الامتثال لأنظمة الدفع: اللوائح الرئيسية وأفضل الممارسات

كل شركة تتعامل بالأموال تواجه مشكلة في الامتثال. سواءً كانت معاملات بطاقات الائتمان، أو عمليات الدفع الإلكتروني، أو مدفوعات العملات الرقمية، فالقواعد سارية، والعقوبات حقيقية، وتجاهلها نادراً ما يمر مرور الكرام.

إنّ صعوبة الامتثال لأنظمة الدفع لا تكمن في معرفة وجودها، بل في فهم اللوائح التي تنطبق على نشاطك التجاري تحديداً، وكيفية تفاعلها مع بعضها، وما عليك فعله فعلياً. هذا ما يتناوله هذا الدليل.

ما هو الامتثال لأنظمة الدفع ولماذا هو مهم؟

اسأل خمسة من مشغلي أنظمة الدفع عن معنى "الامتثال لأنظمة الدفع"، وستحصل على الأرجح على خمس إجابات مختلفة. عمليًا، يشمل هذا المصطلح مجموعة كاملة من القواعد التي تحكم كيفية جمع الشركات لبيانات الدفع وتخزينها ونقلها ومعالجتها. وُضعت هذه القواعد لأنه عندما تتعطل أنظمة الدفع - سواءً بسبب الاحتيال أو غسيل الأموال أو تسريب البيانات - ينتشر الضرر بسرعة وعلى نطاق واسع.

تشمل الشركات الخاضعة لهذه الالتزامات جميع من يتعاملون مع الأموال رقميًا، من تجار التجزئة عبر الإنترنت، ومنصات البرمجيات كخدمة (SaaS)، والأسواق الإلكترونية، وشركات التكنولوجيا المالية، وتجار العملات الرقمية. ولا توجد استثناءات تتعلق بحجم الشركة، إذ تواجه الشركات الناشئة التي تضم عشرة موظفين نفس المتطلبات الأساسية التي تواجهها الشركات الكبيرة.

أرقام توضح حجم المخاطر: تشير التوقعات إلى أن خسائر الاحتيال في المدفوعات والتجارة الإلكترونية ستصل إلى 343 مليار دولار أمريكي بين عامي 2023 و2027 . وقد كشف تقرير فيريزون لأمن المدفوعات لعام 2023 أن 64% من الشركات لا تزال غير ملتزمة تمامًا بمعايير PCI DSS. ويمكن لاختراق بيانات واحد أن يؤدي إلى دعاوى قضائية، وعمليات تدقيق قسرية، وعقوبات من شبكات البطاقات، وهي إجراءات قد تستغرق سنوات لحلها.

الالتزام باللوائح يضمن استمرار الوصول إلى شبكة الدفع. أما فقدان هذا الوصول - نتيجةً لمخالفة أو اختراق - فقد يؤدي إلى إغلاق هذا الباب نهائياً.

من الجهة المسؤولة عن تنظيم الامتثال لأنظمة الدفع على مستوى العالم؟

لا توجد جهة واحدة مسؤولة عن الامتثال لأنظمة الدفع على مستوى العالم. بل تقوم مجموعة من الهيئات بوضع المعايير وإنفاذ القواعد عبر مختلف الولايات القضائية، وينتهي الأمر بمعظم الشركات بالخضوع لأكثر من جهة.

على سبيل المثال، يتعامل تاجر مقيم في الاتحاد الأوروبي ويقبل بطاقات أمريكية من عملاء دوليين مع معايير PCI DSS و GDPR، وربما توجيهات FinCEN في آن واحد. إدارة هذا التداخل هي جوهر الامتثال لأنظمة الدفع والامتثال التنظيمي عندما تتجاوز أعمالك الحدود.

شرح لوائح الامتثال الرئيسية للدفع

تحدد خمسة لوائح الجزء الأكبر مما يجب على معظم الشركات القيام به. تستهدف كل لائحة مجالاً مختلفاً من المخاطر، وتتضمن هيكلاً خاصاً بالعقوبات.

1. معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS ) ينطبق على أي جهة تقوم بتخزين أو معالجة أو نقل بيانات حاملي البطاقات. ويحدد هذا المعيار 12 متطلباً فنياً وتشغيلياً. وتتراوح غرامات عدم الامتثال بين 5000 و100000 دولار شهرياً، وذلك بحسب خطورة المخالفة.
2. PSD2 - يُنظّم توجيه خدمات الدفع الثاني الصادر عن الاتحاد الأوروبي مزودي خدمات الدفع في جميع أنحاء المنطقة الاقتصادية الأوروبية. ويتمثل الشرط الرئيسي في المصادقة القوية للعملاء (SCA) للمعاملات الإلكترونية. وقد تصل الغرامات إلى 5 ملايين يورو أو 3% من الإيرادات السنوية العالمية.
3. مكافحة غسل الأموال/اعرف عميلك — تتطلب لوائح مكافحة غسل الأموال من الشركات التحقق من هويات عملائها (اعرف عميلك)، ومراقبة المعاملات بحثًا عن أي نشاط مشبوه، وتقديم تقارير عن الأنشطة المشبوهة. وتستند هذه القواعد إلى قوانين وطنية مبنية على توصيات مجموعة العمل المالي (FATF).
4. اللائحة العامة لحماية البيانات (GDPR) / قانون خصوصية المستهلك في كاليفورنيا (CCPA) — تحدد اللائحة العامة لحماية البيانات في الاتحاد الأوروبي وقانون خصوصية المستهلك في كاليفورنيا قواعد خصوصية البيانات في المدفوعات، وتنظم كيفية جمع البيانات الشخصية ومعلومات الدفع وتخزينها ومعالجتها. تصل غرامات اللائحة العامة لحماية البيانات إلى 20 مليون يورو أو 4% من إجمالي الإيرادات السنوية العالمية. وقد أكدت غرامة شركة ميتا البالغة 405 ملايين يورو في عام 2022 أن الجهات التنظيمية ستطبق هذه القوانين على نطاق واسع.
5. قواعد قانون السرية المصرفية/شبكة مكافحة الجرائم المالية (FinCEN) - ينص قانون السرية المصرفية الأمريكي على إلزام المؤسسات المالية وشركات تحويل الأموال بالحفاظ على برامج مكافحة غسل الأموال، والإبلاغ عن المعاملات النقدية التي تتجاوز 10,000 دولار أمريكي، وتقديم تقارير الأنشطة المشبوهة (SARs). وقد وسّعت شبكة مكافحة الجرائم المالية (FinCEN) نطاق هذه الالتزامات لتشمل شركات العملات المشفرة العاملة في الولايات المتحدة.

معيار أمان بيانات صناعة بطاقات الدفع PCI DSS 4.0: أساس أمن بيانات الدفع

معظم الشركات الإلكترونية تأثرت بمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) قبل أي تنظيم آخر. تم الانتهاء من الإصدار 4.0 في عام 2022 وبدأ تطبيقه بالكامل اعتبارًا من أبريل 2025، مما أدى إلى تغييرات جوهرية يحتاج التجار ومقدمو خدمات الدفع إلى معرفتها.

يعتمد مستوى الامتثال على حجم معاملات البطاقات السنوية:

• المستوى 1 : أكثر من 6 ملايين معاملة/سنة - تدقيق سنوي في الموقع من قبل مقيّم أمني مؤهل (QSA)
• المستوى 2 : من 1 إلى 6 ملايين معاملة/سنة - استبيان التقييم الذاتي السنوي بالإضافة إلى عمليات مسح الشبكة ربع السنوية
• المستوى 3 : من 20,000 إلى مليون معاملة تجارة إلكترونية سنويًا - استبيان تقييم ذاتي بالإضافة إلى عمليات مسح ربع سنوية
• المستوى 4 : أقل من 20,000 معاملة تجارة إلكترونية سنويًا - توصية SAQ

ما الذي تغير في الإصدار 4.0 مقارنةً بالإصدار 3.2.1؟

• نهج مُخصّص : بات بإمكان الشركات الآن تطبيق ضوابط بديلة تُلبّي الغرض من المتطلبات، بدلاً من اتباع المواصفات الفنية الإلزامية بحذافيرها.
• المصادقة متعددة العوامل الإلزامية : أصبحت المصادقة متعددة العوامل مطلوبة الآن لجميع عمليات الوصول إلى بيئة بيانات حامل البطاقة، وليس فقط الجلسات عن بُعد.
• التدريب على التصيد الاحتيالي والهندسة الاجتماعية : يُعد التدريب التوعوي الموجه شرطًا رسميًا، وليس مجرد توصية.
• كلمات مرور أقوى : 12 حرفًا كحد أدنى (بدلاً من 8)، مع تغيير تلقائي كل 90 يومًا للحسابات ذات الصلاحيات العالية

إن تكلفة تجاهل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) باهظة. فعندما تعرضت شركة هارتلاند لأنظمة الدفع لاختراق أمني عام 2008، تجاوزت خسائرها الإجمالية 200 مليون دولار. وانخفض سعر سهمها بنسبة 50% في غضون أيام، ثم خسرت 77% من قيمتها قبل أن تتعافى. وعادةً لا تنجو الشركات الصغيرة من مثل هذه الخسائر.

