Jak sprawić, aby Twoja witryna była zgodna z PCI DSS

Jak sprawić, aby Twoja witryna była zgodna z PCI DSS

dla małych firm, które chcą sprzedawać produkty online, przeszkody regulacyjne, które musisz pokonać, jeśli chcesz przyjmować karty płatnicze, mogą być nieco zniechęcające. Jeśli jednak nie zastosujesz się, ryzykujesz wysoką grzywnę, a nawet możliwość zabierania kart z firmy.

płatności kartą online są regulowane przez Payment Card Industry Data Security Standards (PCI DSS) i istnieje 12 wymagań dotyczących zgodności, które znajdują się w następujących nagłówkach podsumowania:

• Buduj i utrzymuj bezpieczną sieć biznesową
• Chroń dane posiadaczy kart
• utrzymuj program zarządzania lukami w zabezpieczeniach
• wdrażaj silne środki kontroli dostępu
• regularnie monitoruj i testuj sieci biznesowe
• utrzymuj politykę dotyczącą bezpieczeństwa informacji

warto zauważyć, że można znacznie uprościć proces zgodności, zapewniając, że nie zapisujesz ani nie przechowujesz żadnych danych posiadacza karty. Oznacza to, że zamiast tego powinieneś użyć czytnika kart lub procesora POS, który nie przechowuje informacji o systemach biznesowych. Możesz również skorzystać z bramki płatności, takiej jak te dostarczane przez PayPal i Stripe, ale powinieneś mieć świadomość, że odpowiedzialność za dane Klienta pozostaje po tobie. Niezależnie od wybranej opcji, należy najpierw upewnić się, że ich użycie oznacza, że jesteś zgodny.

na przykład, nawet jeśli korzystasz z procesora płatności, Twoja witryna nadal musi być bezpieczna, jeśli i kiedy dane dotyczące płatności są wprowadzane i przesyłane. Oznacza to, że jako taki serwer WWW musi być zgodny, a witryna powinna używać szyfrowania Secure Socket Layer (SSL). Należy skontaktować się ze swoim dostawcą, czy można przechowywać te dane w ich bezpiecznych systemach, jeśli trzeba zachować informacje o płatności dla przyszłych płatności.

1 wybór bezpiecznego hosta internetowego

wybierając hosta dla swojej witryny, powinieneś upewnić się, że serwery, plan hostingowy oraz aplikacje e-commerce i koszyk na zakupy są zgodne. Możesz znaleźć listę zatwierdzonych wniosków o płatność na stronie Rady PCI, aby pomóc Ci wybrać, a ja również polecam odwiedzenie niektórych forów e-commerce, aby sprawdzić, co mówią inni. Warto podkreślić, że jeśli jesteś nowy w e-commerce, tanie lub bezpłatne hosty internetowe rzadko będą wystarczająco dobre, aby zapewnić zgodność. Powinieneś również rozważyć użycie dedykowanego hostingu nad współdzielonym, ponieważ oznacza to, że ty i tylko Ty korzystasz z tego urządzenia. W przypadku hostingu współdzielonego często udostępniasz jedną maszynę z wieloma witrynami, co utrudnia zgodność. Jeśli jednak wybierzesz dedykowane lub Wirtualne serwery prywatne, są one znacznie bardziej zgodne, choć nieco droższe.

upewnij się, że wybrany host pozwala również korzystać z baz danych PHP i MySQL – większość z nich robi obecnie, a jeśli nie jesteś pewien, zawsze możesz zadzwonić do firmy hostingowej, aby omówić bardziej szczegółowe potrzeby. Zapewnienie, że transakcje na serwerze i Witrynie są bezpieczne przed zbudowaniem witryny, pozwoli zaoszczędzić Ci bólu serca w dłuższej perspektywie. Jeśli jednak naprawdę nie musisz przechowywać danych, zachęcam cię do rozważenia użycia bramki płatności, która przenosi klienta do zewnętrznej, bezpiecznej witryny przed zapytaniem o jakiekolwiek szczegóły.

