Come rendere il tuo sito PCI DSS Compliant
Per le piccole imprese che vogliono vendere prodotti online, i cerchi normativi che ti viene richiesto di saltare se hai bisogno di prendere le carte di pagamento possono essere un po ‘ scoraggianti. Tuttavia, se non si rispettano, allora si rischia una multa pesante e anche avere la possibilità di prendere le carte tolte dal business.
I pagamenti con carta online sono regolati dagli standard PCI DSS (Payment Card Industry Data Security Standards) e ci sono 12 requisiti per la conformità che rientrano nelle seguenti rubriche riassuntive:
- Costruire e mantenere un sicuro business network
- Proteggere i dati di titolari di carte
- Mantenere un programma di gestione delle vulnerabilità
- Implementare forti misure di controllo
- Regolarmente monitorare e testare reti di imprese
- Mantenere una politica che indirizzi la sicurezza delle informazioni
Vale la pena sottolineare che è possibile semplificare il processo di conformità sostanzialmente da garantire di non salvare o memorizzare dati del titolare della carta. Ciò significa che, invece, è necessario utilizzare un lettore di schede o un processore POS (point-of-sale) che non conserva le informazioni sui sistemi aziendali. Puoi anche utilizzare un gateway di pagamento come quelli forniti da PayPal e Stripe, ma devi essere consapevole che la responsabilità per i dati del tuo cliente rimane con te. Qualunque sia l’opzione che scegli, devi prima assicurarti di controllare che il loro utilizzo significhi che sei conforme.
Ad esempio, anche se utilizzi un processore di pagamento, il tuo sito deve comunque essere sicuro se e quando i dettagli di pagamento vengono inseriti e trasmessi. Ciò significa che in quanto tale il server web deve essere conforme e il sito deve utilizzare la crittografia Secure Socket Layer (SSL). Dovresti verificare con il tuo provider se è possibile memorizzare questi dati sui loro sistemi sicuri se è necessario conservare le informazioni di pagamento per i pagamenti futuri.
1 Scegliere un host Web sicuro
Quando si sceglie un host per il tuo sito Web, è necessario assicurarsi che i server, il piano di hosting e le applicazioni di e-commerce e carrello della spesa siano conformi. Puoi trovare un elenco di applicazioni di pagamento convalidate sul sito Web del PCI council per aiutarti a scegliere e consiglierei anche di colpire alcuni forum di e-commerce per verificare cosa dicono gli altri. Vale la pena sottolineare qui che se sei nuovo nell’e-commerce, gli host Web economici o gratuiti raramente saranno abbastanza buoni da garantire la conformità. Dovresti anche considerare l’utilizzo di hosting dedicato su shared poiché ciò significa che tu e solo tu stai usando quella macchina. Con l’hosting condiviso, spesso si condivide una macchina con più siti Web e questo rende difficile la conformità. Tuttavia, se si scelgono server privati dedicati o virtuali, è molto più probabile che siano conformi, anche se un po ‘ più costosi.
Assicurati che l’host che scegli ti consenta di utilizzare anche i database PHP e MySQL – la maggior parte lo fa in questi giorni e se non sei sicuro, puoi sempre chiamare la società di hosting per discutere le tue esigenze in modo più dettagliato. Garantire che le transazioni del server e del sito siano sicure prima di costruire il tuo sito ti farà risparmiare dolore a lungo termine. Tuttavia, se davvero non hai bisogno di memorizzare i dati, ti esorto a considerare l’utilizzo di un gateway di pagamento che porta il cliente a un sito esterno e sicuro prima di richiedere qualsiasi dettaglio.
2 Scegliere un carrello della spesa
Ci sono un’enorme quantità di carrelli della spesa tra cui scegliere e come tale può diventare piuttosto confuso quando si tratta di scegliere il meglio per te. Al fine di garantire che si sta proteggendo sia il vostro business e dei dati dei vostri clienti, si dovrebbe mirare a scegliere uno che è PA DSS (Payment Application Data Security Standard) compatibile . Ciò significa che il software cart è già stato sottoposto a una serie di test rigorosi per garantire che crittografi i dati in modo sufficiente per proteggersi dagli attacchi informatici durante il trasporto.
Alla ricerca di migliori relazioni con i clienti?
Prova Userlike gratuitamente e chatta con i tuoi clienti sul tuo sito web, Facebook Messenger e Telegram.
Anche in questo caso, se non siete particolarmente tecnologicamente mentalità, è possibile scegliere un carrello ospitato che prende l’acquirente fuori il tuo sito e sul proprio che è completamente protetto. Con un carrello ospitato, tutti i dati sensibili vengono immessi dal tuo sito e i dettagli conservati su un server sicuro.
3 Dipendenti e PCI DSS
La sicurezza dei dati dei tuoi clienti è una tua responsabilità e questo significa che è importante che il tuo personale capisca quanto sia vitale per la tua azienda mantenerla sicura. Con questo in mente, tutto il personale che si occupano di dettagli del cliente come parte del loro lavoro deve garantire che essi seguono le regole.
È necessario assicurarsi che tutto il personale che si occupano di dati:
- Sono a conoscenza dei processi utilizzati per proteggere i dati sensibili.
- Non conservare i dati dei clienti su computer non autorizzati o su carta.
- Utilizzare password complesse su tutti gli account utente.
Inoltre, è necessario assicurarsi che tutti i computer, i dispositivi e i server della rete aziendale (o quelli che si connettono ad essa) abbiano le seguenti caratteristiche:
- Software AV e patch aggiornate applicate a software comunemente sfruttati come Windows / OS, Office, prodotti Adobe e Java.
