Hogyan készítsünk honlap PCI DSS kompatibilis

Hogyan készítsünk honlap PCI DSS kompatibilis

a kisvállalkozások szeretnének eladni termékeket online, a szabályozási karika, hogy te vagy szükség, hogy ugorj át, ha kell, hogy a fizetési kártyák is kissé ijesztő. Ha azonban nem felel meg, akkor súlyos bírságot kockáztat, sőt képes arra, hogy elvegye az üzletből elvett kártyákat.

képregény a hitelkártya átadásról

az online kártyás fizetéseket a Payment Card Industry Data Security Standards (PCI DSS) szabályozza, és 12 követelmény van a megfelelőségre, amelyek a következő összefoglaló fejezetek alá tartoznak:

  • biztonságos üzleti hálózat kiépítése és fenntartása
  • a kártyabirtokosok adatainak védelme
  • biztonsági rés-kezelő program fenntartása
  • erős hozzáférés-ellenőrzési intézkedések végrehajtása
  • az üzleti hálózatok rendszeres ellenőrzése és tesztelése
  • az információbiztonsággal foglalkozó politika fenntartása

érdemes rámutatni, hogy jelentősen egyszerűsítheti a megfelelőségi folyamatot annak biztosításával, hogy ne mentse vagy tárolja a kártyabirtokos adatait. Ez azt jelenti, hogy ehelyett olyan kártyaolvasót vagy értékesítési pont (POS) processzort kell használnia, amely nem őrzi meg az üzleti rendszerekre vonatkozó információkat. Használhat olyan fizetési átjárót is, amelyet a PayPal és a Stripe biztosít, de tisztában kell lennie azzal, hogy az ügyfél adataiért továbbra is Ön a felelős. Bármelyik opciót is választja, először ellenőriznie kell, hogy ezek használata azt jelenti-e, hogy megfelel-e.

a teendők listája

például, még akkor is, ha fizetési processzort használ, webhelyének továbbra is biztonságosnak kell lennie, ha a fizetési adatokat beírják és továbbítják. Ez azt jelenti, hogy a webkiszolgálónak megfelelőnek kell lennie, és webhelyének biztonságos Socket Layer (SSL) titkosítást kell használnia. Kérdezze meg szolgáltatóját, hogy tárolhatja-e ezeket az adatokat biztonságos rendszerein, ha meg kell őriznie a fizetési információkat a jövőbeni fizetésekhez.

1 biztonságos webtárhely kiválasztása

a webhely gazdagépének kiválasztásakor ügyeljen arra, hogy a szerverek, a tárhely-terv, valamint az e-kereskedelmi és bevásárlókosár-alkalmazások megfeleljenek. Az érvényesített fizetési alkalmazások listáját megtalálhatja a PCI Tanács webhelyén, hogy segítsen kiválasztani, és azt is javasolnám, hogy üssön néhány e-kereskedelmi fórumot, hogy megnézze, mit mondanak mások. Érdemes itt rámutatni, hogy ha még nem ismeri az e-kereskedelmet, akkor az olcsó vagy ingyenes webtárhelyek ritkán lesznek elég jók a megfelelés biztosításához. Azt is meg kell fontolnia, hogy a dedikált tárhelyet megosztott módon használja, mivel ez azt jelenti, hogy csak Ön használja ezt a gépet. A Megosztott tárhely használatával gyakran egy gépet oszt meg több weboldallal, és ez megnehezíti a megfelelést. Ha azonban dedikált vagy virtuális magánkiszolgálókat választ, akkor sokkal valószínűbb, hogy megfelelnek, bár egy kicsit drágábbak.

comic picture of manager losing money

győződjön meg róla, hogy a kiválasztott host lehetővé teszi a PHP és a MySQL adatbázisok használatát is – a legtöbb manapság, és ha nem biztos benne, akkor mindig felhívhatja a hosting céget, hogy részletesebben megvitassa az igényeit. Annak biztosítása, hogy a szerver és a webhely tranzakciói biztonságosak legyenek a webhely felépítése előtt, hosszú távon megtakaríthatja a szívfájdalmat. Ha azonban valóban nem kell adatokat tárolnia, akkor arra kérem Önt, hogy fontolja meg egy fizetési átjáró használatát, amely az ügyfelet egy külső, biztonságos webhelyre viszi, mielőtt bármilyen részletet kérne.

