So machen Sie Ihre Website PCI DSS-konform

So machen Sie Ihre Website PCI DSS-konform

Für kleine Unternehmen, die Produkte online verkaufen möchten, können die regulatorischen Rahmen, durch die Sie springen müssen, wenn Sie Zahlungskarten benötigen, etwas entmutigend sein. Wenn Sie sich jedoch nicht daran halten, riskieren Sie eine hohe Geldstrafe und sogar die Möglichkeit, Karten aus dem Geschäft zu nehmen.

Verfahren zur Übergabe von Kreditkartenzahlungen

Kartenzahlungen online werden durch die Payment Card Industry Data Security Standards (PCI DSS) geregelt, und es gibt 12 Compliance-Anforderungen, die unter die folgenden Überschriften fallen:

  • Aufbau und Pflege eines sicheren Unternehmensnetzwerks
  • Schutz der Karteninhaberdaten
  • Pflege eines Schwachstellenmanagementprogramms
  • Implementierung strenger Zugriffskontrollmaßnahmen
  • Regelmäßige Überwachung und Prüfung von Unternehmensnetzwerken
  • Pflege einer Richtlinie, die sich mit der Informationssicherheit befasst

Es ist erwähnenswert, dass Sie den Compliance-Prozess erheblich vereinfachen können, indem Sie sicherstellen, dass Sie keine Karteninhaberdaten speichern oder speichern. Dies bedeutet, dass Sie stattdessen einen Kartenleser oder einen Point-of-Sale-Prozessor (POS) verwenden sollten, der die Informationen auf Geschäftssystemen nicht speichert. Sie können auch ein Zahlungsgateway wie das von PayPal und Stripe bereitgestellte verwenden, sollten sich jedoch bewusst sein, dass die Verantwortung für die Daten Ihrer Kunden bei Ihnen liegt. Unabhängig davon, welche Option Sie wählen, sollten Sie zunächst sicherstellen, dass Sie überprüfen, ob sie konform sind.

Art der Aufgabenliste

Selbst wenn Sie beispielsweise einen Zahlungsprozessor verwenden, muss Ihre Website immer noch sicher sein, wenn Zahlungsdetails eingegeben und übertragen werden. Dies bedeutet, dass Ihr Webserver als solcher kompatibel sein muss und Ihre Site die SSL-Verschlüsselung (Secure Socket Layer) verwenden sollte. Sie sollten sich bei Ihrem Anbieter erkundigen, ob Sie diese Daten in deren sicheren Systemen speichern können, wenn Sie Zahlungsinformationen für zukünftige Zahlungen aufbewahren müssen.

1 Auswahl eines sicheren Webhosts

Bei der Auswahl eines Hosts für Ihre Website sollten Sie sicherstellen, dass die Server, der Hosting-Plan und die E-Commerce- und Einkaufswagenanwendungen übereinstimmen. Sie finden eine Liste der validierten Zahlungsanwendungen auf der PCI Council-Website, um Ihnen bei der Auswahl zu helfen, und ich würde auch empfehlen, einige E-Commerce-Foren zu besuchen, um herauszufinden, was andere sagen. Es lohnt sich, hier darauf hinzuweisen, dass, wenn Sie neu im E-Commerce sind, billige oder kostenlose Webhosts selten gut genug sind, um die Compliance sicherzustellen. Sie sollten auch in Betracht ziehen, dediziertes Hosting über Shared zu verwenden, da dies bedeutet, dass Sie und nur Sie diesen Computer verwenden. Beim Shared Hosting teilen Sie häufig einen Computer mit mehreren Websites, was die Einhaltung erschwert. Wenn Sie sich jedoch für dedizierte oder virtuelle private Server entscheiden, sind diese mit größerer Wahrscheinlichkeit konform, wenn auch etwas teurer.

Comic–Bild des Managers, der Geld verliert

Stellen Sie sicher, dass der von Ihnen ausgewählte Host auch die Verwendung von PHP- und MySQL-Datenbanken zulässt – die meisten tun dies heutzutage und wenn Sie sich nicht sicher sind, können Sie das Hosting-Unternehmen jederzeit anrufen, um Ihre Anforderungen genauer zu besprechen. Wenn Sie sicherstellen, dass die Server- und Site-Transaktionen sicher sind, bevor Sie Ihre Site erstellen, ersparen Sie sich langfristig Herzschmerz. Wenn Sie jedoch wirklich keine Daten speichern müssen, sollten Sie ein Zahlungsgateway in Betracht ziehen, das den Kunden zu einer externen, sicheren Website führt, bevor Sie nach Details fragen.

