزأ من العمليات، مما يضمن المراقبة المستمرة والتقييمات المنتظمة والمواقف الأمنية التكيفية لضمان الحماية المستدامة لبيانات حاملي البطاقات. بالنسبة لتطبيقات مفاتيح المرور، يُترجم هذا إلى اليقظة المستمرة في مراقبة فعاليتها، وأنماط تبني المستخدمين، وأي تهديدات ناشئة، مما يجعل الأمان جهدًا مستدامًا بدلاً من ممارسة امتثال في نقطة زمنية محددة.

التنفيذ المخصص وتحليل المخاطر المستهدف

ميزة جديدة مهمة في PCI DSS 4.0 هي الخيار الرسمي للتنفيذ المخصص، والذي يرتبط ارتباطًا جوهريًا بتقييم المخاطر الصارم. يفرض المعيار هذا الارتباط في المتطلب 12.3.2:

يسمح هذا الخيار الرسمي للمنظمات بتحقيق الأهداف الأمنية باستخدام تقنيات جديدة وضوابط مبتكرة مصممة خصيصًا لبيئاتها الفريدة، بدلاً من الالتزام الصارم بالأساليب الإلزامية. ومع ذلك، كما يؤكد الاقتباس، تعتمد هذه المرونة على إجراء تحليل مخاطر مستهدف لكل ضابط مخصص. يجب توثيق هذا التحليل والموافقة عليه من قبل الإدارة العليا ومراجعته سنويًا. يقوم مقيِّم طرف ثالث (مُقيِّم أمني مؤهل أو QSA) بعد ذلك بالتحقق من صحة هذه الضوابط المخصصة من خلال مراجعة النهج الموثق للمنظمة، بما في ذلك تحليل المخاطر، وتطوير إجراءات اختبار محددة. هذا المسار هو عامل تمكين رئيسي لحلول مثل مفاتيح المرور، مما يسمح للمنظمات بالاستفادة من ميزاتها الأمنية المتقدمة بفعالية، بشرط أن تتمكن من إثبات من خلال تقييم المخاطر أن نهجها يلبي الأهداف الأمنية. تعكس القدرة على تخصيص التنفيذ، مدعومة بتحليل قوي للمخاطر، فهمًا بأن التطور السريع لكل من التهديدات والتقنيات الدفاعية يجعل الضوابط الصارمة والإلزامية أقل قدرة على التكيف بمرور الوقت.

الجداول الزمنية للانتقال

ظل معيار PCI DSS 3.2.1 نشطًا إلى جانب الإصدار 4.0 حتى 31 مارس 2024، وبعد ذلك تم إيقافه. كانت المتطلبات الجديدة التي تم تقديمها في PCI DSS 4.0 تعتبر أفضل الممارسات حتى 31 مارس 2025. بعد هذا التاريخ، تصبح هذه المتطلبات الجديدة إلزامية لجميع التقييمات. أتاح هذا النهج التدريجي للمنظمات نافذة لفهم التغييرات والتخطيط لها وتنفيذها.

تشير هذه التغييرات مجتمعة إلى نهج أكثر نضجًا وقابلية للتكيف وتركيزًا على المخاطر لأمن بطاقات الدفع، مما يمهد الطريق لتبني آليات مصادقة أقوى وأكثر حداثة.

إن عدم الامتثال لمتطلبات PCI DSS ليس مجرد سهو؛ بل يحمل عواقب وخيمة ومتعددة الأوجه يمكن أن تؤثر بشدة على الاستقرار المالي للمنظمة ووضعها القانوني وسمعتها.

العاقبة المباشرة لعدم الامتثال هي فرض عقوبات مالية. عادة ما تفرض هذه الغرامات من قبل البنوك المحصلة ومعالجي الدفع، وليس مباشرة من قبل مجلس PCI SSC. يمكن أن تكون العقوبات كبيرة، وتتراوح من 5000 دولار إلى 100000 دولار شهريًا، اعتمادًا على حجم المعاملات التي تتم معالجتها (والذي يحدد مستوى التاجر، على سبيل المثال، المستوى 1 لأكثر من 6 ملايين معاملة سنويًا مقابل المستوى 4 لأقل من 20000 معاملة تجارة إلكترونية) ومدة وشدة عدم الامتثال. على سبيل المثال، من المرجح أن يواجه تاجر من المستوى 1 غير ممتثل لعدة أشهر عقوبات في الطرف الأعلى من هذا النطاق، بينما قد تتكبد الشركات الأصغر من المستوى 4 غرامات أقرب إلى 5000 دولار شهريًا.

من الضروري أن نفهم أن هذه الغرامات يمكن أن تكون عبئًا شهريًا متكررًا. هذا الضغط المالي المستمر، الذي قد يتفاقم بسبب زيادة رسوم المعاملات التي قد يفرضها معالجو الدفع على الشركات غير الممتثلة، يعني أن التكلفة التراكمية لـ_عدم الامتثال_ تتجاوز بكثير الاستثمار المطلوب لـ_تحقيق الامتثال والحفاظ عليه_. هذا يعيد صياغة الامتثال ليس كمجرد مركز تكلفة، ولكن كاستثمار حاسم لتخفيف المخاطر. يصبح الاستثمار في تدابير أمنية قوية، بما في ذلك المصادقة القوية مثل مفاتيح المرور، قرارًا حكيمًا من الناحية المالية لتجنب هذه التكاليف الأكبر، التي غالبًا ما تكون غير متوقعة، وربما تكون معوقة.