2 Wybór koszyka

istnieje ogromna ilość wózków do wyboru i jako takie może być dość mylące, jeśli chodzi o wybór najlepszego dla ciebie. Aby mieć pewność, że chronisz zarówno swoją firmę, jak i dane klientów, powinieneś wybrać taki, który jest zgodny ze standardem PA DSS (Payment Application Data Security Standard). Oznacza to, że oprogramowanie cart zostało już poddane serii rygorystycznych testów, aby zapewnić, że szyfruje dane wystarczająco, aby chronić je przed cyberatakiem podczas transportu.

ponownie, jeśli nie jesteś szczególnie technologicznie myślący, możesz wybrać hostowany koszyk, który zabiera kupującego z twojej witryny i na własną, która jest w pełni zabezpieczona. Dzięki hostowanemu koszykowi wszystkie poufne dane są wprowadzane z twojej witryny, a szczegóły przechowywane na bezpiecznym serwerze.

3 pracownicy i PCI DSS

odpowiedzialność za bezpieczeństwo danych klientów spoczywa na tobie, a to oznacza, że ważne jest, aby twój personel zrozumiał, jak ważne jest dla Twojej firmy, aby były one bezpieczne. Mając to na uwadze, wszyscy pracownicy, którzy zajmują się danymi klientów w ramach swojej pracy, muszą upewnić się, że przestrzegają zasad.

należy upewnić się, że wszyscy pracownicy, którzy zajmują się danymi:

• są świadomi procesów stosowanych do ochrony wrażliwych danych.
• nie przechowuj Danych Klientów na nieautoryzowanych komputerach ani na papierze.
• używaj silnych haseł na wszystkich kontach użytkowników.

dodatkowo należy upewnić się, że wszystkie komputery ,urządzenia i serwery w sieci biznesowej (lub te, które się z nią łączą) mają następujące funkcje:

• oprogramowanie AV i aktualne poprawki stosowane do powszechnie eksploatowanego oprogramowania, takiego jak Windows/OS, Office, produkty Adobe i Java.
• są chronione przez zaporę sieciową.
• są chronione przez bezpieczne hasło i szyfrowanie we wszystkich routerach sieciowych, w tym bezprzewodowych.

w przypadku firm, które umożliwiają pracownikom przenoszenie własnych urządzeń do pracy, powinny one być zarządzane za pomocą solidnej polityki BYOD, która określa, co jest wymagane od pracownika. Jeśli ty lub oni nadal nie jesteście pewni, co to za proces pociąga za sobą, możesz wziąć udział w kursach szkoleniowych w zakresie świadomości za pośrednictwem Rady PCI.

bezpieczeństwo jest czymś, co wielu specjalistów IT uważa za problem, którego nie można rozwiązać z powodu interwencji człowieka. Zdecydowanie większość problemów związanych z bezpieczeństwem, które mają wpływ na biznes, jest spowodowana brakiem wiedzy u użytkownika końcowego. Oznacza to, że często trudno jest zminimalizować ryzyko, ponieważ użytkownik końcowy nie wie wystarczająco dużo, aby wiedzieć, że nie powinien klikać tego łącza phishingowego. W ostatnich latach zagrożenia bezpieczeństwa stają się coraz bardziej wyrafinowane i robią wszystko, co w ich mocy, aby uniknąć wykrycia. Pogarsza to fakt, że próby phishingu są obecnie często bardzo ukierunkowane, aby dotrzeć do najbardziej narażonych na atak osób, takich jak personel administracyjny.

zagrożenia w dzisiejszych czasach są wspierane przez samą ilość informacji, które można zebrać w mediach społecznościowych na temat osoby w organizacji przed próbą ataku. Oznacza to, że cyberprzestępcy są uzbrojeni w wystarczającą ilość informacji, aby brzmieć tak, jakby wiadomość e-mail, którą wysyłają ze złośliwym linkiem, pochodziła od znajomego lub znanego dostawcy. Mając to na uwadze, niezbędna jest edukacja w zakresie zagrożeń, a także odpowiednia polityka w zakresie mediów społecznościowych i tego, co można pobrać, powinna zostać wdrożona.

