Miten tehdä sivustosi PCI DSS yhteensopiva

Miten tehdä sivustosi PCI DSS yhteensopiva

pienille yrityksille, jotka haluavat myydä tuotteita verkossa, sääntelyn vanteet, että olet tarvitse hypätä läpi, jos haluat ottaa maksukortteja voi olla hieman pelottava. Kuitenkin, jos et noudata, niin vaarana mojova sakko ja jopa ottaa kyky ottaa kortteja otetaan pois liiketoiminnan.

Card payments online are regulated by the Payment Card Industry Data Security Standards (PCI DSS) and there are 12 requirements for compliance that are all in the following summary headings:

• Rakenna ja ylläpidä turvallista yritysverkkoa
• suojaa kortinhaltijatietoja
• säilytä haavoittuvuuden hallintaohjelma
• Ota käyttöön vahvat kulunvalvontatoimenpiteet
• valvo ja testaa säännöllisesti yritysverkostoja
• säilytä tietoturvaan liittyvä politiikka

on syytä huomauttaa, että voit yksinkertaistaa sääntöjen noudattamista huomattavasti varmistamalla, ettet tallenna tai tallenna kortinhaltijan tietoja. Tämä tarkoittaa, että sen sijaan, sinun pitäisi käyttää Kortinlukija tai POS (point-of-sale) prosessori, joka ei säilytä tietoja yritysjärjestelmien. Voit myös käyttää PayPalin ja Stripen tarjoamaa maksuväylää, mutta sinun tulee huomioida, että vastuu asiakkaasi tiedoista säilyy sinulla. Riippumatta vaihtoehto valitset, sinun pitäisi ensin varmistaa, että voit tarkistaa, että käyttämällä niitä ei tarkoita, että olet yhteensopiva.

esimerkiksi, vaikka käyttäisit maksunkäsittelijää, sivustosi on silti oltava turvallinen, jos ja kun maksutietoja syötetään ja lähetetään. Tämä tarkoittaa, että www-palvelimesi on oltava yhteensopiva ja sivustosi tulee käyttää SSL (Secure Socket Layer) – salausta. Sinun tulisi tarkistaa palveluntarjoajaltasi, voitko tallentaa nämä tiedot heidän suojattuihin järjestelmiinsä, jos sinun on säilytettävä maksutiedot tulevia maksuja varten.

1 Kun valitset turvallisen Webhotellin

valitessasi verkkosivustosi isännän, sinun tulee varmistaa, että palvelimet, hosting-suunnitelma sekä verkkokauppa-ja ostoskorisovellukset noudattavat niitä. Löydät luettelon validoiduista maksusovelluksista PCI-neuvoston verkkosivuilla, jotta voit valita, ja suosittelen myös lyömällä joitakin verkkokauppafoorumeita tarkistaaksesi, mitä muut sanovat. On syytä huomauttaa tässä, että jos olet uusi verkkokauppa, niin halpa tai ilmainen web-isännät ovat harvoin tarpeeksi hyviä noudattamisen varmistamiseksi. Sinun pitäisi myös harkita dedicated hosting-palvelun käyttöä jaetun yli, koska tämä tarkoittaa, että sinä ja vain sinä käytät kyseistä konetta. Jaetun hostauksen avulla jaat usein yhden koneen useiden verkkosivustojen kanssa, mikä tekee noudattamisesta vaikeaa. Jos kuitenkin valitset omat tai virtuaaliset yksityiset palvelimet, ne ovat paljon todennäköisemmin yhteensopivia, vaikkakin hieman kalliimpia.

varmista, että valitsemasi isäntä sallii sinun käyttää myös PHP – ja MySQL-tietokantoja-useimmat tekevät niin nykyään ja jos et ole varma, voit aina soittaa hosting-yhtiölle keskustellakseen tarpeistasi tarkemmin. Varmistamalla, että palvelin ja sivuston tapahtumat ovat turvallisia ennen sivuston rakentamista säästää sydänsuruja pitkällä aikavälillä. Kuitenkin, jos sinun ei todellakaan tarvitse tallentaa tietoja, niin kehotan sinua harkitsemaan käyttämällä maksuväylää, joka vie asiakkaan ulkoiselle, suojatulle sivustolle ennen kuin kysyt mitään yksityiskohtia.

