PCI compliance pravidla byla stanovena Payment Card Industry (PCI), aby pomohla zlepšit bezpečnost dat a omezit podvody. Ačkoli tyto pokyny nejsou technicky povinné, podniky přijímající karty mohou podléhat pokutám, soudní spory nebo ukončení jejich obchodních účtů, pokud dojde k podvodu v jejich platebním prostředí. Jinými slovy, banky a zpracovatelé plateb mohou poskytnout technologii pro přijímání plateb, ale obchodníci jsou stále zodpovědní za způsob, jakým zpracovávají a ukládají citlivá data o kreditní kartě, a za jakoukoli podvodnou činnost, která z toho může vyplynout. I při absenci pravidel odpovědnosti je dodržování PCI dobrý nápad, protože tyto pokyny pro zabezpečení dat pomáhají chránit vaši firmu a zákazníky před podvodnými útoky. Užitečnou analogií je bezpečnostní pás. Například v New Hampshire nejsou dospělí řidiči technicky „povinni“ je nosit. Ale protože bezpečnostní pásy zachraňují životy, měli byste se připoutat, kdykoli jste v autě.
dodržování PCI v Online světě
ochrana proti podvodům kompatibilní s PCI je nezbytná pro všechny podniky. Je to obzvláště důležité v elektronickém obchodování, protože kupující a prodávající se nikdy nesetkají tváří v tvář. Bez způsobu, jak nezávisle ověřit totožnost anonymních nakupujících, online podvody s kreditními kartami jsou nyní pro zločince odvětvím ve výši 6,4 miliardy dolarů. Největšími cíli podvodných útoků jsou obvykle nejmenší hráči. Podle některých odhadů je 60 procent všech kybernetických útoků zaměřeno na malé a střední podniky, protože tito obchodníci často postrádají technické know-how a zdroje, aby se chránili. Naštěstí rostoucí počet nástrojů elektronického obchodování začal klást větší důraz na řízení podvodů – od nákupních vozíků přes pluginy až po sady pro správu obsahu (CMS). Pokud v současné době používáte platformy jako WordPress nebo WooCommerce, stává PCI kompatibilní je jednodušší než kdy předtím. Ale není to automatické. Existují kroky, které musíte podniknout, aby vaše webové stránky byly v souladu s pokyny pro zabezpečení dat v odvětví platebních karet. Tyto kroky platí pro každého obchodníka přijímajícího transakce kreditní kartou, ať už se spoléháte na Drupal, Joomla! nebo Magento řídit vaše podnikání. Protože WordPress je nejpoužívanější sadou CMS a plugin WooCommerce je pravděpodobně nejoblíbenější platformou elektronického obchodování, použijeme tyto nástroje v níže uvedených příkladech.
WordPress PCI Compliance: podniknutí kroků k ochraně sebe
nejdůležitějším výchozím bodem je výběr platebního procesoru kompatibilního s PCI. Pokud váš poskytovatel nedodržuje nejnovější osvědčené postupy zabezpečení, nezáleží na žádném z dalších kroků v tomto seznamu. Vyberte procesor, který vám může poskytnout zabezpečenou platební bránu. Po dokončení můžete přejít k dalším krokům.
Určete úroveň obchodníka
pravidla shody PCI se mění v závislosti na transakčním objemu vašeho podnikání. Chcete-li vědět, jaké pokyny musíte dodržovat, musíte určit typ úrovně obchodníka. Pokud jste jako většina malých podniků, pravděpodobně máte nárok na úroveň 4-což má nejjednodušší proces dodržování předpisů. Pro jistotu byste měli nejprve ověřit svůj stav.
dotazník pro sebehodnocení
dalším krokem je přijetí dotazníku pro sebehodnocení (SAQ) k určení vaší současné rizikové expozice. Tyto testy se mohou na první pohled zdát ohromující,ale většina otázek vyžaduje jednoduché odpovědi ano / ne.
schválený dodavatel skenování
i když to není vždy nutné, je dobré zahrnout schváleného dodavatele skenování (ASV), který může používat automatizované nástroje k detekci potenciálních zranitelností v softwaru a hardwaru, který spravuje platební data.
4. Bezpečnostní zásady a školení
výše uvedené kroky vás budou tlačit k souladu s PCI, ale abyste zůstali v souladu, musíte také zůstat na vrcholu:
- Aktualizace softwaru
- bezpečnostní záplaty
- antivirová ochrana
- skenování malwaru
kromě toho musíte své zaměstnance školit, jak správně spravovat platební informace-nejlépe na základě potřeby. Pomáhá také, aby si každý vybral dlouhá alfanumerická hesla pro všechna přihlášení.
zkontrolujte, zda vaše stránky bezpečnostní skóre pro PCI soulad
• Najděte zranitelnosti v kódu
certifikát Secure sockets layer
certifikát secure sockets layer (SSL) je doplňkové pověření, které umožňuje online nakupujícím vědět, že mají přímé, šifrované spojení s vaším webem (místo napodobitele). Po instalaci tohoto certifikátu SSL bude mít doména vašeho webu na konci předpony „http“ (tj.
další podrobnosti o ověření
pro online prodej vyžaduje většina e-shopů jméno držitele karty, Číslo účtu a datum vypršení platnosti. Ty představují minimální bezpečnost, zejména vzhledem k tomu, že online podvody vedou k miliardovým ročním ztrátám. Proto byste měli zvážit také vyžadování dalších autentizačních údajů, jako jsou fakturační adresy a hodnoty ověření karty (CVV).
správné pluginy a nástroje
technicky vzato WordPress není certifikován PCI. Ani WooCommerce, když na to přijde. Oba však byly navrženy od základů, s ohledem na bezpečnost. Například WordPress přichází s ovládacími prvky správce, které vám umožňují omezit přístup pro každého jednotlivého uživatele. WooCommerce nikdy neukládá údaje o kreditní kartě,což zlodějům znemožňuje získat platební údaje. Více se dozvíte v našem společném článku; WooCommerce a PCI Compliance. Nemusíte si vybrat tyto konkrétní nástroje, ale bez ohledu na platformy a pluginy, které používáte, by měly mít srovnatelnou úroveň rozčlenění a kontroly.
WordPress PCI Compliance-jeden poslední krok
je tu poslední kousek skládačky: musíte sdílet všechny výše uvedené s platebním procesorem a bankou, abyste získali status“ PCI Compliance “ (a musíte posílat čtvrtletní zprávy, abyste zůstali v dobrém stavu). Skutečná shoda není jednorázová Oprava. Jak se podvodné strategie vyvíjejí, kroky používané k prevenci budoucích útoků se musí také časem měnit. Máte-li dotazy týkající se souladu s PCI nebo si nejste jisti, jak začít, můžete se obrátit na přiloženou infografiku. Pokrývá mnoho z nejpopulárnějších mýtů a mylných představ, které mají malé online podniky o bezpečnosti plateb.
autor bio: Kristen Gramigna je Chief Marketing Officer pro BluePay, poskytovatel rychlých, snadných a bezpečných řešení zpracování plateb. Přináší více než 20 let zkušeností v odvětví bankovních karet v oblasti přímého prodeje, řízení prodeje a marketingu.