Le regole di conformità PCI sono state stabilite dal Payment Card Industry (PCI) per migliorare la sicurezza dei dati e ridurre le frodi. Sebbene queste linee guida non siano tecnicamente obbligatorie, le aziende che accettano carte possono essere soggette a multe, contenziosi o risoluzione dei loro conti commerciali se si verificano frodi all’interno dei loro ambienti di pagamento. In altre parole, le banche e i processori di pagamento possono fornire la tecnologia per accettare pagamenti, ma i commercianti sono ancora responsabili del modo in cui elaborano e memorizzano i dati sensibili delle carte di credito e di qualsiasi attività fraudolenta che possa derivare da ciò. Anche in assenza di regole di responsabilità, la conformità PCI è una buona idea poiché queste linee guida sulla sicurezza dei dati aiutano a proteggere la tua azienda e i tuoi clienti da attacchi fraudolenti. Un’analogia utile è la cintura di sicurezza. Nel New Hampshire, ad esempio, i conducenti adulti non sono tecnicamente “richiesti” per indossarli. Ma poiché le cinture di sicurezza salvano vite, dovresti allacciarti ogni volta che sei in auto.
Conformità PCI nel mondo online
La protezione antifrode conforme PCI è essenziale per tutte le aziende. È particolarmente importante nell’e-commerce poiché acquirenti e venditori non si incontrano mai faccia a faccia. Senza alcun modo per verificare in modo indipendente le identità degli acquirenti anonimi, frodi con carta di credito online è ora un settore billion 6,4 miliardi per i criminali. I più grandi bersagli di attacchi fraudolenti sono di solito i giocatori più piccoli. Secondo alcune stime, il 60 per cento di tutti gli attacchi informatici sono diretti verso le piccole e medie imprese perché questi commercianti spesso non hanno il know-how tecnico e le risorse per proteggersi. Fortunatamente, un numero crescente di strumenti di e-commerce ha iniziato a porre maggiore enfasi sulla gestione delle frodi, dai carrelli della spesa ai plugin alle suite CMS (Content Management System). Se attualmente si utilizzano piattaforme come WordPress o WooCommerce, diventando PCI-compliant è più facile che mai. Ma non è automatico. Ci sono passi che devi prendere per rendere il tuo sito Web conforme alle linee guida sulla sicurezza dei dati del settore delle carte di pagamento. Questi passaggi si applicano a qualsiasi commerciante che accetta transazioni con carta di credito se ti affidi a Drupal, Joomla! o Magento per gestire la tua attività. Poiché WordPress è la suite CMS più utilizzata e il plugin WooCommerce è probabilmente la piattaforma di e-commerce più popolare, utilizzeremo questi strumenti negli esempi seguenti.
Conformità PCI di WordPress: adottare misure per proteggersi
Il punto di partenza più importante consiste nella scelta di un processore di pagamento conforme a PCI. Se il tuo provider non segue le best practice di sicurezza più recenti, nessuno degli altri passaggi di questo elenco è importante. Scegli un processore in grado di fornirti un gateway di pagamento sicuro. Una volta fatto questo, è possibile passare ai passaggi successivi.
Determina il tuo livello di merchant
Le regole di conformità PCI cambiano in base al volume delle transazioni della tua attività. Per sapere quali linee guida è necessario seguire, è necessario determinare il tipo di livello commerciante. Se siete come la maggior parte delle piccole imprese, probabilmente si qualificano per il livello 4-che ha il processo di conformità più semplice. Per essere sicuri, dovresti prima verificare il tuo stato.
Questionario di autovalutazione
Il passo successivo consiste nel prendere un questionario di autovalutazione (SAQ) per determinare l’esposizione al rischio corrente. Questi test possono sembrare travolgenti all’inizio, ma la maggior parte delle domande richiede semplici risposte sì/no.
Fornitore di scansione approvato
Anche se non sempre richiesto, è consigliabile includere un fornitore di scansione approvato (ASV) che può utilizzare strumenti automatizzati per rilevare potenziali vulnerabilità nel software e nell’hardware che gestisce i dati di pagamento.
4. Le politiche di sicurezza e di formazione
La procedura di cui sopra sarà spinta verso la conformità PCI, ma per rimanere compatibile, è anche bisogno di rimanere in cima:
- gli aggiornamenti Software
- patch di Sicurezza
- protezione Antivirus
- Malware scansione
inoltre, è necessario formare i tuoi dipendenti come gestire correttamente le informazioni di pagamento — preferibilmente su una necessità di sapere base. Aiuta anche a fare in modo che tutti selezionino password lunghe e alfanumeriche per tutti gli accessi.
CONTROLLARE la PROTEZIONE dei SITI PUNTEGGIO PER la CONFORMITÀ PCI
• Trovare Vulnerabilità nel Codice
Secure sockets layer certificato
secure sockets layer (SSL) il certificato è un add-on di credenziali che consente agli acquirenti online di sapere che hanno una diretta connessione crittografata con il tuo sito, invece di aver paura dell’). Una volta installato questo certificato SSL, il dominio del tuo sito avrà una “s” aggiuntiva alla fine del prefisso “http” (cioè https).
Ulteriori dettagli di verifica
Per una vendita online, la maggior parte dei carrelli della spesa elettronica richiede il nome del titolare della carta, il numero di conto e la data di scadenza. Questi rappresentano il minimo indispensabile in materia di sicurezza, soprattutto in considerazione del fatto che le frodi online portano a miliardi di perdite annuali. Pertanto, è necessario considerare anche la necessità di ulteriori dettagli di autenticazione come indirizzi di fatturazione e valori di verifica della carta (CVV).
I plugin e gli strumenti giusti
Tecnicamente parlando, WordPress non è certificato PCI. Nessuno dei due è WooCommerce, del resto. Tuttavia, entrambi sono stati progettati da zero, con la sicurezza in mente. Ad esempio, WordPress è dotato di controlli di amministrazione che consentono di limitare l’accesso per ogni singolo utente. WooCommerce non memorizza mai i dettagli della carta di credito, rendendo impossibile per i ladri mettere le mani sui dati di pagamento. Per saperne di più nel nostro articolo compagno; WooCommerce e PCI Compliance. Non devi scegliere questi strumenti specifici, ma qualunque piattaforma e plugin tu usi dovrebbe avere livelli comparabili di compartimentazione e controllo.
WordPress PCI Compliance — Un ultimo passo
C’è un ultimo pezzo del puzzle: è necessario condividere tutto quanto sopra con il processore di pagamento e la banca per guadagnare lo stato di “Conformità PCI” (ed è necessario inviare rapporti trimestrali per rimanere in regola). La vera conformità non è una soluzione una tantum. Man mano che le strategie fraudolente evolvono, anche i passaggi utilizzati per prevenire attacchi futuri devono cambiare nel tempo. Se hai domande sulla conformità PCI o se non sei sicuro di come iniziare, puoi fare riferimento all’infografica allegata. Copre molti dei miti più popolari e idee sbagliate che le piccole imprese online hanno sulla sicurezza dei pagamenti.
Autore bio: Kristen Gramigna è Chief Marketing Officer per BluePay, fornitore di soluzioni di elaborazione dei pagamenti veloci, facili e sicure. Vanta più di 20 anni di esperienza nel settore delle carte bancarie nelle vendite dirette, nella gestione delle vendite e nel marketing.