إلى جانب الغرامات المباشرة، يمكن أن يؤدي عدم الامتثال إلى تحديات قانونية خطيرة، خاصة إذا أدى إلى خرق للبيانات. قد يبدأ العملاء الذين تم اختراق بياناتهم في رفع دعاوى قضائية، وقد تتخذ العلامات التجارية للبطاقات أيضًا إجراءات قانونية. يمكن أن تجعل حالة عدم الامتثال من الأسهل بكثير على المدعين إثبات الإهمال من جانب المنظمة، مما قد يؤدي إلى تسويات وأحكام مكلفة.

ربما تكون إحدى أكثر العواقب ضررًا، وإن كانت أقل قابلية للقياس الكمي، هي الإضرار بسمعة المنظمة. يمكن أن يؤدي فشل واحد في الامتثال، خاصة الذي يؤدي إلى خرق للبيانات، إلى تآكل ثقة العملاء بشدة. بمجرد فقدان هذه الثقة، يصعب استعادتها، مما يؤدي غالبًا إلى فقدان العملاء، وخسارة الأعمال للمنافسين، وإلحاق ضرر طويل الأمد بصورة العلامة التجارية. يمكن أن تؤدي الانتهاكات المتكررة أو الشديدة إلى إلغاء امتيازات معالجة الدفع للمنظمة من قبل العلامات التجارية للبطاقات أو البنوك المحصلة، مما يقطع فعليًا قدرتها على قبول مدفوعات البطاقات. وهذا يؤكد على أهمية النظر إلى الامتثال ليس فقط كمتطلب تقني ولكن كعنصر أساسي في ثقة العلامة التجارية واستمرارية الأعمال.

إذا ساهم عدم الامتثال في خرق للبيانات، فمن المرجح أن تكون المنظمة مسؤولة عن تكاليف تعويض كبيرة بالإضافة إلى الغرامات والرسوم القانونية. يمكن أن تشمل هذه التكاليف تزويد العملاء المتأثرين بخدمات مثل مراقبة الائتمان المجانية، وتأمين ضد سرقة الهوية، والسداد مقابل الرسوم الاحتيالية أو رسوم الخدمة. علاوة على ذلك، يمكن أن تتصاعد تكلفة إعادة إصدار بطاقات الدفع المخترقة، والتي تقدر بـ 3 إلى 5 دولارات لكل بطاقة، بسرعة إلى ملايين الدولارات للانتهاكات التي تؤثر على عدد كبير من حاملي البطاقات. على العكس من ذلك، إذا تعرضت منظمة لخرق أثناء امتثالها الكامل لمعيار PCI DSS، فقد يتم تخفيض الغرامات المرتبطة أو حتى إلغاؤها، حيث يوضح الامتثال العناية الواجبة والالتزام بالأمان، بدلاً من الإهمال.

تسلط مجموعة النتائج السلبية المحتملة الضوء على أن الامتثال لمعيار PCI DSS هو جانب لا غنى عنه في العمليات التجارية الحديثة لأي كيان يشارك في نظام بطاقات الدفع.

لطالما كان المتطلب 8 من PCI DSS حجر الزاوية في المعيار. مع الإصدار 4.0، تم تعزيز شروطه بشكل كبير، مما يعكس الدور الحاسم للمصادقة القوية في منع الوصول غير المصرح به إلى بيانات حاملي البطاقات الحساسة والأنظمة التي تعالجها.

الهدف الأساسي للمتطلب 8 هو ضمان إمكانية تحديد هوية كل فرد يصل إلى مكونات النظام داخل بيئة بيانات حاملي البطاقات (CDE) أو متصل بها بشكل فريد ومصادقته بقوة. هذا مهم للحفاظ على سلامة وأمن بيانات حاملي البطاقات عن طريق منع الوصول غير المصرح به وضمان إمكانية تتبع جميع الإجراءات إلى مستخدم محدد ومعروف، وبالتالي إرساء المساءلة الفردية.

أحد التطورات الرئيسية في PCI DSS 4.0 هو توسيع وتعزيز متطلبات المصادقة متعددة العوامل (MFA):

• MFA شامل للوصول إلى CDE: على عكس PCI DSS 3.2.1، الذي فرض بشكل أساسي MFA للوصول الإداري وجميع الوصول عن بعد إلى CDE، يتطلب الإصدار 4.0 MFA لـ_جميع_ الوصول إلى CDE. وهذا يشمل الوصول من قبل المسؤولين والمستخدمين العامين وموردي الطرف الثالث، بغض النظر عما إذا كان الوصول ينشأ من داخل الشبكة أو خارجها. يؤكد هذا التوسع الكبير على اعتراف مجلس PCI SSC بـ MFA كضابط أمني أساسي.
  يحدد المعيار هذه المتطلبات:

  مقتطفات من المتطلب 8

  "8.4.1 يتم تنفيذ MFA لجميع الوصول غير الطرفي إلى CDE للموظفين ذوي الوصول الإداري." 

  "8.4.3 يتم تنفيذ MFA لجميع الوصول عن بعد الذي ينشأ من خارج شبكة الكيان والذي يمكنه الوصول إلى CDE أو التأثير عليه." 

• متطلبات العوامل: يجب أن تستخدم تطبيقات MFA عاملين على الأقل من أنواع عوامل المصادقة الثلاثة المعترف بها:

  • شيء تعرفه (مثل كلمة المرور، PIN)
  • شيء تملكه (مثل جهاز رمز، بطاقة ذكية، أو جهاز يحمل مفتاح مرور)
  • شيء أنت عليه (مثل البيانات البيومترية كبصمة الإصبع أو التعرف على الوجه). بشكل حاسم، يجب أن تكون هذه العوامل مستقلة، مما يعني أن اختراق عامل واحد لا يضر بالعوامل الأخرى.

