الانتقال إلى المحتوى الرئيسي
إذا كنت تشغّل وكيل دعم مدفوعات، أو روبوت فرز ردّ المبالغ، أو أي سير عمل LLM يقع في أي مكان قرب رقم حساب أساسي، فالسؤال ليس “هل نموذجي معتمد PCI” — لا نموذج كذلك. السؤال هو ما إذا كان مستوى البيانات بين تطبيقك والنموذج يستطيع منع PAN، أو سرّ بطاقة، أو استدعاء أداة مدمّر من الوصول إلى النموذج أو التشغيل ضد بيئة بيانات حاملي البطاقات لديك. هذا ما تمنحه لك حزمة PCI DSS: مجموعة ضوابط بوابة مُسنَدة إلى PCI DSS 4.0، مثبّتة في استدعاء واحد، تُنتج دليلاً موقّعاً — مع ذكر الحدّ التنظيمي صراحةً منذ البداية.
بيئة بيانات حاملي البطاقات (CDE) لديك — التجزئة، والوصول المادي، وسياسة أمن المعلومات الخاصة بك — مسؤولية مؤسستك، لا ضابطاً تستطيع البوابة فرضه. يستطيع OrcaRouter إخفاء PAN، وحجب أسرار البطاقات، ورفض الأدوات الخطرة، وتوقيع الدليل — لكن برنامج CDE ملكك. تفصح الحزمة عن تلك البنود كضوابط تنظيمية تشهد عليها، لا كتغطية آلية أبداً. انظر الحدّ أدناه.

1. ماذا تعني حوكمة “pci dss ai” على البوابة

تُسنِد حزمة PCI DSS (pci_dss، PCI DSS 4.0) متطلبات المعيار إلى ضوابط بوابة مباشرة. مثل كل حزمة امتثال، تثبيتها يجسّد سياسات حواجز حماية و جدار حماية حقيقية وقابلة للتعديل في مساحة عملك — وهي لا تضيف محرك تشغيل جديداً. ثلاثة ضوابط قابلة للفرض تؤدي عمل بيانات حاملي البطاقات:
pci.pan_block (PCI DSS Req 3.4، اجعل PAN غير قابل للقراءة) يحجب أرقام البطاقات المتحقّق منها بـ Luhn في المطالبات قبل أن تصل إلى النموذج، ويقرنها بأدوات التوجيه المصرفي — IBAN ورموز SWIFT/BIC — محروسةً بكلمة سياقها الحرفية بحيث لا تُرفَض زوراً فاتورة أو معرّف تتبّع بأحرف كبيرة يشترك معها مجرّد في الشكل الهيكلي. يركب كشف PAN على كيان PII المسمّى credit_card، ففحص Luhn مدمج.
pci.secret_hygiene (PCI DSS Req 8.3، تعمية قوية لبيانات الاعتماد) يحجب مفاتيح API والمفاتيح الخاصة من عبور البوابة، فلا يمكن تسريب بيانات اعتماد إلى مطالبة أو استجابة. هذا حاجز حماية حاجب الأسرار — نفس الضابط الذي يلتقط الأسرار على كل طلب.
pci.dangerous_tools (PCI DSS Req 2.2، التكوينات الآمنة) هي قاعدة جدار حماية ترفض استدعاءات أدوات shell و exec عبر كل اصطلاح تسمية — على سطحي inbound وMCP — بحيث لا يمكن لوكيل تشغيل أمر مدمّر يلامس بيانات حامل البطاقة. كل شيء آخر يبقى عند افتراضي السياسة audit.
يعيش أول ضابطين على مستوى المحتوى (حواجز الحماية)؛ ويعيش الثالث على مستوى استدعاء الأداة (جدار الحماية). يدمج التثبيت بينها في حاجز حماية واحد وسياسة جدار حماية واحدة تملكها وتستطيع ضبطها.
بندان آخران يُطرحان مع الإطار لكنهما موسومان تنظيميان: الحفاظ على سياسة أمن المعلومات (Req 12.1) وتقييد الوصول المادي إلى بيانات حامل البطاقة (Req 9). هذان ضابطان متعلقان بالأشخاص والعمليات لا يستطيع الوكيل فرضهما أبداً — يفصح التقرير عنهما كمشهود بهما أو كثغرات، لا كتغطية آلية. الصدق هو جوهر الأمر.

2. ثبّت حزمة PCI DSS — مثال ملموس واحد

يستخدم تكوين الامتثال جلسة وحدة التحكم لديك، لا مفتاح ترحيل sk-orca-… أبداً. تصفّح الكتالوج وفحص الجاهزية مجاني لأي عضو في مساحة العمل؛ أما التثبيت فهو إجراء مدير مساحة عمل على خطة مدفوعة، محصور من الخادم في الاتجاهين.
1

افتح حزمة PCI DSS

في وحدة تحكم مساحة العمل، اذهب إلى Compliance → Catalog وافتح PCI DSS 4.0 (تعيش تحت فئة financial). يسرد كل ضابط مستواه، ومتطلبه، ورابطاً عميقاً إلى مكتبة وثائق PCI SSC الرسمية.
2

ثبّت في وضع المراقبة

بصفتك مدير مساحة عمل على خطة مدفوعة، انقر Install. تتجسّد الحزمة فوراً في وضع المراقبة — يعلّم حاجز الحماية بدلاً من الحجب، ويعمل جدار الحماية في الظل — فتجمع دليل “كان سيُحجَب” مقابل حركة مرور حقيقية أولاً.
3