2 ostoskorin valitseminen

ostoskärryjä on valtava määrä, ja sellaisenaankin voi olla aika hämmentävää valita itselle paras. Sen varmistamiseksi, että olet suojella sekä yrityksesi ja asiakkaiden tietoja, sinun pitäisi pyrkiä valitsemaan yksi, joka on PA DSS (maksusovellus tietoturvastandardi) yhteensopiva . Tämä tarkoittaa sitä, että cart-ohjelmistolle on jo tehty useita tiukkoja testejä sen varmistamiseksi, että se salaa tietoja riittävästi kyberhyökkäykseltä suojautuakseen kuljetuksen aikana.

jälleen, jos et ole erityisen teknologisesti ajattelevia, voit valita hosted cart joka vie shopper pois sivustosi ja päälle oma, joka on täysin turvattu. Isännöidyllä ostoskorilla kaikki arkaluonteiset tiedot syötetään sivustoltasi ja tiedot pidetään suojatulla palvelimella.

3 työntekijät ja PCI DSS

asiakastietojen turvallisuus on sinun vastuullasi, ja tämä tarkoittaa, että on tärkeää, että henkilökuntasi ymmärtää, kuinka tärkeää on, että ne pidetään turvassa liiketoiminnallesi. Tämä huomioon ottaen kaikkien niiden työntekijöiden, jotka käsittelevät asiakastietoja osana työtään, on varmistettava, että he noudattavat sääntöjä.

sinun tulee varmistaa, että kaikki työntekijät, jotka käsittelevät tietoja:

• ovat tietoisia prosesseista, joita käytetään arkaluonteisten tietojen suojaamiseen.
• älä tallenna asiakkaiden tietoja luvattomille tietokoneille tai paperille.
• käytä vahvoja salasanoja kaikilla käyttäjätileillä.

lisäksi on varmistettava, että kaikilla yritysverkon tietokoneilla, laitteilla ja palvelimilla (tai niihin kytkeytyvillä) on seuraavat tiedot::

• AV-ohjelmisto ja ajan tasalla olevat korjaustiedostot, joita sovelletaan yleisesti hyödynnettyihin ohjelmistoihin, kuten Windows/OS, Office, Adobe-tuotteet ja Java.
• on suojattu verkon palomuurilla.
• on suojattu siten, että kaikilla verkon reitittimillä, myös langattomilla, on suojattu salasana ja salaus.

niissä yrityksissä, joissa työntekijät voivat tuoda omia laitteitaan töihin, niitä olisi hallittava vankan BYOD-politiikan avulla, jossa määritellään, mitä työntekijältä vaaditaan. Jos sinä tai he ovat vielä epävarmoja siitä, mitä prosessi pitää sisällään, voit ottaa tietoisuuskoulutusta PCI-neuvoston kautta.

turvallisuus on asia, jota monet IT-ammattilaiset pitävät ongelmana, jota ei voi ratkaista ihmisen toiminnan takia. Ylivoimaisesti eniten liiketoimintaan vaikuttavia tietoturvaongelmia aiheuttaa loppukäyttäjän tiedon puute. Tämä tarkoittaa, että se on usein vaikea vähentää riskiä, koska loppukäyttäjä ei tiedä tarpeeksi tietää, että heidän ei pitäisi klikata että phishing linkkiä, esimerkiksi. Viime vuosina turvallisuusuhat ovat muuttuneet yhä monimutkaisemmiksi ja tekevät kaikkensa välttääkseen paljastumisen. Tilannetta pahentaa se, että tietojenkalasteluyritykset kohdistetaan nykyään usein voimakkaasti kaikkein haavoittuvimpien henkilöiden, kuten hallintohenkilöstön, tavoittamiseen.

uhkausten taustalla on näinä päivinä pelkästään se määrä tietoa, jota voidaan kerätä sosiaalisessa mediassa henkilöstä organisaation sisällä ennen hyökkäyksen yritystä. Tämä tarkoittaa, että verkkorikollisilla on etukäteen riittävästi tietoa, jotta he kuulostavat siltä, kuin heidän lähettämänsä sähköposti, jossa on haitallinen linkki, näyttäisi olevan peräisin ystävältä tai tunnetulta toimittajalta. Tässä mielessä riskeistä valistaminen on välttämätöntä, ja myös sosiaaliseen mediaan ja siihen, mitä voi ladata, pitäisi saada aikaan järkevää politiikkaa.

