Die PCI-Compliance-Regeln wurden von der Zahlungskartenindustrie (PCI) festgelegt, um die Datensicherheit zu verbessern und Betrug zu reduzieren. Obwohl diese Richtlinien technisch nicht zwingend sind, können kartenakzeptierende Unternehmen Geldstrafen, Rechtsstreitigkeiten oder die Kündigung ihrer Händlerkonten unterliegen, wenn Betrug in ihren Zahlungsumgebungen auftritt. Mit anderen Worten, Banken und Zahlungsabwickler können die Technologie bereitstellen, um Zahlungen zu akzeptieren, aber Händler sind immer noch verantwortlich für die Art und Weise, wie sie sensible Kreditkartendaten verarbeiten und speichern, und für betrügerische Aktivitäten, die sich daraus ergeben können. Auch ohne Haftungsregeln ist PCI-Compliance eine gute Idee, da diese Datensicherheitsrichtlinien dazu beitragen, Ihr Unternehmen und Ihre Kunden vor betrügerischen Angriffen zu schützen. Eine nützliche Analogie ist der Sicherheitsgurt. In New Hampshire zum Beispiel sind erwachsene Fahrer technisch nicht „verpflichtet“, sie zu tragen. Aber weil Sicherheitsgurte Leben retten, sollten Sie sich jedes Mal anschnallen, wenn Sie in einem Auto sind.
PCI-Konformität in der Online-Welt
PCI-konformer Betrugsschutz ist für alle Unternehmen unerlässlich. Dies ist besonders im E-Commerce wichtig, da sich Käufer und Verkäufer niemals persönlich treffen. Da es keine Möglichkeit gibt, die Identität anonymer Käufer unabhängig zu überprüfen, ist Online-Kreditkartenbetrug heute eine 6,4-Milliarden-Dollar-Branche für Kriminelle. Die größten Ziele betrügerischer Angriffe sind normalerweise die kleinsten Spieler. Schätzungen zufolge richten sich 60 Prozent aller Cyberangriffe gegen kleine und mittlere Unternehmen, da diesen Händlern häufig das technische Know-how und die Ressourcen fehlen, um sich zu schützen. Glücklicherweise hat eine wachsende Zahl von E-Commerce—Tools begonnen, das Betrugsmanagement stärker in den Vordergrund zu stellen – von Einkaufswagen über Plugins bis hin zu Content Management System (CMS) -Suiten. Wenn Sie derzeit Plattformen wie WordPress oder WooCommerce verwenden, ist es einfacher als je zuvor, PCI-konform zu werden. Aber es ist nicht automatisch. Es gibt Schritte, die Sie unternehmen müssen, um Ihre Website mit den Datensicherheitsrichtlinien der Zahlungskartenbranche in Einklang zu bringen. Diese Schritte gelten für jeden Händler, der Kreditkartentransaktionen akzeptiert, unabhängig davon, ob Sie sich auf Drupal verlassen, Joomla! oder Magento, um Ihr Geschäft zu führen. Da WordPress die am weitesten verbreitete CMS-Suite ist und das WooCommerce-Plugin wohl die beliebteste E-Commerce-Plattform ist, werden wir diese Tools in den folgenden Beispielen verwenden.
WordPress PCI-Konformität: Schritte zum Schutz
Der wichtigste Ausgangspunkt ist die Auswahl eines PCI-kompatiblen Zahlungsabwicklers. Wenn Ihr Anbieter nicht die neuesten Best Practices für die Sicherheit befolgt, ist keiner der anderen Schritte in dieser Liste von Bedeutung. Wählen Sie einen Prozessor, der Ihnen ein sicheres Zahlungsgateway zur Verfügung stellen kann. Sobald dies erledigt ist, können Sie mit den nächsten Schritten fortfahren.
Bestimmen Sie Ihr Händlerlevel
Die PCI-Compliance-Regeln ändern sich je nach Transaktionsvolumen Ihres Unternehmens. Um zu wissen, welche Richtlinien Sie befolgen müssen, müssen Sie Ihren Händlerleveltyp bestimmen. Wenn Sie wie die meisten kleinen Unternehmen sind, qualifizieren Sie sich wahrscheinlich für Level 4 – das hat den einfachsten Compliance-Prozess. Um sicherzugehen, sollten Sie zuerst Ihren Status überprüfen.