• سلامة نظام MFA: يجب تصميم أنظمة MFA لمقاومة هجمات إعادة التشغيل (حيث يعترض المهاجم بيانات المصادقة ويعيد استخدامها) ويجب أن تمنح الوصول فقط بعد التحقق بنجاح من جميع عوامل المصادقة المطلوبة.

• عدم وجود تجاوز غير مصرح به: يجب ألا يكون MFA قابلاً للتجاوز من قبل أي مستخدم، بما في ذلك المسؤولون، ما لم يتم منح استثناء محدد وموثق من قبل الإدارة على أساس كل حالة على حدة لفترة زمنية محدودة.

• المصادقة المقاومة للتصيد كاستثناء: يقدم PCI DSS 4.0 أيضًا إرشادات إضافية بشأن عوامل المصادقة المقاومة للتصيد الاحتيالي، والتي يمكن في بعض الحالات أن تلبي القصد من MFA.

  مقتطفات من المتطلب 8

  "لا ينطبق هذا المتطلب على ... حسابات المستخدمين التي تتم مصادقتها فقط بعوامل مصادقة مقاومة للتصيد الاحتيالي." — ملاحظات التطبيق على 8.4.2 

  "المصادقة المقاومة للتصيد الاحتيالي ... تشمل أمثلة المصادقة المقاومة للتصيد الاحتيالي FIDO2." — الملحق G، تعريف مسرد المصطلحات للمصادقة المقاومة للتصيد الاحتيالي 

  سيتم استكشاف تداعيات المصادقة المقاومة للتصيد الاحتيالي، كما أبرزتها هذه المقتطفات، بشكل أكبر في القسم التالي (4.3).

يضع PCI DSS 4.0 تركيزًا ملحوظًا على استخدام طرق المصادقة المقاومة للتصيد الاحتيالي. هذا استجابة مباشرة لانتشار ونجاح هجمات التصيد الاحتيالي في اختراق بيانات الاعتماد التقليدية.

• المصادقة المقاومة للتصيد كبديل/مكمل لـ MFA:

  • أحد التطورات الحاسمة في إطار المتطلب 8.4.2 هو أنه يمكن استخدام طرق المصادقة المقاومة للتصيد الاحتيالي بدلاً من MFA التقليدية لجميع الوصول غير الإداري إلى CDE الذي ينشأ من داخل شبكة الكيان. هذا حكم مهم لتقنيات مثل مفاتيح المرور، التي هي بطبيعتها مقاومة للتصيد الاحتيالي. يشير إلى أن مجلس PCI SSC يرى أن هذه الطرق المتقدمة توفر مستوى من الضمان يمكن مقارنته أو حتى يتفوق على بعض مجموعات MFA التقليدية لحالة الاستخدام المحددة هذه.

• **ومع ذلك، بالنسبة للوصول الإداري إلى CDE (المتطلب 8.4.1) ولجميع الوصول عن بعد الذي ينشأ من خارج شبكة الكيان إلى CDE (المتطلب 8.4.3)، بينما يوصى بشدة بالمصادقة المقاومة للتصيد الاحتيالي، يجب دمجها مع عامل مصادقة واحد آخر على الأقل لتلبية متطلبات MFA. يستلزم هذا التمييز نهجًا دقيقًا لتنفيذ مفاتيح المرور، ربما استراتيجية متدرجة حيث تكون مفاتيح المرور وحدها كافية للمستخدمين الداخليين العامين، ولكن يتم استخدام مفاتيح المرور مع عامل آخر لسيناريوهات الوصول عالية المخاطر.

• الاعتراف بـ FIDO ورؤى الخبراء: يذكر المعيار على وجه التحديد المصادقة القائمة على FIDO (التي تدعم مفاتيح المرور) كطريقة مفضلة لتحقيق MFA، ويرجع ذلك إلى حد كبير إلى خصائصها القوية المقاومة للتصيد الاحتيالي. تم مشاركة المزيد من الأفكار حول هذا الموضوع في حلقة بودكاست "Coffee with the Council" التابعة لمجلس PCI SSC، "Passwords Versus Passkeys: A Discussion with the FIDO Alliance" (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).

  في البودكاست، أكد أندرو جاميسون، نائب الرئيس والمهندس المعماري المتميز للمعايير في PCI SSC، على قيمة هذه التقنيات:

  "أود أن أكرر أنني أعتقد أن المصادقة المقاومة للتصيد الاحتيالي هي تقنية رائعة. إنها شيء يمكن أن يحل الكثير من المشكلات التي نواجهها مع كلمات المرور. وأود أن أقترح بشدة عندما ينظر الناس إلى التقنيات التي سيطبقونها للمصادقة، أن يلقوا نظرة على المصادقة المقاومة للتصيد الاحتيالي وما يمكن أن تجلبه، ولكن أيضًا فهم أنها مختلفة قليلاً عما اعتاد عليه الناس والبحث في كيفية دمج ذلك بشكل صحيح وآمن في بنية المصادقة الشاملة الخاصة بهم."

  سلطت ميغان شاماس، كبيرة مسؤولي التسويق في تحالف FIDO (انظر قيادة FIDO)، الضوء على التحول الأساسي الذي تمثله هذه التقنيات والحاجة إلى تكييف السياسات:

  "إنها مختلفة بشكل أساسي عما اعتدنا عليه مع كلمات المرور بالإضافة إلى عامل، عامل، عامل، وقد قمنا بتطوير التكنولوجيا والآن يحتاج الناس أيضًا إلى تطوير متطلباتهم وسياساتهم جنبًا إلى جنب مع ذلك. وهذا سيساعد المنظمات حقًا على السير في المسار الصحيح للتخلص من المصادقة القابلة للتصيد."

  يؤكد هذا المنظور المشترك على تحرك الصناعة نحو طرق مصادقة أكثر أمانًا وحداثة.

بينما يدفع PCI DSS 4.0 بقوة نحو MFA والطرق المقاومة للتصيد الاحتيالي، فإنه يشدد أيضًا متطلبات كلمات المرور وعبارات المرور إذا كانت لا تزال قيد الاستخدام:

• زيادة الطول والتعقيد: تمت زيادة الحد الأدنى لطول كلمة المرور من سبعة أحرف في الإصدار 3.2.1 إلى 12 حرفًا في الإصدار 4.0 (أو 8 أحرف على الأقل إذا كان النظام لا يدعم 12). يجب أن تتضمن كلمات المرور أيضًا مزيجًا من الأحرف الرقمية والأبجدية.
• تكرار تغيير كلمة المرور: يجب تغيير كلمات المرور كل 90 يومًا على الأقل إذا كانت هي العامل الوحيد المستخدم للمصادقة (أي لا يتم تطبيق MFA على هذا الحساب لهذا الوصول). يمكن التنازل عن هذا المتطلب إذا تم تنفيذ MFA للوصول، أو إذا كانت المنظمة تستخدم مصادقة مستمرة قائمة على المخاطر تقيم الوصول ديناميكيًا في الوقت الفعلي.

إن التعزيز الكبير لقواعد كلمة المرور، إلى جانب تفويضات MFA الموسعة والتأييد الواضح للنهج المقاومة للتصيد الاحتيالي، يشير إلى اتجاه استراتيجي من مجلس PCI SSC: تقليل الاعتماد بشكل منهجي على كلمات المرور كآلية مصادقة أساسية أو وحيدة. لطالما تم الاعتراف بكلمات المرور كحلقة ضعيفة في الأمان، ويسعى PCI DSS 4.0 بنشاط إلى التخفيف من مخاطرها الكامنة من خلال جعل استخدامها المستقل أكثر صرامة وأقل جاذبية، مع تعزيز بدائل أقوى وأكثر حداثة في نفس الوقت.

لتوضيح هذه التحولات بوضوح، يقارن الجدول التالي جوانب المصادقة الرئيسية بين PCI DSS 3.2.1 و 4.0:

الجدول 1: الاختلافات الرئيسية في المصادقة: PCI DSS 3.2.1 مقابل 4.0

هذا التركيز المتزايد على المصادقة في PCI DSS 4.0 يحدد اتجاهًا واضحًا للمنظمات لإعادة تقييم استراتيجياتها الحالية واستكشاف حلول أكثر مرونة مثل مفاتيح المرور.

استنادًا إلى معايير تحالف FIDO، توفر مفاتيح المرور بديلاً أكثر أمانًا وسهولة في الاستخدام بشكل أساسي لكلمات المرور التقليدية وحتى بعض أشكال MFA القديمة.

مفتاح المرور هو بيان اعتماد رقمي يسمح للمستخدمين بتسجيل الدخول إلى مواقع الويب والتطبيقات دون الحاجة إلى إدخال كلمة مرور. وهي مبنية على معايير FIDO2، وهي مجموعة من المواصفات المفتوحة التي طورها تحالف FIDO. WebAuthn هو معيار من اتحاد شبكة الويب العالمية (W3C) يمكّن المتصفحات وتطبيقات الويب من إجراء مصادقة قوية ومقاومة للتصيد الاحتيالي باستخدام أزواج مفاتيح التشفير. بشكل أساسي، مفاتيح المرور هي تطبيق لمعايير FIDO2 هذه، مع الاستفادة من WebAuthn للتفاعلات في بيئات الويب. إنها تستبدل كلمات المرور التقليدية بمفاتيح تشفير فريدة مخزنة بشكل آمن على جهاز المستخدم، مثل هاتف ذكي أو كمبيوتر أو مفتاح أمان مادي.

يعتمد أمان مفاتيح المرور على التشفير بالمفتاح العام. عندما يقوم المستخدم بتسجيل مفتاح مرور مع خدمة (الـ "الطرف المعتمد" أو RP)، يتم إنشاء زوج مفاتيح تشفير فريد:

• مفتاح خاص، يتم تخزينه بشكل آمن على جهاز المستخدم. قد يوجد هذا المفتاح داخل وحدة أمان الأجهزة (على سبيل المثال، TPM أو Secure Enclave). لا يغادر المفتاح الخاص هذا التخزين الآمن أبدًا (إلا في حالة مفاتيح المرور المتزامنة، كما سيتم تفصيله لاحقًا).
• مفتاح عام، يتم إرساله وتخزينه بواسطة الطرف المعتمد (موقع الويب أو خدمة التطبيق) وربطه بحساب المستخدم.

أثناء المصادقة، تكون العملية كما يلي:

1. يرسل الطرف المعتمد "تحديًا" فريدًا (قطعة عشوائية من البيانات) إلى جهاز المستخدم.
2. لفتح واستخدام المفتاح الخاص، يقوم المستخدم بإجراء تحقق محلي على جهازه. يتضمن هذا عادةً استخدام معرف بيومتري (مثل بصمة الإصبع أو مسح الوجه)، أو إدخال PIN للجهاز، أو رسم نمط). الأهم من ذلك، أن هذه البيانات البيومترية أو PIN لا تغادر جهاز المستخدم أبدًا ولا يتم إرسالها إلى الطرف المعتمد.
3. بمجرد فتحه، يقوم المفتاح الخاص على الجهاز بتوقيع التحدي المستلم من الطرف المعتمد.
4. يتم إرسال هذا التحدي الموقع (الـ "تأكيد") مرة أخرى إلى الطرف المعتمد.
5. يستخدم الطرف المعتمد المفتاح العام المخزن المقابل لهذا المستخدم للتحقق من التوقيع على التأكيد. إذا كان التوقيع صالحًا، تنجح المصادقة.