راقب، ثم انتقل للوضع المباشر

دع ضوابط الظل تراكم التطابقات، وراجعها، ثم انقل الحزمة إلى الوضع المباشر لتشغيل إجراءات block / deny المعلَنة. انظر المراقبة مقابل الفرض.
تقود وحدة التحكم نقطة نهاية واحدة تحت رمز جلسة المدير لديك — معروضة هنا لتتمكّن من تدقيقها أو كتابة سكربت لها، لا كشيء تستدعيه بمفتاح ترحيل: 
POST /api/compliance/packs/pci_dss/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ }
يثبّت الجسم الفارغ كل ضابط في الحزمة. الاستجابة هي سجل التثبيت — الإصدار المثبّت، وmode: observe، وguardrail_id وfirewall_policy_id للسياستين المتجسّدتين لتفتحهما فوراً.
لأن التثبيت يُنتج كائنات حواجز حماية وجدار حماية قياسية، يمكنك ربط سياسة جدار الحماية المتجسّدة بمفتاح وكيل عبر firewall_policy_id، وربط حاجز الحماية بمفتاح عبر guardrail_id (أو اجعله افتراضي مساحة العمل)، وضبط قاعدة PAN كياناً كياناً — تماماً مثل سياسة ألّفتها يدوياً.

3. الحدّ الصادق — CDE ملكك

برنامج PCI أكثر بكثير من مرشّح تنقيح. تغطّي البوابة الضوابط التي يستطيع مستوى البيانات فرضها فعلاً؛ وكل شيء آخر يبقى مع مؤسستك. إليك التقسيم، مرسوماً بنفس طريقة خارطة المسؤولية المشتركة:
مجال الضابطتفرضه البوابةتملكه مؤسستك
PAN في حركة المرورحجب PAN المفحوص بـ Luhn، وIBAN، وSWIFT/BIC في المطالباتتحديد نطاق أي الحقول هي بيانات حامل البطاقة
أسرار البطاقاتحجب مفاتيح API / المفاتيح الخاصة العابرة للبوابةعهدة المفاتيح خارج مسار البوابة
الأدوات الخطرةرفض استدعاءات shell / exec قرب CDEتأمين الأدوات التي تتجاوز البوابة
CDE والسياسة— (مُفصَح عنها كمشهود بها / ثغرة)التجزئة؛ والوصول المادي؛ وسياسة أمن المعلومات
البوابة هي المسار المُدقَّق، لا معترِضاً على مستوى النواة. الأداة التي يشغّلها وكيلك بالكامل داخل العملية — تلك التي لا تعبر أبداً https://api.orcarouter.ai ولا تبلّغ أبداً عن وجهة egress — خارج رؤية جدار الحماية. وجّه الأدوات واستدعاءات MCP الملامسة لبيانات حامل البطاقة عبر البوابة (عبر بوابة Firewall MCP) بحيث يستطيع ضابط الأداة الخطرة رؤيتها، أو أمّنها بنفسك داخل CDE لديك.

4. أثبتها — دليل موقّع ومختوم بالمنطقة

بمجرد أن تصبح الحزمة مباشرة، ولّد تقرير PCI DSS. التقارير موقّعة بـ Ed25519 ومختومة بـ SHA-256، قابلة للتصدير كـ CSV / JSON / PDF، وقابلة للتحقق علناً — يستطيع المُقيِّم تأكيد أصالة تقرير دون تسجيل دخول. يتتبّع كل صف متطلباً نزولاً إلى حاجز الحماية أو سياسة جدار الحماية الدقيقة التي تفرضه والتطابقات التي أنتجها خلال الفترة؛ ويُعرَض البندان التنظيميان كثغرات مُفصَح عنها أو شهادات مالك. تعلن أيضاً منطقة إقامة بيانات للقطعة الأثرية للتقرير (us / eu / uk / ap / cn / global) — تُخزَّن التقارير الموقّعة وتُقدَّم فقط تحت منطقتك المعلَنة، وتُحجب القراءة عبر المناطق. هذا يختم القطعة الأثرية للدليل، لا جغرافيا الاستدلال.
تثبيت حزمة والانتقال للوضع المباشر يتطلّبان مدير مساحة عمل على خطة مدفوعة، مفروضاً من جانب الخادم. توليد التقرير إجراء مدير (الخطة المجانية: PDF واحد؛ وCSV/JSON والتقارير الإضافية مدفوعة)؛ وضبط الإقامة محصور على المدير. تصفّح الكتالوج وفحص الجاهزية يبقيان مجانيين. انظر حصر الخطة.

5. إلى أين تذهب بعد ذلك

ثبّت حزمة

تدفق التثبيت الكامل — اختيار الضوابط، ووضع المراقبة، والانتقال للوضع المباشر.

التقرير الموقّع

ما يحتويه تقرير دليل PCI DSS الموقّع بـ Ed25519.

تحقّق من تقرير

كيف يؤكّد المُقيِّم أصالة تقرير دون تسجيل دخول.

مرجع حواجز الحماية

مستوى المحتوى الذي تجسّده الحزمة — كيانات PII، وحاجب الأسرار، والإجراءات.

استدعاءات الأدوات الخطرة

التهديد الذي يدافع عنه ضابط جدار الحماية.

إقامة البيانات

إعلان المنطقة التي يُخزَّن ويُقدَّم تحتها دليلك الموقّع.
تحوّل حزمة PCI DSS متطلبات 4.0 التي يمكنك وضعها على مستوى بيانات إلى إخفاء PAN، وحجب الأسرار، ورفض الأدوات الخطرة، ودليل موقّع يمكنك تسليمه لمُقيِّم — بينما تقول صراحةً إن CDE، والتجزئة، وسياسة أمن المعلومات تبقى ملكك. لبقية الكتالوج، انظر الأطر.