Como tornar seu site compatível com PCI DSS

Como tornar seu site compatível com PCI DSS

para pequenas empresas que desejam vender produtos on-line, os aros regulatórios que você deve pular se precisar receber cartões de pagamento podem ser um pouco assustadores. No entanto, se você não cumprir, corre o risco de uma multa pesada e até mesmo ter a capacidade de tirar cartões retirados do negócio.

comic of credit card payment handover

os pagamentos com cartão online são regulados pelos padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS) e existem 12 requisitos de conformidade que vêm sob os seguintes títulos de resumo:

  • Construir e manter um seguro de negócio de rede
  • Proteger dados de portador de cartão
  • Manter uma vulnerabilidade de gerenciamento do programa
  • Implementar fortes medidas de controle de acesso
  • Regularmente, monitorar e testar as redes empresariais
  • Manter uma política que aborde a segurança da informação

Vale a pena mencionar que você pode simplificar o processo de conformidade substancialmente, garantindo que você não guardar ou armazenar quaisquer dados de portador de cartão. Isso significa que, em vez disso, você deve usar um leitor de cartão ou processador de ponto de Venda (POS) que não retenha as informações nos sistemas comerciais. Você também pode usar um gateway de pagamento, como os fornecidos pelo PayPal e Stripe, mas deve estar ciente de que a responsabilidade pelos dados do seu cliente permanece com você. Seja qual for a opção que você escolher, você deve primeiro garantir que você verifique se usá-los significa que você está em conformidade.

comic of To do list

por exemplo, mesmo se você usar um processador de pagamento, seu site ainda precisa estar seguro se e quando os detalhes do pagamento estiverem sendo inseridos e transmitidos. Isso significa que, como tal, seu servidor web deve estar em conformidade e seu site deve usar criptografia Secure Socket Layer (SSL). Você deve verificar com seu provedor se pode armazenar esses dados em seus sistemas seguros se precisar manter as informações de pagamento para pagamentos futuros.

1 Escolhendo um host seguro

ao escolher um host para o seu site, você deve garantir que os servidores, o plano de hospedagem e os aplicativos de comércio eletrônico e carrinho de compras estejam em conformidade. Você pode encontrar uma lista de aplicativos de pagamento validados no site do PCI council para ajudá-lo a escolher e eu também recomendaria acessar alguns fóruns de comércio eletrônico para verificar o que os outros estão dizendo. Vale ressaltar aqui que, se você é novo no comércio eletrônico, os hosts da web baratos ou gratuitos raramente serão bons o suficiente para garantir a conformidade. Você também deve considerar o uso de hospedagem dedicada sobre compartilhada, pois isso significa que você e somente você estão usando essa máquina. Com a hospedagem compartilhada, você costuma compartilhar uma máquina com vários sites e isso dificulta a conformidade. No entanto, se você escolher servidores privados dedicados ou virtuais, é muito mais provável que sejam compatíveis, embora um pouco mais caros.

quadrinhos imagem de gestor de perder dinheiro

Garantir que o host que você escolha permite a utilização de PHP e MySQL bases de dados muito mais fazer estes dias e se você não tem certeza, então você sempre pode dar a empresa de hospedagem de uma chamada para discutir suas necessidades mais detalhadamente. Garantir que as transações do servidor e do site sejam seguras antes de construir seu site economizará dor de cabeça a longo prazo. No entanto, se você realmente não precisa armazenar dados, recomendo que considere usar um gateway de pagamento que leve o cliente a um site externo e seguro antes de solicitar quaisquer detalhes.

2 a Escolha de um Carrinho de Compras

Há uma enorme quantidade de carrinhos de compras para escolher, e como tal, ele pode ficar muito confuso quando se trata de escolher o melhor para você. Para garantir que você esteja protegendo os dados de sua empresa e de seus clientes, você deve escolher um que seja compatível com PA DSS (Payment Application Data Security Standard). Isso significa que o software cart já foi submetido a uma série de testes rigorosos para garantir que ele criptografe dados o suficiente para proteger contra ataques cibernéticos quando em trânsito.

procurando melhores relacionamentos com clientes?

teste Userlike gratuitamente e converse com seus clientes em seu site, Facebook Messenger e Telegram.

mais uma vez, se você não é particularmente tecnologicamente espírito, você pode escolher um carrinho hospedado que leva o comprador fora de seu site e para o seu próprio que é totalmente seguro. Com um carrinho hospedado, todos os dados confidenciais são inseridos fora do seu site e os detalhes mantidos em um servidor seguro.

3 funcionários e PCI DSS

a segurança dos dados do seu cliente é de sua responsabilidade e isso significa que é importante que sua equipe entenda o quão vital é para sua empresa que ela seja mantida segura. Com isso em mente, todos os funcionários que lidam com os detalhes do cliente como parte de seu trabalho devem garantir que sigam as regras.

você deve garantir que todos os funcionários que lidam com dados:

  • estão cientes dos processos usados para proteger dados confidenciais.
  • não armazene dados de clientes em computadores não autorizados ou em papel.
  • Use senhas fortes em todas as contas de usuário.