Fragebogen zur Selbsteinschätzung
Der nächste Schritt besteht darin, einen Fragebogen zur Selbsteinschätzung (SAQ) zu erstellen, um Ihre aktuelle Risikoexposition zu bestimmen. Diese Tests können auf den ersten Blick überwältigend erscheinen, aber die meisten Fragen erfordern einfache Ja / Nein-Antworten.
Zugelassener Scananbieter
Obwohl dies nicht immer erforderlich ist, empfiehlt es sich, einen zugelassenen Scananbieter (ASV) einzubeziehen, der mithilfe automatisierter Tools potenzielle Schwachstellen in der Software und Hardware erkennen kann, die Zahlungsdaten verwaltet.
4. Sicherheitsrichtlinien und Schulungen
Die oben genannten Schritte werden Sie in Richtung PCI-Konformität treiben, aber um konform zu bleiben, müssen Sie auch:
- Softwareupdates
- Sicherheitspatches
- Virenschutz
- Malware—Scanning
Darüber hinaus müssen Sie Ihre Mitarbeiter darin schulen, Zahlungsinformationen ordnungsgemäß zu verwalten – vorzugsweise auf der Basis von Need-to-Know. Es hilft auch, dass jeder lange, alphanumerische Passwörter für alle Anmeldungen auswählt.
ÜBERPRÜFEN SIE DIE SICHERHEITSBEWERTUNG IHRER WEBSITE AUF PCI-KONFORMITÄT
• Schwachstellen im Code finden
Secure Sockets Layer-Zertifikat
Ein Secure Sockets Layer (SSL) -Zertifikat ist ein Add-On-Berechtigungsnachweis, mit dem Online-Käufer wissen, dass sie eine direkte, verschlüsselte Verbindung zu Ihrer Website haben (anstelle einer Nachahmung). Sobald dieses SSL-Zertifikat installiert ist, hat die Domain Ihrer Site ein zusätzliches „s“ am Ende des „http“ -Präfixes (dh https).
Weitere Verifizierungsdetails
Für einen Online-Verkauf benötigen die meisten E-Shopping-Warenkörbe den Namen, die Kontonummer und das Ablaufdatum des Karteninhabers. Diese stellen das absolute Minimum an Sicherheit dar, zumal Online-Betrug zu jährlichen Verlusten in Milliardenhöhe führt. Daher sollten Sie auch zusätzliche Authentifizierungsdetails wie Rechnungsadressen und Kartenprüfwerte (Card Verification Values, CVVs) anfordern.
Die richtigen Plugins und Tools
Technisch gesehen ist WordPress nicht PCI-zertifiziert. Auch nicht WooCommerce. Beide wurden jedoch von Grund auf unter Berücksichtigung der Sicherheit entwickelt. WordPress verfügt beispielsweise über Administratorsteuerelemente, mit denen Sie den Zugriff für jeden einzelnen Benutzer einschränken können. WooCommerce speichert niemals Kreditkartendaten, was es Dieben unmöglich macht, an Zahlungsdaten zu gelangen. Erfahren Sie mehr in unserem Begleitartikel; WooCommerce und PCI-Compliance. Sie müssen diese spezifischen Tools nicht auswählen, aber welche Plattformen und Plugins Sie auch verwenden, Sie sollten über ein vergleichbares Maß an Unterteilung und Kontrolle verfügen.
WordPress PCI Compliance – Ein letzter Schritt
Es gibt ein letztes Puzzleteil: Sie müssen alle oben genannten Punkte mit Ihrem Zahlungsabwickler und Ihrer Bank teilen, um den Status „PCI Compliance“ zu erhalten (und Sie müssen Quartalsberichte senden, um in gutem Zustand zu bleiben). Echte Compliance ist keine einmalige Lösung. Mit der Entwicklung betrügerischer Strategien müssen sich auch die Schritte zur Verhinderung zukünftiger Angriffe im Laufe der Zeit ändern. Wenn Sie Fragen zur PCI-Konformität haben oder sich nicht sicher sind, wie Sie beginnen sollen, können Sie die beigefügte Infografik lesen. Es deckt viele der beliebtesten Mythen und Missverständnisse ab, die kleine Online-Unternehmen über die Zahlungssicherheit haben.
Autor Bio: Kristen Gramigna ist Chief Marketing Officer für BluePay, Anbieter von schnellen, einfachen und sicheren Zahlungsabwicklungslösungen. Sie bringt mehr als 20 Jahre Erfahrung in der Bankkartenbranche im Direktvertrieb, Vertriebsmanagement und Marketing mit.