Jak zajistit, aby vaše webové stránky PCI DSS vyhovovaly

Jak zajistit, aby vaše webové stránky PCI DSS vyhovovaly

pro malé podniky, které chtějí prodávat produkty online, mohou být regulační obruče, které musíte přeskočit, pokud potřebujete vzít platební karty, poněkud skličující. Pokud však nedodržíte, riskujete vysokou pokutu a dokonce máte možnost vzít karty odebrané z podnikání.

platby kartou online jsou regulovány standardy zabezpečení dat v odvětví platebních karet (PCI DSS) a existuje 12 požadavků na dodržování předpisů, které spadají do následujících souhrnných nadpisů:

• Budujte a udržujte bezpečnou obchodní síť
• Chraňte data držitelů karet
• Udržujte program pro správu zranitelnosti
• provádějte silná opatření pro kontrolu přístupu
• pravidelně monitorujte a testujte obchodní sítě
• Udržujte zásady, které řeší bezpečnost informací

stojí za to zdůraznit, že proces dodržování předpisů můžete podstatně zjednodušit tím, že zajistíte, že neukládáte ani neukládáte Žádná data držitelů karet. To znamená, že místo toho byste měli používat čtečku karet nebo procesor point-of-sale (POS), který nezachovává informace o podnikových systémech. Můžete také použít platební bránu, jako jsou ty, které poskytují PayPal a Stripe, ale měli byste si být vědomi toho, že odpovědnost za údaje vašich zákazníků zůstává na vás. Ať už si vyberete jakoukoli možnost, měli byste se nejprve ujistit, že jejich použití znamená, že vyhovujete.

například, i když používáte platební procesor, váš web musí být stále bezpečný, pokud a kdy jsou zadávány a přenášeny platební údaje. To znamená, že váš webový server musí být kompatibilní a váš web by měl používat šifrování Secure Socket Layer (SSL). Pokud potřebujete uchovávat platební údaje pro budoucí platby, měli byste se poradit se svým poskytovatelem, zda můžete tato data ukládat do jejich zabezpečených systémů.

1 Výběr bezpečného webového hostitele

při výběru hostitele pro váš web byste měli zajistit, aby servery, plán hostingu a aplikace elektronického obchodu a nákupního košíku vyhovovaly. Seznam ověřených platebních aplikací najdete na webových stránkách Rady PCI, které vám pomohou vybrat, a také bych doporučil zasáhnout některá fóra elektronického obchodu a zjistit, co říkají ostatní. Stojí za to poukázat na to, že pokud jste v elektronickém obchodu nováčkem, levné nebo bezplatné webové hostitele budou jen zřídka dost dobré, aby zajistily dodržování předpisů. Měli byste také zvážit použití vyhrazeného hostingu přes sdílené, protože to znamená, že vy a pouze vy používáte tento stroj. Se sdíleným hostingem často sdílíte jeden počítač s více webovými stránkami, což komplikuje dodržování předpisů. Pokud však zvolíte dedikované nebo virtuální soukromé servery, je mnohem pravděpodobnější, že budou kompatibilní, i když o něco dražší.

ujistěte se, že hostitel, který si vyberete, vám umožní používat PHP a MySQL databáze příliš-většina z nich v těchto dnech, a pokud si nejste jisti, pak můžete vždy dát hostingové společnosti volání diskutovat vaše potřeby podrobněji. Zajištění bezpečnosti transakcí na serveru a webu před vytvořením webu vám dlouhodobě ušetří zármutek. Nicméně, pokud opravdu nepotřebujete ukládat data, pak bych vás vyzval, abyste zvážili použití platební brány, která zavede zákazníka na externí, zabezpečené stránky, než požádáte o jakékoli podrobnosti.

2 Výběr nákupního košíku

existuje obrovské množství nákupních vozíků z čeho vybírat a jako takový to může dostat docela matoucí, pokud jde o výběr nejlepší pro vás. Aby bylo zajištěno, že chráníte jak vaše podnikání, tak data vašich zákazníků, měli byste se snažit vybrat ten, který je PA DSS (standard zabezpečení dat platební aplikace) kompatibilní . To znamená, že software cart již prošel řadou přísných testů, aby zajistil, že dostatečně šifruje data, aby chránil před kybernetickým útokem při přepravě.

znovu, pokud nejste zvlášť technologicky smýšlející, můžete si vybrat hostovaný košík, který vezme nakupujícího z vašeho webu a na svůj vlastní, který je plně zabezpečen. Pomocí hostovaného košíku jsou všechna citlivá data zadána z vašeho webu a podrobnosti jsou uloženy na zabezpečeném serveru.

3 zaměstnanci a PCI DSS

bezpečnost vašich zákaznických dat je vaší odpovědností, což znamená, že je důležité, aby vaši zaměstnanci pochopili, jak důležité je pro vaše podnikání, aby byly udržovány v bezpečí. S ohledem na to musí všichni zaměstnanci, kteří se v rámci své práce zabývají podrobnostmi o zákaznících, zajistit, aby dodržovali pravidla.

měli byste zajistit, aby všichni zaměstnanci, kteří se zabývají daty:

• jsou si vědomi procesů používaných k ochraně citlivých dat.
• neukládejte zákaznická data na žádné neautorizované počítače nebo na papír.
• používejte silná hesla na všech uživatelských účtech.

kromě toho byste měli zajistit, aby všechny počítače, zařízení a servery v obchodní síti (nebo ty, které se k ní připojují) měly následující:

• AV software a up-to-date záplaty aplikované na běžně využívaný software, jako jsou Windows / OS, Office, Adobe produkty a Java.
• jsou chráněny firewallem v síti.
• jsou chráněny bezpečným heslem a šifrováním na všech síťových směrovačích, včetně bezdrátových.

pro ty podniky, které umožňují zaměstnancům přinést vlastní zařízení do práce, by měly být spravovány pomocí robustní politiky BYOD, která stanoví, co se od zaměstnance vyžaduje. Pokud si vy nebo oni stále nejste jisti, co tento proces obnáší, můžete absolvovat školení o povědomí prostřednictvím Rady PCI.

bezpečnost je něco, co mnoho IT odborníků považuje za problém, který nelze vyřešit kvůli lidskému zásahu. Zdaleka nejvíce bezpečnostních problémů, které ovlivňují podnikání, je způsobeno nedostatkem znalostí koncového uživatele. To znamená, že je často obtížné zmírnit riziko, protože koncový uživatel neví dost, aby věděl, že by například neměl kliknout na tento phishingový odkaz. V posledních letech se bezpečnostní hrozby stávají stále sofistikovanějšími a dělají vše pro to, aby se vyhnuly detekci. To je zhoršeno skutečností, že pokusy o phishing jsou nyní často vysoce cílené, aby oslovily nejzranitelnější osobu k útoku, jako jsou administrativní pracovníci.

hrozby v těchto dnech jsou podpořeny naprostým množstvím informací, které lze shromáždit na sociálních médiích o jednotlivci v organizaci před pokusem o útok. To znamená, že kybernetičtí zločinci mají dostatek informací, aby to znělo, jako by se zdálo, že e-mail, který posílají se škodlivým odkazem, pochází od přítele nebo známého dodavatele. S ohledem na to je nezbytné vzdělávání o rizicích a měla by být zavedena také zdravá politika týkající se sociálních médií a toho, co lze stáhnout.

link skenery lze také nainstalovat, aby bylo zajištěno, že žádné škodlivé odkazy fyzicky nelze kliknout na, čímž se odstraní mnoho rizika koncového uživatele.

4 úrovně PCI DSS

existují čtyři úrovně shody, které závisí na tom, kolik karetních transakcí provedete v průběhu roku.

• Úroveň 1: pro obchodníky, kteří zpracovávají více než 6 milionů vízových transakcí ročně-vyžaduje, abyste měli roční hodnocení bezpečnosti na místě a čtvrtletní skenování zranitelnosti sítě.
• úroveň 2: pro obchodníky, kteří zpracovávají mezi 1 miliony až 6 miliony vízových transakcí ročně – posouzení bezpečnosti na místě podle vlastního uvážení, musíte také poskytnout roční dotazník o sebehodnocení a čtvrtletní skenování zranitelnosti sítě.
• úroveň 3: pro obchodníky zpracovávající 20 000 až 1 milion transakcí Visa ecommerce ročně-každoročně je vyžadován dotazník pro sebehodnocení a čtvrtletní skenování zranitelnosti sítě.
• úroveň 4: pro obchodníky, kteří zpracovávají méně než 20 000 transakcí Visa ecommerce ročně a všichni ostatní obchodníci zpracovávají až 1 milion vízových transakcí ročně-každoročně je vyžadován dotazník o sebehodnocení a čtvrtletní skenování zranitelnosti sítě.

pamatujte – Je to probíhající proces

mnoho podniků zajišťuje, že jsou v první instanci kompatibilní, a pak na to zapomene, dokud není čas auditu. Bohužel to vede k tomu, že se častěji provádějí pokuty a další audity (které stojí peníze). Je důležité si uvědomit, že dodržování předpisů je pokračující proces a musí být často kontrolováno, ne těsně předtím, než se auditor chystá objevit.

musíte vždy:

• posoudit-proveďte soupis stávajících IT aktiv a obchodních procesů pro zpracování karet, analýzu zranitelností jako vy a identifikaci zákaznických dat a místa, kde jsou drženy.
• sanovat – neukládat data, pokud to není nezbytně nutné, a opravit jakékoli známé zneužití.
• Report-kompilace a předkládání zpráv na získání zpět a karty značky, které se zabývají.

existuje mnoho věcí, aby zvážila, pokud jde o dodržování předpisů a zdaleka nejjednodušší způsob, jak pro menší ecommerce vlastníka firmy je použít platební bránu nebo hostované košík. To odstraňuje mnoho nezbytných kroků a bere hodně rizika pryč, pokud jde o zaměstnance zpracování plateb a bezpečnost vaší obchodní sítě.

to však neznamená, že je to nejlepší řešení pro vás, a proto byste se měli snažit dát spoustu plánování a základů, pokud plánujete přijímat platby prostřednictvím svého webu a uchovávat údaje o zákaznících. V ideálním případě byste se měli vyhnout tomu druhému a promluvit si s poskytovatelem zpracování platební karty, abyste zjistili, jaké jsou vaše možnosti. Není to tak skličující, jak se na první pohled zdá, ale vyplatí se být velmi opatrný, protože mnoho podniků, které nedokážou adekvátně chránit data zákazníků, po narušení dat zmizí z podnikání, a to díky nákladům na zajištění toho, aby se to nestalo znovu.

pro dosažení nejlepších výsledků si přečtěte knihovnu dokumentů PCI DSS 3.0 (a níže) na webových stránkách Rady PCI. Nenechte se odradit ani všemi žargony, rychlý Google vám pomůže pochopit technické aspekty nebo můžete projít soubory nápovědy na webových stránkách Rady PCI.