Além disso, você deve garantir que todos os computadores, dispositivos e servidores na rede de empresas (ou aqueles que se conectam a ele) tem a seguinte:

  • AV software e up-to-date patches aplicados comumente exploradas software como o Windows/sistema operacional, Office, Adobe produtos e Java.
  • são protegidos por um firewall na rede.
  • são protegidos por ter senha segura e criptografia em todos os roteadores de rede, incluindo wireless.

para as empresas que permitem que os funcionários tragam seus próprios dispositivos para o trabalho, eles devem ser gerenciados com uma política BYOD robusta que define o que é exigido do funcionário. Se você ou eles ainda não tiverem certeza sobre o que o processo implica, então você pode fazer cursos de treinamento de conscientização através do Conselho PCI.

quadrinhos imagem dos trabalhadores olhando através de um telescópio

Segurança é algo que muitos profissionais de TI consideram ser um problema que não pode ser resolvido, devido à intervenção humana. De longe, a maioria dos problemas de segurança que afetam os negócios são causados pela falta de conhecimento no usuário final. Isso significa que muitas vezes é difícil mitigar o risco porque o usuário final não sabe o suficiente para saber que não deve clicar nesse link de phishing, por exemplo. Nos últimos anos, as ameaças à segurança tornaram-se cada vez mais sofisticadas e fazem tudo o que podem para evitar a detecção. Isso é agravado pelo fato de que as tentativas de phishing agora são altamente direcionadas para alcançar a pessoa mais vulnerável a ataques, como a equipe administrativa. Atualmente, as ameaças são apoiadas pela grande quantidade de informações que podem ser coletadas nas mídias sociais sobre um indivíduo dentro de uma organização antes que um ataque seja tentado. Isso significa que os cibercriminosos estão equipados com informações suficientes para soar como se o e-mail que enviam com um link malicioso parecesse ser de um amigo ou fornecedor conhecido. Com isso em mente, a educação sobre os riscos é essencial e uma política sólida nas mídias sociais e o que pode ser baixado também deve ser implementado.

imagem cômica do trabalhador roubado pelo cibercrime criminoso da internet

os scanners de links também podem ser instalados para garantir que qualquer link malicioso fisicamente não possa ser clicado, tirando muito do risco do usuário final.

4 níveis de PCI DSS

existem quatro níveis de conformidade, que dependem de quantas transações de cartão você realiza ao longo de um ano.

  • Nível 1: para os comerciantes que processam mais de 6 milhões de transações Visa por ano – exige que você tenha uma avaliação de segurança no local anualmente e uma varredura de vulnerabilidade de rede trimestral.

  • Nível 2: para comerciantes que processam entre 1 milhão a 6 milhões de transações de visto por ano-avaliação de segurança no local a seu critério, você também deve fornecer um questionário anual de autoavaliação e uma verificação trimestral de vulnerabilidade de rede.

  • Nível 3: para comerciantes que processam 20.000 a 1 milhão de transações de comércio eletrônico Visa por ano-questionário de autoavaliação é necessário anualmente e uma varredura de vulnerabilidade de rede trimestral.

  • Nível 4: para comerciantes que processam menos de 20.000 transações de comércio eletrônico Visa por ano e todos os outros comerciantes que processam até 1 milhão de transações Visa por ano – questionário de autoavaliação é necessário anualmente e uma varredura de vulnerabilidade de rede trimestral.

lembre-se-é um processo contínuo

muitas empresas garantem que estão em conformidade em primeira instância e depois esquecem até o momento da auditoria. Infelizmente, isso leva a multas e auditorias adicionais (que custam dinheiro) sendo realizadas com mais frequência. É importante lembrar que a conformidade é um processo contínuo e deve ser verificada com frequência, não apenas antes que o auditor esteja prestes a aparecer.

quadrinhos imagem do trabalhador afogando em arquivos

Você deve sempre:

  • Avaliar – fazer um inventário de ativos de TI existentes e processos de negócios para o processamento de cartão, análise de vulnerabilidades, como você fazer e identificação de dados do cliente e onde é realizado.

  • Remediate – não armazenar dados, a menos que absolutamente necessário e corrigir quaisquer explorações conhecidas.

  • relatório-compile e envie relatórios para adquirir marcas de volta e cartão com as quais você lida.

há muitas coisas a considerar quando se trata de conformidade e, de longe, a maneira mais fácil para o proprietário da empresa de comércio eletrônico menor é usar um gateway de pagamento ou carrinho hospedado. Isso elimina muitas das etapas necessárias e elimina muito do risco quando se trata de funcionários que lidam com pagamentos e a segurança de sua rede comercial.

no entanto, isso não quer dizer que seja a melhor solução para você e, portanto, você deve tentar colocar muito planejamento e base se estiver planejando receber pagamentos por meio de seu site e reter os detalhes do cliente. Idealmente, você deve evitar fazer o último e conversar com seu provedor de processamento de cartão de pagamento para ver quais são suas opções. Não é tão assustador quanto parece pela primeira vez, mas vale a pena ter muito cuidado, pois muitas empresas que não protegem adequadamente os dados do cliente saem do negócio após uma violação de dados, graças ao custo de garantir que isso não aconteça novamente.

para obter melhores resultados, leia a biblioteca de documentos PCI DSS 3.0 (e abaixo) no site do PCI council . Não se deixe intimidar por todo o jargão, um Google rápido pode ajudá-lo a entender os aspectos técnicos ou você pode passar pelos arquivos de Ajuda no site do PCI council.

Leave a Reply

O seu endereço de email não será publicado.