مكافحة غسل الأموال ومعرفة العميل: الكشف عن الجرائم المالية من المصدر

يعني الامتثال لقوانين مكافحة غسل الأموال بناء أنظمة تكشف الجرائم المالية قبل أن تنتقل عبر منصتك. وتُعدّ عملية "اعرف عميلك" (KYC) - وهي طبقة التحقق من الهوية - الأساس الذي يجعل هذه المراقبة ممكنة في المقام الأول.

ما يتطلبه الامتثال لقوانين مكافحة غسل الأموال فعلياً:

• مراقبة المعاملات : أنظمة آلية ترصد الأنماط غير العادية - التحويلات الكبيرة، والحركات السريعة للأموال، والهيكلة (تقسيم المعاملات للبقاء ضمن عتبات الإبلاغ).
• تقديم تقرير عن النشاط المشبوه : عند ظهور أي نشاط مشبوه، يجب تقديم تقرير عن النشاط المشبوه إلى السلطة المختصة خلال فترات زمنية محددة.
• فحص العقوبات : يتم التحقق من كل عميل وطرف مقابل في قوائم عقوبات مكتب مراقبة الأصول الأجنبية (OFAC) والأمم المتحدة والاتحاد الأوروبي في الوقت الفعلي
• العناية الواجبة بالعملاء (CDD) : مراجعة مستمرة لملف تعريف المخاطر، وليست مجرد فحص لمرة واحدة عند التسجيل.
• العناية الواجبة المعززة (EDD) : تدقيق أعمق للعملاء ذوي المخاطر العالية - الأشخاص ذوو النفوذ السياسي (PEPs) وأي شخص من ولاية قضائية عالية المخاطر

تتضمن عملية "اعرف عميلك" (KYC) عند انضمام العملاء عادةً التحقق من المستندات (الهوية الحكومية، إثبات العنوان) بالإضافة إلى التحقق من هوية العميل. أما حلول "اعرف عميلك" الإلكترونية (eKYC) فتنجز هذه العملية في ثوانٍ باستخدام الذكاء الاصطناعي؛ وقد أصبح هذا هو المعيار لأي عملية انضمام عملاء على نطاق واسع.

تُضيف قاعدة السفر الصادرة عن مجموعة العمل المالي (FATF) طبقة خاصة بالعملات المشفرة: إذ يتعين على مزودي خدمات الأصول الافتراضية جمع ونقل معلومات المرسل والمستلم في التحويلات التي تتجاوز 1000 دولار أمريكي. ويختلف الحد الأدنى المحدد قليلاً باختلاف الولاية القضائية، ولكن هذا الالتزام ينطبق سواء كان التحويل بعملة بيتكوين أو عملات مستقرة أو أي أصل رقمي آخر.

متطلبات توجيه خدمات الدفع (PSD2) والمصادقة القوية للعملاء (SCA) والخدمات المصرفية المفتوحة

أعاد توجيه خدمات الدفع PSD2 تشكيل عملية المصادقة لمقدمي خدمات الدفع في جميع أنحاء الاتحاد الأوروبي. وأصبح مبدأه الأساسي، وهو المصادقة القوية للعملاء، المعيار الآن لأي خدمة دفع تعمل في المنطقة الاقتصادية الأوروبية.

يتطلب نظام المصادقة القوية للعملاء (SCA) المصادقة باستخدام عاملين مستقلين على الأقل من بين ثلاثة عوامل:

• شيء تعرفه : كلمة المرور، رقم التعريف الشخصي، سؤال الأمان
• شيء تملكه : هاتف محمول، رمز مميز مادي، بطاقة ذكية
• شيء من هويتك : بصمة الإصبع، التعرف على الوجه، نمط الصوت

يُعدّ نظام 3D Secure 2.0 المعيار التقني الرئيسي لتطبيق المصادقة القوية للعملاء (SCA) على المعاملات التي لا تتطلب وجود البطاقة. فهو ينقل إشارات المخاطر بين التاجر وشبكة البطاقات والبنك المُصدر، مما يسمح بإجراء المعاملات منخفضة المخاطر بسلاسة.