Linkkiskannerit voidaan myös asentaa varmistamaan, ettei haitallisia linkkejä voi fyysisesti klikata, jolloin loppukäyttäjäriski on suuri.

4 PCI-DSS-tasot

vaatimustenmukaisuuden tasoja on neljä, jotka riippuvat siitä, kuinka monta korttitapahtumaa otat vuoden aikana.

• Taso 1: kauppiaille, jotka käsittelevät yli 6 miljoonaa Viisumitapahtumaa vuodessa – edellyttää, että sinulla on paikan päällä turvallisuusarviointi vuosittain ja neljännesvuosittainen verkkohaavoittuvuuden tarkistus.
• Taso 2: kauppiaille, jotka käsittelevät 1-6 miljoonaa Viisumitapahtumaa vuodessa-oman harkintansa mukaan paikan päällä tehtävän tietoturvaarvioinnin, sinun on myös annettava vuotuinen itsearviointikysely ja neljännesvuosittainen verkkohaavoittuvuuden tarkistus.
• Taso 3: kauppiaille, jotka käsittelevät 20 000-1 miljoonaa Visa – verkkokauppatapahtumaa vuodessa-itsearviointikysely vaaditaan vuosittain ja neljännesvuosittainen verkkohaavoittuvuuden tarkistus.
• Taso 4: kauppiaille, jotka käsittelevät alle 20 000 Visa – verkkokauppatapahtumaa vuodessa, ja kaikille muille kauppiaille, jotka käsittelevät enintään 1 miljoonaa Visa-tapahtumaa vuodessa-itsearviointikysely vaaditaan vuosittain ja neljännesvuosittainen verkkohaavoittuvuuden tarkistus.

muista-se on jatkuva prosessi

monet yritykset varmistavat, että ne ovat yhteensopivia ensimmäisessä vaiheessa ja sitten unohtaa sen, kunnes on auditointiaika. Valitettavasti tämä johtaa siihen, että sakkoja ja (rahaa maksavia) lisätarkastuksia tehdään useammin. On tärkeää muistaa, että vaatimustenmukaisuus on jatkuva prosessi ja se on tarkistettava usein, ei juuri ennen kuin tilintarkastaja on laittamassa ulkonäkö.

aina pitää:

• Assess – inventoi olemassa olevat tietotekniset voimavarat ja liiketoimintaprosessit korttien käsittelyyn, analysoimalla haavoittuvuuksia kuten teet ja tunnistamalla asiakastiedot ja missä niitä säilytetään.
• Remediate – tietoja ei tallenneta, ellei se ole ehdottoman välttämätöntä ja tietoja korjataan.
• raportoi – kokoa ja lähetä raportteja takaisin-ja korttimerkkien hankkimiseen, joita käsittelet.

sääntöjen noudattamisessa on paljon mietittävää, ja ylivoimaisesti helpoin tapa pienemmälle verkkokauppayrittäjälle on käyttää maksuväylää tai isännöityä ostoskoria. Tämä poistaa paljon tarvittavat toimenpiteet ja vie paljon riskiä pois, kun se tulee työntekijät käsittelevät maksuja ja turvallisuus yrityksesi verkkoon.

se ei kuitenkaan tarkoita, että se olisi paras ratkaisu sinulle, joten sinun pitäisi pyrkiä tekemään paljon suunnittelua ja pohjatyötä, jos aiot ottaa maksuja sivustosi kautta ja säilyttää asiakastiedot. Ihannetapauksessa sinun pitäisi välttää jälkimmäisen tekemistä ja keskustella maksukorttisi käsittelijän kanssa nähdäksesi, mitä vaihtoehtoja sinulla on. Se ei ole aivan niin pelottava kuin se ensin näyttää, mutta se maksaa olla hyvin varovainen, koska monet yritykset, jotka eivät suojaa riittävästi asiakastietoja menevät konkurssiin jälkeen tietomurron, kiitos kustannukset varmistaa, että se ei tapahdu uudelleen.

saat parhaat tulokset lukemalla PCI DSS 3.0 (ja alla) – dokumenttikirjaston PCI-neuvoston verkkosivuilla . Älä lykkää pois kaikki ammattikieltä joko, nopea Google voi auttaa sinua ymmärtämään muotoseikat tai voit käydä läpi ohjetiedostot PCI neuvoston verkkosivuilla.