هناك نوعان أساسيان من مفاتيح المرور:

• مفاتيح المرور المتزامنة: يمكن مزامنة مفاتيح المرور هذه عبر أجهزة المستخدم الموثوقة باستخدام مديري بيانات الاعتماد المستندة إلى السحابة مثل iCloud Keychain من Apple أو Google Password Manager. يوفر هذا الراحة، مما يسمح باستخدام مفتاح مرور تم إنشاؤه على جهاز واحد على جهاز آخر يملكه نفس المستخدم داخل نفس النظام البيئي.
• مفاتيح المرور المرتبطة بالجهاز: ترتبط مفاتيح المرور هذه بمصادق مادي معين، مثل مفتاح أمان USB (على سبيل المثال، YubiKey) أو تطبيق على هاتف معين. لا يغادر مفتاح المرور هذا الجهاز المحدد.

يوفر هذا الأساس التشفيري وعملية التحقق من المستخدم المحلية مزايا أمنية متأصلة تعالج بشكل مباشر العديد من نواقل الهجوم الشائعة.

يقدم تصميم مفاتيح المرور العديد من المزايا الأمنية على طرق المصادقة التقليدية:

• مقاومة التصيد الاحتيالي: هذه ميزة أساسية. ترتبط مفاتيح المرور بشكل مشفر بأصل موقع الويب المحدد (معرف الطرف المعتمد أو RP ID) الذي تم إنشاؤها من أجله. إذا تم خداع المستخدم لزيارة موقع تصيد احتيالي مزيف يحاكي موقعًا شرعيًا، سيتعرف المتصفح أو نظام التشغيل على أن النطاق الحالي لا يتطابق مع RP ID المرتبط بمفتاح المرور. نتيجة لذلك، لن يعمل مفتاح المرور ببساطة، وستفشل المصادقة. هذا ينقل عبء تحديد محاولات التصيد الاحتيالي من المستخدم البشري الذي غالبًا ما يكون عرضة للخطأ إلى بروتوكولات الأمان القوية للتكنولوجيا نفسها.
• عدم وجود أسرار مشتركة: مع مفاتيح المرور، لا يوجد "سر مشترك" مثل كلمة المرور المعروفة من قبل كل من المستخدم والخادم، والتي يمكن سرقتها. المفتاح الخاص، وهو المكون الحاسم للمصادقة، لا يغادر جهاز المستخدم الآمن أبدًا. المفتاح العام، الذي يخزنه الخادم، مرتبط رياضيًا بالمفتاح الخاص ولكن لا يمكن استخدامه لاشتقاق المفتاح الخاص أو لانتحال شخصية المستخدم. هذا يعني أنه حتى لو تم اختراق خادم الطرف المعتمد وسرقة المفاتيح العامة، فإنها عديمة الفائدة للمهاجمين بدون المفاتيح الخاصة المقابلة.
• الحماية ضد حشو بيانات الاعتماد وهجمات إعادة التشغيل: تصبح هجمات حشو بيانات الاعتماد، حيث يستخدم المهاجمون قوائم بأسماء المستخدمين وكلمات المرور المسروقة لمحاولة الوصول إلى حسابات مختلفة، غير فعالة لأنه لا توجد كلمات مرور لسرقتها وإعادة استخدامها. علاوة على ذلك، تتضمن كل مصادقة بمفتاح مرور آلية تحدي واستجابة فريدة. يكون التوقيع الذي تم إنشاؤه بواسطة المفتاح الخاص خاصًا بالتحدي المستلم لجلسة تسجيل الدخول المحددة هذه، مما يجعل من المستحيل على المهاجم اعتراض تأكيد المصادقة وإعادة تشغيله لاحقًا للحصول على وصول غير مصرح به.
• تقليل كبير في مخاطر الاستيلاء على الحساب (ATO): من خلال تحييد التصيد الاحتيالي بشكل فعال، والقضاء على الأسرار المشتركة، ومنع هجمات حشو بيانات الاعتماد وإعادة التشغيل، تقلل مفاتيح المرور بشكل كبير من نواقل الهجوم الأساسية المستخدمة للاستيلاء على الحساب. نظرًا لأنه لا يمكن للمهاجمين الحصول بسهولة على بيانات اعتماد مصادقة المستخدم أو إساءة استخدامها، فإن احتمالية نجاح ATO تنخفض بشكل كبير.

هذا التحول الأساسي من المصادقة القائمة على المعرفة (ما يعرفه المستخدم، مثل كلمة المرور) إلى مزيج من المصادقة القائمة على الحيازة (ما يملكه المستخدم - جهازه مع المفتاح الآمن) والمصادقة القائمة على السمة المتأصلة أو المعرفة المحلية (ما هو المستخدم عبر القياسات الحيوية، أو ما يعرفه محليًا عبر PIN الجهاز) يكسر بشكل أساسي سلاسل الهجوم التي تعتمد على اختراق الأسرار المشتركة القابلة للاستخدام عن بعد. على عكس العديد من التدابير الأمنية التي تضيف احتكاكًا، غالبًا ما تحسن مفاتيح المرور تجربة المستخدم من خلال تقديم عمليات تسجيل دخول أسرع وأبسط دون الحاجة إلى تذكر كلمات مرور معقدة، وهي فائدة مزدوجة يمكن أن تدفع التبني وتعزز وضع الأمان العام.

تتوافق ميزات الأمان القوية المتأصلة في مفاتيح المرور بشكل ملحوظ مع ضوابط المصادقة المعززة التي يفرضها PCI DSS 4.0، لا سيما تلك الموضحة في المتطلب 8. لا تلبي مفاتيح المرور هذه المتطلبات فحسب، بل غالبًا ما تتجاوز الأمان الذي توفره الطرق التقليدية.

