Hur du gör din webbplats PCI DSS-kompatibel

Hur du gör din webbplats PCI DSS-kompatibel

för småföretag som vill sälja produkter online kan de regulatoriska hoops som du måste hoppa igenom om du behöver ta betalkort vara lite skrämmande. Men om du inte följer, riskerar du en rejäl böter och till och med har förmågan att ta kort som tas bort från verksamheten.

comic of credit card payment handover

kortbetalningar online regleras av Payment Card Industry Data Security Standards (PCI DSS) och det finns 12 krav för efterlevnad som kommer under följande sammanfattande rubriker:

  • Bygg och underhålla ett säkert företagsnätverk
  • skydda kortinnehavardata
  • behåll ett sårbarhetshanteringsprogram
  • implementera starka åtkomstkontrollåtgärder
  • regelbundet övervaka och testa företagsnätverk
  • behåll en policy som behandlar informationssäkerhet

det är värt att påpeka att du kan förenkla efterlevnadsprocessen väsentligt genom att se till att du inte sparar eller lagrar kortinnehavardata. Det innebär att du istället bör använda en kortläsare eller POS-processor som inte behåller informationen om affärssystem. Du kan också använda en betalningsgateway som de som tillhandahålls av PayPal och Stripe, men du bör vara medveten om att ansvaret för din kunds data kvarstår hos dig. Oavsett vilket alternativ du väljer bör du först se till att du kontrollerar att du använder dem betyder att du är kompatibel.

comic of to do list

till exempel, även om du använder en betalningsprocessor, måste din webbplats fortfarande vara säker om och när betalningsuppgifter matas in och överförs. Detta innebär att din webbserver som sådan måste vara kompatibel och din webbplats ska använda SSL-kryptering (Secure Socket Layer). Du bör kontrollera med din leverantör om du kan lagra dessa data på sina säkra system om du behöver behålla betalningsinformation för framtida betalningar.

1 Välja en säker webbhotell

när du väljer en värd för din webbplats bör du se till att servrarna, värdplanen och e-handels-och kundvagnsapplikationerna följer. Du kan hitta en lista över validerade betalningsansökningar på PCI rådets webbplats för att hjälpa dig att välja och jag skulle också rekommendera att slå några e-handel forum för att kolla vad andra säger. Det är värt att påpeka här att om du är ny på e-handel, kommer billiga eller gratis webbhotell sällan att vara tillräckligt bra för att säkerställa efterlevnad. Du bör också överväga att använda dedikerad hosting över delad eftersom det betyder att du och bara du använder den maskinen. Med delad hosting delar du ofta en maskin med flera webbplatser och det gör det svårt att följa. Men om du väljer dedikerade eller virtuella privata servrar, är de mycket mer benägna att vara kompatibla, om än ganska dyrare.

comic bild av manager förlora pengar

se till att den värd du väljer kan du använda PHP och MySQL – databaser också-de flesta gör dessa dagar och om du inte är säker, då kan du alltid ge webbhotell ett samtal för att diskutera dina behov mer i detalj. Att se till att servern och webbplatsen transaktioner är säkra innan du bygger din webbplats kommer att spara sorg på lång sikt. Men om du verkligen inte behöver lagra data, skulle jag uppmana dig att överväga att använda en betalningsgateway som tar kunden till en extern, Säker webbplats innan du ber om några detaljer.

2 Att välja en kundvagn

det finns en enorm mängd kundvagnar att välja mellan och som sådan kan det bli ganska förvirrande när det gäller att välja det bästa för dig. För att säkerställa att du skyddar både ditt företag och dina kunders data, bör du sträva efter att välja en som är PA DSS (Payment Application Data Security Standard) kompatibel . Detta innebär att cart-programvaran redan har genomgått en serie rigorösa tester för att säkerställa att den krypterar data tillräckligt för att skydda mot cyberattack vid transport.

letar du efter bättre kundrelationer?

testa Userlike gratis och chatta med dina kunder på din webbplats, Facebook Messenger och Telegram.

igen, om du inte är särskilt tekniskt sinnade, du kan välja en värd vagn som tar shopper från din webbplats och på egen hand som är helt säkrad. Med en värdvagn matas all känslig data in från din webbplats och informationen hålls på en säker server.

3 anställda och PCI DSS

säkerheten för dina kunddata är ditt ansvar och det betyder att det är viktigt att din personal förstår hur viktigt det är för ditt företag att det hålls säkert. Med detta i åtanke måste all personal som hanterar kunduppgifter som en del av sitt jobb se till att de följer reglerna.

du bör se till att all personal som hanterar data:

  • är medvetna om de processer som används för att skydda känsliga data.
  • lagra inte kunddata på obehöriga datorer eller på papper.
  • Använd starka lösenord på alla användarkonton.

dessutom bör du se till att alla datorer, enheter och servrar i företagsnätverket (eller de som ansluter till det) har följande:

  • AV-programvara och uppdaterade patchar som tillämpas på vanligt utnyttjade program som Windows / OS, Office, Adobe-produkter och Java.
  • skyddas av en brandvägg i nätverket.
  • skyddas genom att ha säkert lösenord och kryptering på alla nätverksroutrar, inklusive trådlösa.