- Sono protetti da un firewall sulla rete.
- Sono protetti da password e crittografia sicure su tutti i router di rete, incluso il wireless.
Per quelle aziende che consentono ai dipendenti di portare i propri dispositivi al lavoro, questi dovrebbero essere gestiti con una solida politica BYOD che stabilisce ciò che è richiesto al dipendente. Se tu o loro siete ancora incerti su ciò che il processo comporta, allora puoi seguire corsi di formazione di sensibilizzazione attraverso il consiglio PCI.
La sicurezza è qualcosa che molti professionisti IT considerano un problema che non può essere risolto a causa dell’intervento umano. Di gran lunga la maggior parte dei problemi di sicurezza che riguardano il business sono causati da una mancanza di conoscenza nell’utente finale. Ciò significa che è spesso difficile mitigare il rischio perché l’utente finale non ne sa abbastanza per sapere che non dovrebbe fare clic su quel link di phishing, ad esempio. Negli ultimi anni, le minacce alla sicurezza sono diventate sempre più sofisticate e fanno tutto il possibile per eludere il rilevamento. Ciò è aggravato dal fatto che i tentativi di phishing sono ora spesso altamente mirati per raggiungere la persona più vulnerabile agli attacchi, come il personale amministrativo.
Le minacce in questi giorni sono supportate dall’enorme quantità di informazioni che possono essere raccolte sui social media su un individuo all’interno di un’organizzazione prima che venga tentato un attacco. Ciò significa che i criminali informatici sono salvati con informazioni sufficienti a suonare come se l’e-mail che inviano attraverso un link dannoso sembra essere da un amico o un fornitore conosciuto. In quest’ottica, è essenziale un’educazione sui rischi e dovrebbe essere messa in atto anche una solida politica sui social media e su ciò che può essere scaricato.
Link scanner possono anche essere installati per garantire che eventuali collegamenti dannosi fisicamente non può essere cliccato su, togliendo così un sacco di rischio per l’utente finale.
4 Livelli PCI DSS
Ci sono quattro livelli di conformità, che dipendono dal numero di transazioni con carta che si prende nel corso di un anno.
- Livello 1: per i commercianti che elaborano più di 6 milioni di transazioni Visa all’anno – richiede una valutazione della sicurezza in loco ogni anno e una scansione trimestrale delle vulnerabilità della rete.
- Livello 2: per i commercianti che elaborano tra 1 milione e 6 milioni di transazioni Visa all’anno-valutazione della sicurezza in loco a propria discrezione, è inoltre necessario fornire un questionario annuale di autovalutazione e una scansione trimestrale delle vulnerabilità della rete.
- Livello 3: per i commercianti che elaborano da 20.000 a 1 milione di transazioni di e – commerce Visa all’anno, è necessario un questionario di autovalutazione annuale e una scansione trimestrale delle vulnerabilità della rete.
- Livello 4: per i commercianti che elaborano meno di 20.000 transazioni di e-commerce Visa all’anno e tutti gli altri commercianti che elaborano fino a 1 milione di transazioni Visa all’anno, è necessario un questionario di autovalutazione annuale e una scansione trimestrale della vulnerabilità della rete.
Ricorda: è un processo in corso
Molte aziende assicurano che siano conformi in prima istanza e poi se ne dimenticano fino al momento dell’audit. Purtroppo questo porta a multe e ulteriori controlli (che costano denaro) vengono effettuati più spesso. È importante ricordare che la conformità è un processo in corso e deve essere controllata spesso, non solo prima che l’auditor stia per apparire.
Devi sempre:
- Valuta-fai un inventario delle risorse IT esistenti e dei processi aziendali per l’elaborazione delle carte, analizzando le vulnerabilità come fai tu e identificando i dati dei clienti e dove sono conservati.
- Remediate – non memorizzare i dati a meno che non sia assolutamente necessario e correggere eventuali exploit noti.
- Report-compilare e inviare rapporti per l’acquisizione di marchi di schiena e di carte che avete a che fare con.
Ci sono molte cose da considerare quando si tratta di conformità e di gran lunga il modo più semplice per il più piccolo imprenditore di e-commerce è quello di utilizzare un gateway di pagamento o un carrello ospitato. Questo rimuove un sacco di passi necessari e prende un sacco di rischio di distanza quando si tratta di dipendenti gestione dei pagamenti e la sicurezza della vostra rete aziendale.
Tuttavia, questo non vuol dire che sia la soluzione migliore per te e quindi dovresti mirare a mettere un sacco di pianificazione e basi se hai intenzione di prendere pagamenti attraverso il tuo sito e conservare i dettagli del cliente. Idealmente, dovresti evitare di fare quest’ultimo e parlare con il tuo fornitore di elaborazione delle carte di pagamento per vedere quali sono le tue opzioni. Non è così scoraggiante come appare per la prima volta, ma paga stare molto attenti perché molte aziende che non riescono a proteggere adeguatamente i dati dei clienti cessano l’attività a seguito di una violazione dei dati, grazie al costo di garantire che non accada di nuovo.
Per ottenere i migliori risultati, avere una lettura attraverso il PCI DSS 3.0 (e sotto) libreria di documenti sul sito web PCI council . Non essere messo fuori da tutto il gergo sia, un rapido Google può aiutare a capire gli aspetti tecnici o si può passare attraverso i file di aiuto sul sito web del consiglio PCI.