تلبي مفاتيح المرور بطبيعتها المبادئ الأساسية للمصادقة متعددة العوامل كما حددها PCI DSS 4.0:

• طبيعة متعددة العوامل: يجمع حدث مصادقة مفتاح المرور عادةً بين "شيء تملكه" (الجهاز المادي الذي يحتوي على المفتاح الخاص، مثل هاتف ذكي أو مفتاح أمان مادي) مع إما "شيء أنت عليه" (قياس بيومتري مثل بصمة الإصبع أو مسح الوجه يستخدم لفتح مفتاح المرور على الجهاز) أو "شيء تعرفه" (PIN أو نمط الجهاز). هذه العوامل مستقلة؛ فاختراق PIN الجهاز، على سبيل المثال، لا يضر بطبيعته بالمفتاح التشفيري إذا ظل الجهاز نفسه آمنًا.
• مقاومة التصيد الاحتيالي: كما نوقش باستفاضة، فإن مفاتيح المرور مقاومة للتصيد الاحتيالي بطبيعتها بسبب طبيعتها التشفيرية وارتباطها بالأصل. لا يتم كشف المفتاح الخاص أبدًا للطرف المعتمد أو نقله عبر الشبكة، ولن يعمل مفتاح المرور إلا على النطاق الشرعي الذي تم تسجيله من أجله. يتوافق هذا بشكل مباشر مع تركيز PCI DSS 4.0 القوي على التخفيف من تهديدات التصيد الاحتيالي.
• مقاومة إعادة التشغيل: تتضمن كل مصادقة بمفتاح مرور تحديًا تشفيريًا فريدًا من الخادم، والذي يتم توقيعه بعد ذلك بواسطة المفتاح الخاص. يكون التوقيع الناتج صالحًا فقط لهذا التحدي والجلسة المحددين، مما يجعله مقاومًا لهجمات إعادة التشغيل. هذا يفي بالمتطلب 8.5، الذي يفرض على أنظمة MFA منع مثل هذه الهجمات.

مقارنة بكلمات المرور التقليدية، تقدم مفاتيح المرور نموذج أمان متفوقًا إلى حد كبير. كلمات المرور عرضة للعديد من الهجمات: التصيد الاحتيالي، والهندسة الاجتماعية، وحشو بيانات الاعتماد بسبب إعادة استخدام كلمة المرور، وهجمات القوة الغاشمة، والسرقة من قواعد البيانات المخترقة. تقضي مفاتيح المرور على هذه الثغرات عن طريق إزالة السر المشترك (كلمة المرور) من المعادلة تمامًا. تعتمد المصادقة على إثبات تشفيري لحيازة مفتاح خاص، والذي هو نفسه محمي بأمان الجهاز المحلي، بدلاً من الاعتماد على سر يمكن سرقته أو تخمينه بسهولة.

أقر مجلس معايير أمان PCI بإمكانيات تقنية مفاتيح المرور. توفر الأفكار من بودكاست PCI SSC "Coffee with the Council" الذي تضمن مناقشة مع تحالف FIDO وضوحًا بشأن موقفهم:

• بالنسبة للوصول غير الإداري إلى بيئة بيانات حاملي البطاقات (CDE) من داخل شبكة الكيان (المتطلب 8.4.2)، يشير مجلس PCI SSC إلى أنه يمكن استخدام طرق المصادقة المقاومة للتصيد الاحتيالي مثل مفاتيح المرور بدلاً من MFA التقليدية. هذا اعتراف كبير بقوة مفاتيح المرور.
• بالنسبة للوصول الإداري إلى CDE (المتطلب 8.4.1) ولأي وصول عن بعد إلى الشبكة (المتطلب 8.4.3)، بينما يوصى بمفاتيح المرور (كمصادقة مقاومة للتصيد الاحتيالي)، يجب استخدامها بالاقتران مع عامل مصادقة آخر لتلبية متطلبات MFA. يشير هذا إلى نهج قائم على المخاطر حيث تتطلب سيناريوهات الوصول ذات الامتيازات الأعلى أو المخاطر الأعلى طبقة إضافية.
• يعمل مجلس PCI SSC بنشاط على تطوير إرشادات، مثل الأسئلة الشائعة، لمساعدة المنظمات على فهم كيفية تنفيذ مفاتيح المرور بطريقة ممتثلة ويعترف بأن مفاتيح المرور تمثل تحولًا أساسيًا عن التفكير التقليدي القائم على كلمة المرور.
• علاوة على ذلك، تشير وثائق PCI DSS 4.0 صراحة إلى المصادقة القائمة على FIDO كطريقة مفضلة، وإن لم تكن إلزامية، لتنفيذ MFA، مما يؤكد توافقها مع أهداف المعيار.

يسمح هذا الموقف للمنظمات بنشر مفاتيح المرور بشكل استراتيجي. بالنسبة للقاعدة العريضة من المستخدمين غير الإداريين الذين يصلون إلى CDE داخليًا، يمكن أن يلبي تسجيل الدخول السلس بمفتاح المرور متطلبات الامتثال. بالنسبة للمسؤولين والمستخدمين عن بعد، توفر مفاتيح المرور أساسًا قويًا ومقاومًا للتصيد الاحتيالي لحل MFA.

بينما توفر مفاتيح المرور ترقية أمنية كبيرة، سيقوم مقيمو الأمان المؤهلون (QSAs) في PCI DSS بفحص تنفيذها، خاصة لسيناريوهات الوصول عالية المخاطر مثل الوصول الإداري إلى CDE (المتطلب 8.4.1)، لضمان تلبية مبادئ المصادقة متعددة العوامل الحقيقية. تشمل الاعتبارات الرئيسية نوع مفتاح المرور، واستقلالية عوامل المصادقة، واستخدام التصديق (attestation).