Skanery linków mogą być również zainstalowane, aby zapewnić, że żadne złośliwe linki fizycznie nie mogą zostać kliknięte, co zmniejsza ryzyko Użytkownika Końcowego.

4 poziomy PCI DSS

istnieją cztery poziomy zgodności, które zależą od liczby transakcji kartą, które przejmiesz w ciągu roku.

• Poziom 1: dla sprzedawców, którzy przetwarzają ponad 6 milionów transakcji wizowych rocznie-wymaga corocznej oceny bezpieczeństwa na miejscu i kwartalnego skanowania luk w sieci.
• Poziom 2: w przypadku handlowców przetwarzających od 1 do 6 milionów transakcji wizowych rocznie-Ocena bezpieczeństwa na miejscu według własnego uznania, wymagane jest również dostarczenie rocznego kwestionariusza samooceny i kwartalnego skanowania luk w zabezpieczeniach sieci.
• Poziom 3: dla handlowców przetwarzających od 20 000 do 1 miliona transakcji e-commerce Visa rocznie-wymagany jest kwestionariusz samooceny rocznie i kwartalne skanowanie luk w sieci.
• Poziom 4: dla handlowców przetwarzających mniej niż 20 000 transakcji e – commerce Visa rocznie i wszystkich innych handlowców przetwarzających do 1 miliona transakcji Visa rocznie-wymagany jest kwestionariusz samooceny rocznie i kwartalne skanowanie luk w sieci.

Pamiętaj-jest to ciągły proces

wiele firm zapewnia, że są one zgodne w pierwszej kolejności, a następnie zapomnieć o tym, aż nadszedł czas audytu. Niestety prowadzi to do częstszych kar i dalszych kontroli (które kosztują). Ważne jest, aby pamiętać, że zgodność z przepisami jest procesem ciągłym i musi być często sprawdzana, a nie tylko przed pojawieniem się audytora.

zawsze musisz:

• Oceń-zrób inwentaryzację istniejących zasobów IT i procesów biznesowych w celu przetwarzania kart, analizując luki w zabezpieczeniach i identyfikując dane klientów i miejsca ich przechowywania.
• Remediate – nie przechowywanie danych, chyba że jest to absolutnie konieczne i naprawianie znanych exploitów.
• Report-Kompiluj i przesyłaj raporty do autoryzowanych marek zwrotnych i kart, z którymi masz do czynienia.

istnieje wiele rzeczy do rozważenia, jeśli chodzi o zgodność, a zdecydowanie najłatwiejszym sposobem dla mniejszego właściciela firmy ecommerce jest użycie bramki płatności lub hostowanego koszyka. Usuwa to wiele niezbędnych kroków i zabiera wiele ryzyka, jeśli chodzi o pracowników obsługujących płatności i bezpieczeństwo sieci biznesowej.

jednak nie oznacza to, że jest to najlepsze rozwiązanie dla ciebie, więc powinieneś starać się włożyć wiele planowania i prac fundamentowych, jeśli planujesz przyjmowanie płatności za pośrednictwem witryny i zachowanie danych Klienta. Najlepiej, aby uniknąć tego ostatniego i porozmawiać z dostawcą przetwarzania kart płatniczych, aby zobaczyć, jakie są opcje. Nie jest to tak zniechęcające, jak się wydaje, ale opłaca się być bardzo ostrożnym, ponieważ wiele firm, które nie są w stanie odpowiednio chronić Danych Klientów, wychodzi z biznesu po naruszeniu danych, dzięki kosztom zapewnienia, że to się nie powtórzy.

aby uzyskać najlepsze wyniki, zapoznaj się z biblioteką dokumentów PCI DSS 3.0 (i poniżej) na stronie Rady PCI . Nie zniechęcaj się żargonem, szybki Google może pomóc ci zrozumieć szczegóły techniczne lub przejrzeć pliki pomocy na stronie Rady PCI.