2 Bevásárlókosár kiválasztása

hatalmas mennyiségű bevásárlókocsi közül lehet választani, és mint ilyen, meglehetősen zavaró lehet, amikor a legjobbat választja az Ön számára. Annak érdekében, hogy mind az üzleti, mind az ügyfelek adatait megvédje, törekednie kell arra, hogy válasszon egyet, amely megfelel a PA DSS (Payment Application Data Security Standard) szabványnak . Ez azt jelenti, hogy a cart szoftvert már szigorú teszteknek vetették alá annak biztosítása érdekében, hogy az adatokat megfelelően titkosítsa ahhoz, hogy szállítás közben megvédje a kibertámadásokat.

jobb ügyfélkapcsolatokat keres?

tesztelje a Userlike-ot ingyen, és csevegjen az ügyfelekkel a webhelyén, a Facebook Messengeren és a Telegramon.

ismét, ha nem különösebben technológiai gondolkodású, akkor választhat egy hostolt kocsit, amely a Vásárlót eltávolítja a webhelyéről, és a sajátjára, amely teljesen biztonságos. A tárolt kosárral az összes érzékeny adatot a webhelyről, a részleteket pedig egy biztonságos szerveren tárolja.

3 alkalmazottak és PCI DSS

az ügyfelek adatainak biztonsága az Ön felelőssége, és ez azt jelenti, hogy fontos, hogy munkatársai megértsék, mennyire fontos az Ön vállalkozása számára, hogy biztonságban legyenek. Ezt szem előtt tartva minden olyan alkalmazottnak, aki munkája részeként foglalkozik az ügyfelek adataival, biztosítania kell a szabályok betartását.

biztosítani kell, hogy minden alkalmazott, aki foglalkozik az adatok:

  • tisztában vannak az érzékeny adatok védelmére használt folyamatokkal.
  • ne tárolja az Ügyféladatokat illetéktelen számítógépeken vagy papíron.
  • használjon erős jelszavakat minden Felhasználói fiókban.

ezenkívül meg kell győződnie arról, hogy az üzleti hálózat összes számítógépe, eszköze és kiszolgálója (vagy azok, amelyek csatlakoznak hozzá) rendelkezik a következőkkel:

  • AV szoftver és up-to-date javítások alkalmazott általánosan használt szoftver, mint a Windows/OS, Office, Adobe termékek és Java.
  • tűzfal védi a hálózaton.
  • biztonságos jelszóval és titkosítással vannak védve minden hálózati útválasztón, beleértve a vezeték nélküli hálózatot is.

azoknak a vállalkozásoknak, amelyek lehetővé teszik az alkalmazottak számára, hogy saját eszközeiket működésbe hozzák, ezeket egy robusztus BYOD-házirenddel kell kezelni, amely meghatározza, hogy mi szükséges a munkavállalótól. Ha Ön vagy ők még mindig nem biztosak abban, hogy mit jelent a folyamat, akkor a PCI Tanácson keresztül tudatosító tanfolyamokat vehet igénybe.

komikus kép a teleszkópon keresztül néző munkavállalókról

a biztonság olyan probléma, amelyet sok informatikai szakember emberi beavatkozás miatt nem lehet megoldani. Messze a legtöbb biztonsági kérdések, amelyek befolyásolják az üzleti által okozott ismeretek hiánya a végfelhasználó. Ez azt jelenti, hogy gyakran nehéz enyhíteni a kockázatot, mert a végfelhasználó nem tud eleget ahhoz, hogy tudja, hogy ne kattintson például az adathalász linkre. Az elmúlt években a biztonsági fenyegetések egyre kifinomultabbá váltak, és mindent megtesznek annak érdekében, hogy elkerüljék a felderítést. Ezt súlyosbítja az a tény, hogy az adathalász kísérletek ma már gyakran erősen célzott, hogy elérje a legsebezhetőbb személy támadni, mint például az adminisztratív személyzet.

a fenyegetéseket manapság az a rengeteg információ támasztja alá, amelyet a közösségi médiában összegyűjthetnek egy szervezeten belüli egyénről, mielőtt támadást kísérelnek meg. Ez azt jelenti, hogy a számítógépes bűnözők elegendő információval rendelkeznek ahhoz, hogy úgy tűnjenek, mintha egy rosszindulatú linkkel küldött e-mail egy baráttól vagy ismert szállítótól származna. Ezt szem előtt tartva alapvető fontosságú a kockázatokkal kapcsolatos oktatás, és a közösségi médiára és a letölthető anyagokra vonatkozó szilárd politikát is be kell vezetni.

képregény kép a munkavállaló kirabolták az internetes bűnözés kiberbűnözés

Link szkennerek is telepíthető annak biztosítására, hogy a rosszindulatú linkek fizikailag nem lehet kattintani, így elvéve egy csomó a végfelhasználó kockázatát.