كما ناقشنا بالفعل، تأتي مفاتيح المرور في شكلين رئيسيين:

• مفاتيح المرور المتزامنة: تتم مزامنتها عبر أجهزة المستخدم الموثوقة عبر الخدمات السحابية مثل Apple iCloud Keychain أو Google Password Manager. إنها توفر الراحة حيث يمكن استخدام مفتاح مرور تم إنشاؤه على جهاز واحد على جهاز آخر.
• مفاتيح المرور المرتبطة بالجهاز: ترتبط هذه بمصادق مادي معين، مثل مفتاح أمان USB (على سبيل المثال، YubiKey) أو جهاز آمن لهاتف معين. لا يغادر المفتاح الخاص هذا الجهاز المحدد.

يفرض PCI DSS أن تكون عوامل MFA مستقلة، مما يعني أن اختراق عامل واحد لا يضر بالآخرين. يجمع مفتاح المرور عادةً بين "شيء تملكه" (الجهاز الذي يحتوي على المفتاح الخاص) و "شيء تعرفه/أنت عليه" (PIN الجهاز المحلي أو القياس البيومتري لفتح المفتاح).

مع مفاتيح المرور المتزامنة، على الرغم من أنها آمنة للغاية ضد العديد من الهجمات، قد يثير بعض QSAs أسئلة بشأن الاستقلالية المطلقة لعامل "الحيازة" للوصول الإداري (المتطلب 8.4.1). القلق هو أنه إذا تم اختراق حساب المستخدم السحابي (مثل Apple ID، حساب Google) الذي يزامن مفاتيح المرور، فقد يتم استنساخ المفتاح الخاص إلى جهاز يتحكم فيه المهاجم. قد يدفع هذا بعض المقيمين إلى اعتبار مفتاح المرور المتزامن، في سياقات عالية المخاطر، على أنه قد لا يفي بالتفسير الصارم لعاملين مستقلين تمامًا إذا لم تكن آلية المزامنة نفسها مؤمنة بقوة باستخدام MFA القوي الخاص بها. تعترف إرشادات NIST، على سبيل المثال، بمفاتيح المرور المتزامنة على أنها متوافقة مع AAL2، بينما يمكن لمفاتيح المرور المرتبطة بالجهاز تلبية AAL3، والتي غالبًا ما تتضمن مفاتيح غير قابلة للتصدير.

• فهم علامات مصادق WebAuthn: أثناء مراسم WebAuthn (التي تدعم مفاتيح المرور)، تبلغ المصادقات عن علامات معينة. اثنتان مهمتان هما:
  • uv=1 (تم التحقق من المستخدم): تشير هذه العلامة إلى أن المستخدم تحقق بنجاح من وجوده للمصادق محليًا، عادةً باستخدام PIN الجهاز أو القياس البيومتري. يعمل هذا التحقق كأحد عوامل المصادقة - "شيء تعرفه" (PIN) أو "شيء أنت عليه" (بيومتري).
  • up=1 (المستخدم موجود): تؤكد هذه العلامة أن المستخدم كان موجودًا وتفاعل مع المصادق أثناء المراسم (على سبيل المثال، عن طريق لمس مفتاح أمان). على الرغم من أهميتها لإثبات نية المستخدم ومنع بعض الهجمات عن بعد، لا يعتبر وجود المستخدم نفسه بشكل عام عامل مصادقة منفصل ومستقل لتلبية متطلبات MFA متعددة العوامل. إنها ميزة أمنية مهمة ولكنها لا تحسب عادةً كعامل ثانٍ بمفردها.
• دور مفاتيح المرور المرتبطة بالجهاز ومفاتيح الأمان المادية: بالنسبة للوصول الإداري (المتطلب 8.4.1) وسيناريوهات الضمان العالي الأخرى، توفر مفاتيح المرور المرتبطة بالجهاز المخزنة على مفاتيح الأمان المادية حجة أقوى لاستقلالية العوامل. نظرًا لأن المفتاح الخاص مصمم بحيث لا يغادر رمز الأجهزة أبدًا، فإن عامل "شيء تملكه" محمي بشكل أقوى ضد الاستنساخ عبر الهجمات القائمة على البرامج أو اختراق الحساب السحابي. هذا يجعلها خيارًا مفضلاً للعديد من المنظمات التي تتطلع إلى تلبية توقعات QSA الصارمة لـ MFA الإداري.

التصديق (Attestation) هو ميزة في WebAuthn حيث يوفر المصادق معلومات يمكن التحقق منها عن نفسه (على سبيل المثال، طرازه، طرازه، حالة شهادته، ما إذا كان مدعومًا بالأجهزة) إلى الطرف المعتمد (خادم FIDO الخاص بك) أثناء عملية تسجيل مفتاح المرور.

• لماذا يهم بالنسبة لـ PCI DSS: يمكن أن يوفر التصديق (Attestation) أدلة حاسمة لـ QSAs على أن المصادقات المستخدمة تفي بسياسات أمان المنظمة وأنها حقًا ما تدعي أنها (على سبيل المثال، مفتاح أمان مادي معتمد). يمكن أن يكون هذا مهمًا بشكل خاص عند إظهار قوة واستقلالية عوامل المصادقة.
• توصية: للوصول عالي الأمان مثل الوصول الإداري إلى CDE، يوصى بشدة باستخدام مفاتيح المرور على مفاتيح الأمان المادية التي تدعم التصديق القوي. يسمح هذا للمنظمة بفرض سياسات حول أنواع المصادقات المقبولة وتقديم دليل أقوى على الامتثال.