2 Auswahl eines Einkaufswagens

Es gibt eine große Anzahl von Einkaufswagen zur Auswahl und als solche kann es ziemlich verwirrend werden, wenn es darum geht, das Beste für Sie auszuwählen. Um sicherzustellen, dass Sie sowohl Ihr Unternehmen als auch die Daten Ihrer Kunden schützen, sollten Sie eine auswählen, die PA DSS (Payment Application Data Security Standard) -konform ist . Dies bedeutet, dass die Cart-Software bereits einer Reihe strenger Tests unterzogen wurde, um sicherzustellen, dass sie Daten ausreichend verschlüsselt, um sie während der Übertragung vor Cyberangriffen zu schützen.

Auf der Suche nach besseren Kundenbeziehungen?

Testen Sie Userlike kostenlos und chatten Sie mit Ihren Kunden auf Ihrer Website, Facebook Messenger und Telegram.

Wenn Sie nicht besonders technologisch orientiert sind, können Sie einen gehosteten Warenkorb auswählen, der den Käufer von Ihrer Website auf seine eigene, vollständig gesicherte Website bringt. Bei einem gehosteten Warenkorb werden alle sensiblen Daten von Ihrer Website eingegeben und die Details auf einem sicheren Server gespeichert.

3 Mitarbeiter und PCI DSS

Die Sicherheit Ihrer Kundendaten liegt in Ihrer Verantwortung und das bedeutet, dass es wichtig ist, dass Ihre Mitarbeiter verstehen, wie wichtig es für Ihr Unternehmen ist, dass sie sicher aufbewahrt werden. Vor diesem Hintergrund müssen alle Mitarbeiter, die sich im Rahmen ihrer Arbeit mit Kundendaten befassen, sicherstellen, dass sie die Regeln einhalten.

Sie sollten sicherstellen, dass alle Mitarbeiter, die mit:

  • sind sich der Prozesse zum Schutz sensibler Daten bewusst.
  • Speichern Sie keine Kundendaten auf nicht autorisierten Computern oder auf Papier.
  • Verwenden Sie starke Passwörter für alle Benutzerkonten.

Darüber hinaus sollten Sie sicherstellen, dass alle Computer, Geräte und Server im Unternehmensnetzwerk (oder diejenigen, die eine Verbindung herstellen) über Folgendes verfügen:

  • AV-Software und aktuelle Patches für häufig genutzte Software wie Windows / OS, Office, Adobe-Produkte und Java.
  • Sind durch eine Firewall im Netzwerk geschützt.
  • Sind durch ein sicheres Kennwort und Verschlüsselung auf allen Netzwerkroutern, einschließlich WLAN, geschützt.

Für Unternehmen, die es Mitarbeitern ermöglichen, ihre eigenen Geräte mitzubringen, sollten diese mit einer robusten BYOD-Richtlinie verwaltet werden, die festlegt, was vom Mitarbeiter verlangt wird. Wenn Sie oder sie sich immer noch nicht sicher sind, was der Prozess mit sich bringt, können Sie über den PCI Council an Sensibilisierungskursen teilnehmen.

komisches Bild von Arbeitern, die durch ein Teleskop schauen

Sicherheit ist etwas, das viele IT-Experten als ein Problem betrachten, das aufgrund menschlicher Eingriffe nicht gelöst werden kann. Die mit Abstand größten Sicherheitsprobleme, die sich auf das Geschäft auswirken, werden durch mangelnde Kenntnisse des Endbenutzers verursacht. Dies bedeutet, dass es oft schwierig ist, das Risiko zu mindern, da der Endbenutzer nicht genug weiß, um beispielsweise zu wissen, dass er nicht auf diesen Phishing-Link klicken sollte. In den letzten Jahren sind Sicherheitsbedrohungen immer ausgefeilter geworden und tun alles, um sich der Erkennung zu entziehen. Dies wird durch die Tatsache verschlimmert, dass Phishing-Versuche jetzt oft sehr gezielt sind, um die am stärksten gefährdete Person zu erreichen, die angegriffen werden kann, wie z. B. Verwaltungspersonal.

Bedrohungen werden heutzutage durch die schiere Menge an Informationen unterstützt, die in sozialen Medien über eine Person innerhalb einer Organisation gesammelt werden können, bevor ein Angriff versucht wird. Dies bedeutet, dass Cyberkriminelle mit genügend Informationen ausgestattet sind, um so zu klingen, als ob die E-Mail, die sie mit einem bösartigen Link versenden, von einem Freund oder bekannten Lieferanten zu stammen scheint. In diesem Sinne ist eine Aufklärung über die Risiken unerlässlich, und es sollte auch eine solide Politik in Bezug auf soziale Medien und das, was heruntergeladen werden kann, eingeführt werden.