توجد استثناءات قانون المصادقة القوية للعملاء (SCA) للحد من الاحتكاك غير الضروري:

يفرض توجيه خدمات الدفع PSD2 أيضاً مبدأ الخدمات المصرفية المفتوحة. ويتعين على البنوك منح مزودي الخدمات المرخصين من الأطراف الثالثة إمكانية الوصول إلى بيانات حسابات العملاء عبر واجهات برمجة التطبيقات (APIs)، وذلك بموافقة العميل. ويُعدّ الالتزام بقواعد الوصول هذه شرطاً أساسياً للحصول على الترخيص، وليس اختيارياً.

الامتثال لأنظمة الدفع في مجال العملات المشفرة والأصول الرقمية

معظم أدلة الامتثال لأنظمة الدفع تتوقف عند مدفوعات البطاقات والتحويلات البنكية. هذه ثغرة حقيقية. يتحمل تجار العملات المشفرة وبوابات الدفع وشركات الأصول الرقمية العبء الكامل للوائح مكافحة غسل الأموال ومعرفة العميل، بالإضافة إلى طبقة متزايدة من القواعد الخاصة بالعملات المشفرة.

تُعامل شركات تقديم خدمات الأصول الافتراضية (VASPs) - منصات تداول العملات الرقمية، والمحافظ الرقمية، وبوابات الدفع - كمؤسسات مالية لأغراض مكافحة غسل الأموال بموجب توجيهات مجموعة العمل المالي (FATF). وهذا يعني عمليًا ما يلي:

• الالتزام الكامل بإجراءات اعرف عميلك (KYC) عند التسجيل، ومراقبة المعاملات بشكل مستمر، وتقديم تقارير الأنشطة المشبوهة (SAR).
• قاعدة السفر الصادرة عن مجموعة العمل المالي (FATF) : تتطلب التحويلات التي تزيد قيمتها عن 1000 دولار أمريكي اسم المرسل ورقم حساب المنشئ وتفاصيل المستلم ليتم نقلها مع المعاملة.
• التسجيل لدى شبكة مكافحة الجرائم المالية (FinCEN) كشركة خدمات مالية للشركات الأمريكية العاملة في مجال العملات المشفرة
• يشمل الترخيص بموجب لائحة أسواق الأصول المشفرة ( MiCA) الصادرة عن الاتحاد الأوروبي ، والتي دخلت حيز التنفيذ منذ عام 2024، متطلبات الاحتياطي وقواعد حماية المستهلك والتزامات الإفصاح لمصدري العملات المستقرة ومقدمي خدمات العملات المشفرة.

يكمن التحدي العملي في ضرورة تطبيق الامتثال عبر مئات الأصول وسلاسل الكتل، ولكل منها آلية تسوية نهائية وإمكانية تتبع مختلفة. إن بناء ذلك من الصفر مكلف وبطيء.

تتولى Plisio مسؤولية الامتثال على مستوى بوابة الدفع، حيث تدعم أكثر من 200 عملة مشفرة مع الحفاظ على مراقبة المعاملات المتوافقة مع قوانين مكافحة غسل الأموال، وتسهيل إجراءات التحقق من هوية العملاء (KYC) للتجار. بالنسبة لشركات التجارة الإلكترونية التي ترغب في قبول العملات المشفرة دون الحاجة إلى إنشاء بنية تحتية للامتثال بنفسها، يُعد اختيار بوابة دفع تستوعب هذا التعقيد التنظيمي الخيار الأمثل.

كيفية إنشاء سير عمل للامتثال للدفع

الامتثال ليس أداة تقوم بتشغيلها. إنها عملية مستمرة، وتنهار عندما يتم التعامل معها كمشروع لمرة واحدة.