في الممارسة العملية، لتجنب احتكاك التدقيق للمتطلب 8.4.1، تختار العديد من المؤسسات إصدار مفاتيح مرور مرتبطة بالجهاز على مفاتيح أمان مادية توفر ضمانات قوية لحماية المفاتيح وربما التصديق.

لتوضيح كيفية سد مفاتيح المرور للفجوة وتلبية الضوابط المفصلة في المتطلب 8، يربط الجدول التالي ميزات مفاتيح المرور وخصائصها المحددة بالبنود الفرعية ذات الصلة، مما يشير إلى مدى ملاءمتها للسيناريوهات المختلفة.

يوضح هذا الربط أن مفاتيح المرور ليست مجرد ملاءمة نظرية ولكنها حل عملي وقوي لتلبية متطلبات المصادقة المتقدمة في PCI DSS 4.0.

إن مشهد أمان الدفع معقد ومتطور. يعكس PCI DSS 4.0 هذا الواقع، حيث يضع معيارًا أعلى لضوابط الأمان، لا سيما في مجال المصادقة. بينما تسعى المنظمات جاهدة لتلبية هذه المتطلبات الجديدة والأكثر صرامة، تظهر مفاتيح المرور - المبنية على معايير FIDO/WebAuthn - ليس فقط كحل ممتثل، ولكن كتقنية تحويلية تستعد لإعادة تعريف الوصول الآمن.

خلال هذا التحليل، وجه سؤالان مركزيان استكشافنا:

1. مع رفع معيار PCI DSS 4.0 لمستوى متطلبات المصادقة، كيف يمكن للمنظمات تلبية هذه المتطلبات الجديدة الصارمة بفعالية دون إثقال كاهل المستخدمين أو فرق الأمان؟ تشير الأدلة بقوة إلى أن المنظمات يمكنها تلبية متطلبات المصادقة في PCI DSS 4.0 بفعالية من خلال التبني الاستراتيجي لحلول المصادقة متعددة العوامل (MFA) المقاومة للتصيد الاحتيالي مثل مفاتيح المرور. توازن هذه التقنيات بطبيعتها بين الأمان القوي والمتحقق منه تشفيريًا وتجارب المستخدم المحسنة بشكل كبير، والتي غالبًا ما تكون أسرع. علاوة على ذلك، فإن سماح PCI DSS 4.0 بـ "التطبيقات المخصصة" يمكّن المنظمات من تصميم مثل هذه الحلول المتقدمة لبيئاتها وملفات تعريف المخاطر الخاصة بها، متجاوزة نهج الحل الواحد الذي يناسب الجميع. تسهل إرشادات مجلس PCI SSC الخاصة هذا الأمر، مما يسمح بامتثال مبسط لشريحة كبيرة من المستخدمين مع الاحتفاظ بنهج أكثر تدرجًا للوصول الإداري وعن بعد عالي المخاطر.
2. هل يمكن للتقنيات الناشئة مثل مفاتيح المرور ليس فقط تلبية ضوابط المصادقة القوية في PCI DSS 4.0 ولكن أيضًا تقديم فوائد ملموسة تتجاوز مجرد الامتثال، مثل تعزيز الأمان وتحسين الكفاءة التشغيلية؟ الإجابة هي نعم واضحة. مفاتيح المرور قادرة بشكل واضح على تلبية ضوابط المصادقة الأساسية ضمن المتطلب 8 من PCI DSS 4.0، بما في ذلك معايير MFA، ومقاومة التصيد الاحتيالي، ومقاومة إعادة التشغيل. ومع ذلك، تمتد قيمتها إلى ما هو أبعد من مجرد الامتثال. إن التصميم المتأصل لمفاتيح المرور - القضاء على الأسرار المشتركة وربط المصادقة بأصول محددة - يقلل بشكل كبير من مخاطر هجمات التصيد الاحتيالي الناجحة والاستيلاء على الحسابات، مما يؤدي إلى تخفيضات ملموسة في الخسائر المتعلقة بالاحتيال. من الناحية التشغيلية، يُترجم التحول بعيدًا عن كلمات المرور إلى عدد أقل من تذاكر مكتب المساعدة المتعلقة بكلمات المرور، مما يوفر التكاليف ويحرر موارد تكنولوجيا المعلومات. يستفيد المستخدمون من تجربة تسجيل دخول أبسط وأسرع وأقل إحباطًا، مما يمكن أن يحسن الإنتاجية ورضا العملاء. علاوة على ذلك، حيث يتم استبدال كلمات المرور بالكامل بمفاتيح المرور لمسارات وصول محددة، يتم التخلص من عبء التدقيق للضوابط الخاصة بكلمة المرور، مما قد يبسط جهود الامتثال في تلك المجالات.

إن الرحلة إلى نظام دفع آمن حقًا مستمرة. يضع PCI DSS 4.0 معالم جديدة، وتوفر مصادقة مفاتيح المرور وسيلة قوية للوصول إليها. يتم تشجيع المنظمات التي تعالج أو تخزن أو تنقل بيانات حاملي البطاقات بشدة على تقييم وبدء التخطيط لتبني مفاتيح المرور. لا يتعلق الأمر بمجرد الالتزام بأحدث إصدار من معيار؛ بل يتعلق بتبني نهج أكثر أمانًا وكفاءة وتركيزًا على المستخدم للمصادقة يتماشى مع مستقبل الهوية الرقمية. من خلال التنفيذ الاستراتيجي لمفاتيح المرور، يمكن للشركات تعزيز دفاعاتها ضد التهديدات المتطورة، وحماية بيانات الدفع القيمة، وبناء ثقة أكبر مع عملائها في عالم رقمي متزايد.