4 PCI DSS szintek

a megfelelésnek négy szintje van, amelyek attól függnek, hogy egy év alatt hány kártyatranzakciót hajt végre.

  • 1.szint: azoknak a kereskedőknek, akik évente több mint 6 millió Visa – tranzakciót dolgoznak fel-évente helyszíni biztonsági értékelést és negyedéves hálózati sebezhetőségi vizsgálatot igényel.

  • 2. szint: azon kereskedők esetében, akik évente 1-6 millió Visa tranzakciót dolgoznak fel – helyszíni biztonsági értékelés saját belátása szerint, Önnek éves önértékelési kérdőívet és negyedéves hálózati sebezhetőségi vizsgálatot is be kell nyújtania.

  • 3.szint: azoknak a kereskedőknek, akik évente 20 000-1 millió Visa e – kereskedelmi tranzakciót dolgoznak fel-évente önértékelési kérdőív és negyedéves hálózati Sebezhetőségi vizsgálat szükséges.

  • 4. szint: azoknak a kereskedőknek, akik évente kevesebb mint 20 000 Visa e-kereskedelmi tranzakciót dolgoznak fel, és minden más kereskedőnek, akik évente legfeljebb 1 millió Visa tranzakciót dolgoznak fel, évente önértékelési kérdőív és negyedéves hálózati sérülékenységi vizsgálat szükséges.

ne feledje-ez egy folyamatban lévő folyamat

sok vállalkozás biztosítja, hogy első fokon megfelelnek-e, majd az ellenőrzési időig elfelejti. Sajnos ez pénzbírságokhoz és további (pénzbe kerülő) ellenőrzésekhez vezet. Fontos megjegyezni, hogy a megfelelés folyamatos folyamat, és gyakran ellenőrizni kell, nem csak az auditor megjelenése előtt.

képregény kép a munkavállaló fulladás fájlok

meg kell mindig:

  • Értékelés-készítsen leltárt a meglévő informatikai eszközökről és üzleti folyamatokról a kártya feldolgozásához, a sebezhetőségek elemzéséhez, valamint az ügyféladatok azonosításához és tárolásához.

  • Remediate – nem tárolja az adatokat, kivéve, ha feltétlenül szükséges, és rögzíti az ismert exploitokat.

  • jelentés – jelentések összeállítása és benyújtása az Ön által kezelt vissza-és kártyamárkák megszerzéséhez.

sok szempontot kell figyelembe venni a megfelelés szempontjából, és a kisebb e-kereskedelmi vállalkozás tulajdonosának messze a legegyszerűbb módja a fizetési átjáró vagy a hosztolt kosár használata. Ez sok szükséges lépést eltávolít, és sok kockázatot vállal a fizetések kezelésével és az üzleti hálózat biztonságával kapcsolatban.

ez azonban nem azt jelenti, hogy ez a legjobb megoldás az Ön számára, ezért arra kell törekednie, hogy sok tervezést és alapot készítsen, ha a webhelyén keresztül fizetéseket tervez, és megtartja az ügyfelek adatait. Ideális esetben kerülje az utóbbit, és beszéljen a fizetési kártya feldolgozó szolgáltatójával, hogy megnézze, milyen lehetőségei vannak. Ez nem annyira ijesztő, mint amilyennek látszik, de fizet, hogy nagyon óvatos legyen, mivel sok olyan vállalkozás, amely nem tudja megfelelően megvédeni az ügyfelek adatait, az adatok megsértése után kilép az üzletből, köszönhetően annak, hogy ez nem történik meg újra.

a legjobb eredmény érdekében olvassa el a PCI DSS 3.0 (vagy annál alacsonyabb) dokumentumok könyvtárát a PCI Tanács webhelyén . Ne tegye ki az összes zsargon sem, egy gyors Google segíthet megérteni a technikákat, vagy átnézheti a PCI Tanács webhelyén található súgófájlokat.

Leave a Reply

Az e-mail-címet nem tesszük közzé.