دوره «اکوسیستم پرداخت PCI» در نسخه 2024-8 از پلتفرم Pluralsight، یک راهنمای جامع و به‌روز برای درک استانداردهای امنیتی صنعت پرداخت است. این دوره با محوریت مقررات PCI DSS (Payment Card Industry Data Security Standard) طراحی شده و تمامی جنبه‌های فنی، عملیاتی و مدیریتی مرتبط با حفظ امنیت داده‌های کارت‌های پرداخت را پوشش می‌دهد.

در این دوره، مدرس با تجربه در حوزه امنیت مالی، شما را از مفاهیم پایه تا پیچیدگی‌های اجرایی، پیکربندی ابزارها، ممیزی داخلی و هماهنگی با مراجع قانونی همراهی می‌کند.

• آشنایی کامل با مفاهیم و روش‌های روز دنیا در امنیت پرداخت
• ارائه مثال‌های عملی و شبیه‌سازی فعالیت‌های ممیزی
• به‌روزرسانی دقیق با تغییرات نسخه 2024-8 استاندارد PCI DSS
• بهینه‌سازی فرآیندهای داخلی سازمان با رعایت استانداردهای بین‌المللی
• دریافت مدرک معتبر پس از اتمام دوره
• دسترسی نامحدود به ویدیوها و منابع تکمیلی در پلتفرم Pluralsight

برای شروع این دوره، نیاز است که دانشجو با مفاهیم پایه شبکه و امنیت اطلاعات آشنا باشد. به‌طور کلی موارد زیر توصیه می‌شوند:

• آشنایی با پروتکل‌های TCP/IP و شبکه‌های کامپیوتری
• دانش مقدماتی درباره رمزنگاری و الگوریتم‌های متقارن و نامتقارن
• تجربه کار با سیستم‌عامل‌های سرور (Windows Server یا لینوکس)
• آشنایی اولیه با مفاهیم امنیت اطلاعات (Confidentiality, Integrity, Availability)

در صورت نداشتن یکی از پیش‌نیازها، پیشنهاد می‌شود ابتدا دوره‌های مقدماتی مرتبط با شبکه و امنیت در Pluralsight را مطالعه کنید.

• مبانی و تاریخچه استاندارد PCI DSS و سازوکارهای توسعه آن
• ساختار کلی ۱۲ الزام اصلی PCI DSS و نحوه پیاده‌سازی هر بند
• پیاده‌سازی شبکه امن و طراحی محیط کنترل‌شده برای تجهیزات پرداخت
• تکنیک‌های رمزنگاری مناسب برای حفاظت از داده‌های کارتی
• اجرای اسکن‌های آسیب‌پذیری و ابزارهای تست نفوذ در فضای پرداخت
• مراحل عملیات ممیزی داخلی و مستندسازی فرایندها
• مدیریت رخدادهای امنیتی و برنامه‌های پاسخ به حادثه (Incident Response)
• همکاری با مراجع قانونی و تنظیم گزارش‌های منطبق با الزامات PCI

• مقدمه‌ای بر اکوسیستم پرداخت و PCI DSS
• فاز اول: ساختار شبکه و پارتیشن‌بندی محیط پرداخت
• فاز دوم: احراز هویت و کنترل دسترسی کاربران
• فاز سوم: رمزنگاری داده‌ها در هنگام انتقال و ذخیره‌سازی
• فاز چهارم: مدیریت آسیب‌پذیری و بروزرسانی نرم‌افزارها
• فاز پنجم: نظارت و رکوردبرداری از تراکنش‌ها
• فاز ششم: تست نفوذ و بررسی کنترل‌های امنیتی
• اجرای موفق ممیزی PCI و اخذ گواهی‌نامه

در طول دوره، چندین شبیه‌سازی عملی ارائه می‌شود که از مهم‌ترین آن‌ها می‌توان به موارد زیر اشاره کرد:

• راه‌اندازی یک VLAN ایزوله برای سرویس پرداخت و اعمال سیاست‌های فایروال
• پیاده‌سازی رمزنگاری مبتنی بر TLS/SSL برای محافظت از مرکز داده تا مرورگر مشتری
• شبیه‌سازی نفوذ به شبکه پرداخت با ابزارهایی نظیر Metasploit و تحلیل نقاط ضعف
• ایجاد گزارش ممیزی با استفاده از ابزار nmap و نرم‌افزارهای SIEM
• تمرین تدوین سند «سیاست مدیریت کلید» بر اساس استاندارد PCI

در پایان این دوره، لازم است به چند نکته مهم توجه کنید:

• پیوستگی: امنیت پرداخت یک پروژه یک‌باره نیست و نیاز به نگهداری و بازنگری مداوم دارد.
• مستندسازی دقیق: هر تغییر و اقدام امنیتی بررسی و ثبت شود تا در ممیزی‌ها قابل اثبات باشد.
• هماهنگی تیم‌ها: ارتباط بین تیم‌های توسعه، عملیات و امنیت باید شفاف و مستمر باشد.
• به‌روزرسانی مستمر: استانداردها و تهدیدات تغییر می‌کنند؛ بنابراین برنامه آموزشی و عملیاتی خود را به‌روز نگه دارید.

با گذراندن این دوره و به‌کارگیری تجربیات عملی مطرح شده، شما قادر خواهید بود ضمن رعایت کامل الزامات PCI DSS، زیرساخت پرداخت سازمان خود را به‌صورت ایمن و استاندارد راه‌اندازی و مدیریت کنید.