1. حدد نطاق بيئتك - ارسم خريطة لكل نظام يتعامل مع بيانات الدفع: صفحات الدفع، ومعالجات الدفع، وقواعد البيانات، وعمليات التكامل مع جهات خارجية. يغطي معيار PCI DSS فقط ما هو ضمن نطاقه، وتحدث معظم الاختراقات في ثغرات لم يتم تحديدها مسبقًا.
2. قم بإجراء تحليل للفجوات في الامتثال - قِس الضوابط الحالية مقابل متطلبات معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، ومكافحة غسل الأموال وتمويل الإرهاب (AML/KYC)، واللائحة العامة لحماية البيانات (GDPR) (أو قانون خصوصية المستهلك في كاليفورنيا (CCPA)). دوّن ما هو مفقود، وليس فقط ما هو موجود.
3. تطبيق ضوابط تقنية - تستبدل عملية التشفير أرقام البطاقات برموز غير حساسة؛ ويغطي التشفير البيانات أثناء نقلها وتخزينها. هاتان الخطوتان وحدهما تقضيان على معظم نطاق معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS).
4. قم بإعداد نظام مراقبة المعاملات — يجب أن تقوم الأنظمة الآلية بالإبلاغ عن المعاملات المشبوهة في الوقت الفعلي. حدد قواعد التنبيه، وراجع قوائم الانتظار، ومسارات التصعيد قبل بدء التشغيل الفعلي، وليس بعده.
5. تدريب الموظفين - تتسبب الهندسة الاجتماعية والتصيد الاحتيالي في اختراقات أمنية أكثر من الأعطال التقنية. يتطلب معيار PCI DSS 4.0 الآن تدريبًا متخصصًا للتوعية الأمنية؛ تعامل معه كإجراء وقائي فعلي.
6. وثّق كل شيء - السياسات والإجراءات وسجلات التدقيق وخطط الاستجابة للحوادث. الجهات التنظيمية تريد توثيقاً كدليل على وجود النية والقدرة، وليس مجرد أنظمة عاملة.
7. جدولة عمليات تدقيق دورية - تقييمات سنوية لمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، وفحوصات ربع سنوية للشبكة، ومراجعات مستمرة لبرامج مكافحة غسل الأموال. يؤدي غياب الصيانة الفعّالة إلى تراجع مستوى الامتثال.
8. اختر شركاء دفع ملتزمين بالمعايير — يتحمل شركاؤك في معالجة المدفوعات وبوابات الدفع والخدمات المصرفية مسؤولية مشتركة. إن اختيار شريك يتولى تطبيق معايير PCI DSS على مستوى البنية التحتية يقلل نطاق مسؤولياتك بشكل كبير.

أفضل الممارسات للامتثال لأنظمة الدفع في التجارة الإلكترونية

بمجرد تشغيل برنامج الامتثال للدفع الخاص بك، فإن هذه الممارسات تمنعه من الانهيار بهدوء:

• استخدم بوابة معتمدة وفقًا لمعيار PCI DSS من المستوى 1 - حيث يتم نقل معالجة بيانات حاملي البطاقات إلى مزود الخدمة، مما يقلل عادةً نطاق تطبيق معيار PCI DSS الخاص بك إلى مستوى التقييم الذاتي A.
• تفعيل تقنية 3D Secure 2.0 — يقلل من مسؤولية الاحتيال في المعاملات التي لا تتطلب وجود البطاقة ويلبي متطلبات المصادقة القوية للعملاء في الاتحاد الأوروبي
• قم بتشفير كل شيء - استبدل أرقام البطاقات برموز مميزة عند نقطة الإدخال؛ يجب ألا تبقى بيانات حامل البطاقة الخام في أنظمتك أبدًا
• نشر تقنية تحديد بصمة الجهاز وتحديد الموقع الجغرافي لعنوان IP - يبني إشارات لمنع الاحتيال من البيانات السلوكية دون إضافة أي تعقيدات على عملية الدفع
• تطبيق مبدأ تقليل البيانات - بموجب اللائحة العامة لحماية البيانات (GDPR)، اجمع فقط ما تحتاجه، واحتفظ به فقط طالما كان ذلك مطلوبًا، واحذفه وفقًا للجدول الزمني المحدد.
• تحقق من التجار قبل تفعيل المدفوعات - في السوق أو المنصة، يمتد امتثال عملية التسجيل ليشمل التجار الفرعيين أيضًا
• ضع خطة استجابة للحوادث - يتطلب قانون حماية البيانات العامة (GDPR) إخطار الجهات التنظيمية في غضون 72 ساعة عن أي خرق للبيانات؛ بينما تشترط معظم الولايات الأمريكية 30 يومًا. الخطة غير المختبرة مجرد وثيقة.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.