för de företag som tillåter anställda att ta med egna enheter till jobbet, bör dessa hanteras med en robust BYOD-policy som anger vad som krävs av arbetstagaren. Om du eller de fortfarande är osäkra på vad processen innebär kan du ta medvetenhetskurser genom PCI-rådet.

komisk bild av arbetare som tittar genom ett teleskop

säkerhet är något som många IT-proffs anser vara ett problem som inte kan lösas på grund av mänsklig intervention. De överlägset mest säkerhetsproblem som påverkar verksamheten orsakas av brist på kunskap hos slutanvändaren. Det betyder att det ofta är svårt att mildra risken eftersom slutanvändaren inte vet tillräckligt för att veta att de inte ska klicka på den phishing-länken, till exempel. Under de senaste åren har säkerhetshot blivit alltmer sofistikerade och gör allt de kan för att undvika upptäckt. Detta förvärras av det faktum att phishing-försök nu ofta är mycket riktade för att nå den mest utsatta personen att attackera, till exempel administrativ personal.

Hot dessa dagar stöds av den stora mängden information som kan samlas på sociala medier om en individ inom en organisation innan en attack försöks. Detta innebär att cyberbrottslingar är förberedda med tillräckligt med information för att låta som om e-postmeddelandet de skickar med en skadlig länk verkar vara från en vän eller känd leverantör. Med detta i åtanke är utbildning om riskerna avgörande och en sund politik för sociala medier och vad som kan laddas ner bör också införas.

komisk bild av arbetare rånad av internetkriminell cyberbrott

Länkskannrar kan också installeras för att säkerställa att eventuella skadliga länkar fysiskt inte kan klickas på, vilket tar bort mycket av slutanvändarrisken.

4 PCI DSS nivåer

det finns fyra nivåer av efterlevnad, som beror på hur många korttransaktioner som du tar under loppet av ett år.

  • Nivå 1: för handlare som behandlar mer än 6 miljoner Visumtransaktioner per år – kräver att du har en säkerhetsbedömning på plats årligen och en kvartalsvis nätverkssårbarhetsskanning.

  • nivå 2: för handlare som bearbetar mellan 1 miljon till 6 miljoner Visumtransaktioner per år – säkerhetsbedömning på plats efter eget gottfinnande, måste du också tillhandahålla ett årligt frågeformulär för självbedömning och en kvartalsvis nätverkssårbarhetssökning.

  • nivå 3: för handlare som behandlar 20 000 till 1 miljon Visa – e-handelstransaktioner per år krävs självbedömningsfrågeformulär årligen och en kvartalsvis nätverkssårbarhetssökning.

  • Nivå 4: för handlare som bearbetar mindre än 20 000 Visa – e-handelstransaktioner per år och alla andra handlare som behandlar upp till 1 miljon Visa-transaktioner per år krävs självbedömningsformulär årligen och en kvartalsvis nätverkssårbarhetssökning.

kom ihåg-det är en pågående Process

många företag ser till att de är kompatibla i första hand och sedan glömmer det tills det är revisionstid. Tyvärr leder detta till böter och ytterligare revisioner (som kostar pengar) utförs oftare. Det är viktigt att komma ihåg att efterlevnad är en pågående process och det måste kontrolleras ofta, inte bara innan revisorn är på väg att sätta in ett utseende.

komisk bild av arbetare som drunknar i filer

du måste alltid:

  • utvärdera – ta en inventering av befintliga IT-tillgångar och affärsprocesser för kortbehandling, analysera sårbarheter som du gör och identifiera kunddata och var den hålls.

  • åtgärda – lagrar inte data om det inte är absolut nödvändigt och fixar några kända exploater.

  • rapport – sammanställa och skicka rapporter till förvärva tillbaka och kort varumärken som du hanterar.

det finns många saker att tänka på när det gäller efterlevnad och överlägset det enklaste sättet för mindre e-handel företagare är att använda en betalning gateway eller värd kundvagn. Detta tar bort många nödvändiga steg och tar mycket av risken bort när det gäller anställda som hanterar betalningar och säkerheten i ditt företagsnätverk.

men det är inte att säga att det är den bästa lösningen för dig och så du bör sträva efter att lägga in mycket planering och grundarbete om du planerar att ta betalningar via din webbplats och behålla kunduppgifter. Helst bör du undvika att göra det senare och prata med din leverantör av betalningskort för att se vad dina alternativ är. Det är inte riktigt så skrämmande som det först verkar, men det lönar sig att vara mycket försiktig så många företag som misslyckas med att adekvat skydda kunddata gå i konkurs efter ett dataintrång, tack vare kostnaden för att se till att det inte händer igen.

för bästa resultat, har en läsa igenom PCI DSS 3.0 (och nedan) dokument bibliotek på PCI rådets webbplats . Bli inte avskräckt av allt jargong heller, en snabb Google kan hjälpa dig att förstå tekniken eller så kan du gå igenom hjälpfilerna på PCI-rådets webbplats.

Leave a Reply

Din e-postadress kommer inte publiceras.