Comic-Bild von Arbeitern, die von internetkrimineller Cyberkriminalität ausgeraubt wurden

Link-Scanner können ebenfalls installiert werden, um sicherzustellen, dass schädliche Links physisch nicht angeklickt werden können, wodurch ein Großteil des Endbenutzerrisikos entfällt.

4 PCI DSS Level

Es gibt vier Konformitätsstufen, die davon abhängen, wie viele Kartentransaktionen Sie im Laufe eines Jahres durchführen.

  • Stufe 1: Für Händler, die mehr als 6 Millionen Visa–Transaktionen pro Jahr verarbeiten – erfordert eine jährliche Sicherheitsbewertung vor Ort und einen vierteljährlichen Netzwerk-Schwachstellenscan.

  • Stufe 2: für Händler, die zwischen 1 Million und 6 Millionen Visa-Transaktionen pro Jahr verarbeiten – Sicherheitsbewertung vor Ort nach eigenem Ermessen, müssen Sie außerdem einen jährlichen Fragebogen zur Selbsteinschätzung und einen vierteljährlichen Netzwerk-Schwachstellenscan bereitstellen.

  • Stufe 3: Für Händler, die 20.000 bis 1 Million Visa Ecommerce-Transaktionen pro Jahr abwickeln – Jährlich ist ein Fragebogen zur Selbsteinschätzung und ein vierteljährlicher Netzwerk-Schwachstellenscan erforderlich.

  • Stufe 4: für Händler, die weniger als 20.000 Visa Ecommerce-Transaktionen pro Jahr verarbeiten, und alle anderen Händler, die bis zu 1 Million Visa-Transaktionen pro Jahr verarbeiten, ist jährlich ein Fragebogen zur Selbsteinschätzung und ein vierteljährlicher Netzwerk-Schwachstellenscan erforderlich.

Denken Sie daran – es ist ein fortlaufender Prozess

Viele Unternehmen stellen sicher, dass sie in erster Linie konform sind, und vergessen dies dann, bis es Zeit für Audits ist. Leider führt dies dazu, dass Bußgelder und weitere Audits (die Geld kosten) häufiger durchgeführt werden. Es ist wichtig, sich daran zu erinnern, dass Compliance ein fortlaufender Prozess ist und häufig überprüft werden muss, nicht nur, bevor der Auditor auftritt.

Comic-Bild von Arbeiter ertrinken in Dateien

Sie müssen immer:

  • Assess – Machen Sie eine Bestandsaufnahme der vorhandenen IT-Assets und Geschäftsprozesse für die Kartenverarbeitung, analysieren Sie Schwachstellen und identifizieren Sie Kundendaten und deren Speicherorte.

  • Remediate – keine Daten speichern, es sei denn, dies ist unbedingt erforderlich, und bekannte Exploits beheben.

  • Bericht – kompilieren und Berichte an den Erwerb zurück und Kartenmarken, die Sie beschäftigen.

Es gibt viele Dinge zu beachten, wenn es um Compliance geht, und der mit Abstand einfachste Weg für den kleineren E-Commerce-Geschäftsinhaber ist die Verwendung eines Zahlungsgateways oder eines gehosteten Warenkorbs. Dadurch entfallen viele der notwendigen Schritte und ein Großteil des Risikos, wenn es um Mitarbeiter geht, die Zahlungen abwickeln, und um die Sicherheit Ihres Unternehmensnetzwerks.

Das heißt jedoch nicht, dass dies die beste Lösung für Sie ist, und Sie sollten daher viel Planung und Vorarbeit leisten, wenn Sie Zahlungen über Ihre Website entgegennehmen und Kundendaten beibehalten möchten. Im Idealfall sollten Sie Letzteres vermeiden und mit Ihrem Zahlungskartenverarbeitungsanbieter sprechen, um zu sehen, welche Optionen Sie haben. Es ist nicht ganz so entmutigend, wie es zunächst erscheint, aber es lohnt sich, sehr vorsichtig zu sein, da viele Unternehmen, die Kundendaten nicht angemessen schützen, nach einer Datenverletzung aus dem Geschäft gehen, dank der Kosten, um sicherzustellen, dass es nicht wieder passiert.

Die besten Ergebnisse erzielen Sie, wenn Sie die Dokumentbibliothek PCI DSS 3.0 (und darunter) auf der Website des PCI Council lesen . Lassen Sie sich auch nicht von all dem Jargon abschrecken, ein schnelles Google kann Ihnen helfen, die technischen Details zu verstehen, oder Sie können die Hilfedateien auf der PCI Council-Website durchgehen.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht.