Cum să faceți site-ul dvs. PCI DSS compatibil

Cum să faceți site-ul dvs. PCI DSS compatibil

pentru întreprinderile mici care doresc să vândă produse online, cercurile de reglementare prin care trebuie să treceți dacă trebuie să luați carduri de plată pot fi oarecum descurajante. Cu toate acestea, dacă nu vă conformați, atunci riscați o amendă gravă și chiar aveți capacitatea de a lua cărți luate din afacere.

comic de transfer de plată cu cardul de credit

plățile online cu cardul sunt reglementate de standardele de securitate a datelor din industria cardurilor de plată (PCI DSS) și există 12 cerințe de conformitate care se încadrează în următoarele rubrici sumare:

  • Construiți și mențineți o rețea de afaceri securizată
  • protejați datele deținătorului cardului
  • mențineți un program de gestionare a vulnerabilităților
  • implementați măsuri puternice de control al accesului
  • monitorizați și testați în mod regulat rețelele de afaceri
  • mențineți o politică care abordează securitatea informațiilor

merită subliniat faptul că puteți simplifica substanțial procesul de conformitate, asigurându-vă că nu salvați sau nu stocați date despre deținătorul cardului. Aceasta înseamnă că, în schimb, ar trebui să utilizați un cititor de carduri sau un procesor de la punctul de vânzare (POS) care nu păstrează informațiile despre sistemele de afaceri. De asemenea, puteți utiliza un gateway de plată, cum ar fi cele furnizate de PayPal și Stripe, dar trebuie să știți că responsabilitatea pentru datele clientului dvs. rămâne la dvs. Indiferent de opțiunea pe care o alegeți, trebuie să vă asigurați mai întâi că verificați dacă utilizarea acestora înseamnă că sunteți conform.

comic de to Do list

de exemplu, chiar dacă utilizați un procesor de plată, site-ul dvs. trebuie să fie în continuare sigur dacă și când detaliile de plată sunt introduse și transmise. Aceasta înseamnă că, ca atare, serverul dvs. web trebuie să fie compatibil, iar site-ul dvs. ar trebui să utilizeze criptarea Secure Socket Layer (SSL). Ar trebui să verificați cu furnizorul dvs. dacă puteți stoca aceste date pe sistemele lor securizate dacă trebuie să păstrați informații de plată pentru plățile viitoare.

1 Alegerea unei gazde web securizate

atunci când alegeți o gazdă pentru site-ul dvs. web, trebuie să vă asigurați că serverele, planul de găzduire și aplicațiile de comerț electronic și coș de cumpărături sunt conforme. Puteți găsi o listă de aplicații de plată validate pe site-ul Consiliului PCI pentru a vă ajuta să alegeți și aș recomanda, de asemenea, să accesați unele forumuri de comerț electronic pentru a verifica ce spun alții. Merită să subliniem aici că, dacă sunteți nou în comerțul electronic, atunci gazdele web ieftine sau gratuite vor fi rareori suficient de bune pentru a asigura conformitatea. De asemenea, ar trebui să luați în considerare utilizarea găzduirii dedicate peste partajat, deoarece acest lucru înseamnă că dvs. și numai dvs. utilizați acea mașină. Cu găzduirea partajată, partajați adesea o mașină cu mai multe site-uri web și acest lucru face dificilă respectarea. Cu toate acestea, dacă alegeți servere private dedicate sau virtuale, atunci acestea sunt mult mai susceptibile de a fi conforme, deși destul de scumpe.

imagine comică a managerului care pierde bani

asigurați – vă că gazda pe care o alegeți vă permite să utilizați și bazele de date PHP și MySQL-majoritatea fac aceste zile și dacă nu sunteți sigur, atunci puteți da întotdeauna companiei de găzduire un apel pentru a discuta nevoile dvs. în detaliu. Asigurarea faptului că tranzacțiile serverului și ale site-ului sunt sigure înainte de a vă construi site-ul vă va salva durerea pe termen lung. Cu toate acestea, dacă într-adevăr nu aveți nevoie să stocați date, atunci vă îndemn să luați în considerare utilizarea unui gateway de plată care duce clientul la un site extern și sigur înainte de a cere detalii.

2 Alegerea unui coș de cumpărături

există o mare cantitate de cărucioare de cumpărături pentru a alege de la și, ca atare, se poate obține destul de confuz atunci când vine vorba de alegerea cel mai bun pentru tine. Pentru a vă asigura că vă protejați atât afacerea, cât și datele clienților dvs., ar trebui să vă propuneți să alegeți una care este compatibilă cu PA DSS (Payment Application Data Security Standard). Aceasta înseamnă că software-ul cart a fost deja supus unei serii de teste riguroase pentru a se asigura că criptează datele suficient pentru a proteja împotriva atacurilor cibernetice în tranzit.

căutați relații mai bune cu clienții?

testați Userlike gratuit și discutați cu clienții dvs. pe site-ul dvs. web, Facebook Messenger și Telegram.

din nou, dacă nu sunteți deosebit de tehnologic minte, puteți alege un coș găzduit care ia cumpărătorul de pe site-ul dvs. și pe cont propriu, care este complet securizat. Cu un coș găzduit, toate datele sensibile sunt introduse de pe site-ul dvs. și detaliile deținute pe un server securizat.

3 angajații și PCI DSS

siguranța datelor dvs. despre clienți este responsabilitatea dvs. și acest lucru înseamnă că este important ca personalul dvs. să înțeleagă cât de vital este pentru afacerea dvs. să fie păstrat în siguranță. Având în vedere acest lucru, tot personalul care se ocupă de detaliile clienților ca parte a muncii lor trebuie să se asigure că respectă regulile.

trebuie să vă asigurați că toți angajații care se ocupă de date:

  • sunt conștienți de procesele utilizate pentru a proteja datele sensibile.
  • nu stocați datele clienților pe computere neautorizate sau pe hârtie.
  • utilizați parole puternice pe toate conturile de utilizator.

în plus, trebuie să vă asigurați că toate computerele, dispozitivele și serverele din rețeaua de afaceri (sau cele care se conectează la aceasta) au următoarele:

  • software AV și patch-uri actualizate aplicate software-ului exploatat în mod obișnuit, cum ar fi Windows/OS, Office, produse Adobe și Java.
  • sunt protejate de un firewall în rețea.
  • sunt protejate prin parolă sigură și criptare pe toate routerele de rețea, inclusiv wireless.

pentru acele întreprinderi care permit angajaților să își aducă propriile dispozitive la locul de muncă, acestea ar trebui gestionate cu o politică BYOD robustă care stabilește ce se cere angajatului. Dacă dvs. sau aceștia nu sunteți încă siguri de ceea ce presupune procesul, atunci puteți urma cursuri de formare de conștientizare prin intermediul Consiliului PCI.

imagine comică a lucrătorilor care privesc printr-un telescop

Securitatea este ceva pe care mulți profesioniști IT îl consideră a fi o problemă care nu poate fi rezolvată din cauza intervenției umane. De departe, cele mai multe probleme de securitate care afectează afacerea sunt cauzate de lipsa de cunoștințe a utilizatorului final. Aceasta înseamnă că este adesea dificil să atenuezi riscul, deoarece utilizatorul final nu știe suficient pentru a ști că nu ar trebui să facă clic pe acel link de phishing, de exemplu. În ultimii ani, amenințările la adresa securității au devenit din ce în ce mai sofisticate și fac tot ce pot pentru a se sustrage detectării. Acest lucru este agravat de faptul că încercările de phishing sunt acum adesea foarte direcționate pentru a ajunge la persoana cea mai vulnerabilă la atac, cum ar fi personalul administrativ.

amenințările din zilele noastre sunt susținute de cantitatea mare de informații care pot fi colectate pe social media despre o persoană din cadrul unei organizații înainte de a încerca un atac. Aceasta înseamnă că infractorii cibernetici sunt înarmați cu suficiente informații pentru a suna ca și cum e-mailul pe care îl trimit cu un link rău intenționat pare să fie de la un prieten sau furnizor cunoscut. Având în vedere acest lucru, educația cu privire la riscuri este esențială și ar trebui pusă în aplicare o politică solidă în ceea ce privește social media și ceea ce poate fi descărcat.

imagine comică a lucrătorului jefuit de criminalitatea informatică criminală pe internet

scanerele de legături pot fi, de asemenea, instalate pentru a se asigura că orice link-uri rău intenționate fizic nu pot fi accesate, eliminând astfel o mare parte din riscul utilizatorului final.

4 niveluri PCI DSS

există patru niveluri de conformitate, care depind de numărul de tranzacții cu cardul pe care le preluați pe parcursul unui an.

  • nivelul 1: pentru comercianții care procesează mai mult de 6 milioane de tranzacții Visa pe an – necesită o evaluare anuală a securității la fața locului și o Scanare trimestrială a vulnerabilității rețelei.

  • nivelul 2: pentru comercianții care procesează între 1 milion și 6 milioane de tranzacții Visa pe an – Evaluarea securității la fața locului la propria discreție, vi se cere, de asemenea, să furnizați un chestionar anual de autoevaluare și o Scanare trimestrială a vulnerabilității rețelei.

  • nivelul 3: pentru comercianții care procesează între 20.000 și 1 milion de tranzacții Visa ecommerce pe an – chestionarul de autoevaluare este necesar anual și o Scanare trimestrială a vulnerabilității rețelei.

  • nivelul 4: pentru comercianții care procesează mai puțin de 20.000 de tranzacții Visa ecommerce pe an și toți ceilalți comercianți care procesează până la 1 milion de tranzacții Visa pe an – chestionarul de autoevaluare este necesar anual și o Scanare trimestrială a vulnerabilității rețelei.

amintiți – vă-este un proces continuu

multe companii se asigură că sunt conforme în primă instanță și apoi uită de el până când este timpul de audit. Din păcate, acest lucru duce la amenzi și audituri suplimentare (care costă bani) efectuate mai des. Este important să ne amintim că conformitatea este un proces continuu și trebuie să fie verificate de multe ori, nu doar înainte de auditor este pe cale de a pune într-un aspect.

imagine de benzi desenate de lucrător înec în fișiere

trebuie să întotdeauna:

  • evaluați-faceți un inventar al activelor IT existente și al proceselor de afaceri pentru procesarea cardurilor, analizând vulnerabilitățile pe măsură ce faceți și identificând datele clienților și unde sunt păstrate.

  • remediați – nu stocați date decât dacă este absolut necesar și remediați orice exploatări cunoscute.

  • raport – compila și să prezinte rapoarte pentru achiziționarea înapoi și carte de branduri care te descurci cu.

există multe lucruri de luat în considerare atunci când vine vorba de Conformitate și, de departe, cel mai simplu mod pentru proprietarul de afaceri de comerț electronic mai mic este să utilizeze un gateway de plată sau un coș găzduit. Acest lucru elimină o mulțime de măsuri necesare și ia o mulțime de risc departe atunci când vine vorba de angajați de manipulare plăți și securitatea rețelei de afaceri.

cu toate acestea, asta nu înseamnă că este cea mai bună soluție pentru dvs. și, prin urmare, ar trebui să vă propuneți să puneți o mulțime de planificări și temeiuri dacă intenționați să luați plăți prin site-ul dvs. și să păstrați detaliile clienților. În mod ideal, ar trebui să evitați să faceți acest lucru din urmă și să discutați cu furnizorul dvs. de procesare a cardului de plată pentru a vedea care sunt opțiunile dvs. Nu este atât de descurajant pe cât pare pentru prima dată, dar plătește să fii foarte atent, deoarece multe companii care nu reușesc să protejeze în mod adecvat datele clienților ies din afaceri în urma unei încălcări a datelor, datorită costului de a se asigura că nu se va mai întâmpla.

pentru cele mai bune rezultate, citiți biblioteca de documente PCI DSS 3.0 (și mai jos) de pe site-ul Consiliului PCI . Nu fi pus în afara de toate jargonul fie, un Google rapid vă poate ajuta să înțelegeți tehnicitățile sau puteți trece prin fișierele de ajutor de pe site-ul Consiliului PCI.

Leave a Reply

Adresa ta de email nu va fi publicată.