a PCI megfelelőségi Szabályokat a Payment Card Industry (PCI) hozta létre az adatbiztonság javítása és a csalások csökkentése érdekében. Bár ezek az irányelvek technikailag nem kötelezőek, a Kártyaelfogadó vállalkozások pénzbírságot, peres eljárást vagy kereskedői számlájuk megszüntetését vonhatják maguk után, ha csalás történik fizetési környezetükben. Más szóval, a bankok és a fizetésfeldolgozók biztosíthatják a fizetés elfogadásához szükséges technológiát, de a kereskedők továbbra is felelősek az érzékeny hitelkártya-adatok feldolgozásáért és tárolásáért, valamint az ebből eredő csalárd tevékenységekért. Még a felelősségi szabályok hiányában is jó ötlet a PCI-megfelelés, mivel ezek az adatbiztonsági irányelvek segítenek megvédeni vállalkozását és ügyfeleit a csalárd támadásoktól. Hasznos analógia a biztonsági öv. New Hampshire-ben például a felnőtt járművezetőknek technikailag nem “kötelező” viselniük őket. De mivel a biztonsági öv életeket ment, bármikor be kell kapcsolnia, amikor autóban ül.
PCI megfelelés az Online világban
a PCI-kompatibilis csalások elleni védelem minden vállalkozás számára elengedhetetlen. Ez különösen fontos az e-kereskedelemben, mivel a vevők és az eladók soha nem találkoznak szemtől szemben. Mivel nincs mód a névtelen vásárlók személyazonosságának független ellenőrzésére, az online hitelkártya-csalások ma már 6,4 milliárd dolláros iparág a bűnözők számára. A csalárd támadások legnagyobb célpontjai általában a legkisebb játékosok. Egyes becslések szerint az összes kibertámadás 60%-a A Kis-és középvállalkozások ellen irányul, mivel ezek a kereskedők gyakran nem rendelkeznek megfelelő technikai know-how-val és erőforrásokkal ahhoz, hogy megvédjék magukat. Szerencsére egyre több e-kereskedelmi eszköz kezdett nagyobb hangsúlyt fektetni a csalások kezelésére — a bevásárlókocsiktól a beépülő modulokon át a tartalomkezelő rendszer (CMS) csomagokig. Ha jelenleg olyan platformokat használ, mint a WordPress vagy a WooCommerce, akkor a PCI-kompatibilis lesz, mint valaha. De ez nem automatikus. Vannak lépések, amelyeket meg kell tennie annak érdekében, hogy webhelye megfeleljen a fizetési kártya ipar adatbiztonsági irányelveinek. Ezek a lépések minden hitelkártya-tranzakciót elfogadó kereskedőre vonatkoznak, függetlenül attól, hogy a Drupalra támaszkodik-e, Joomla! vagy Magento futtatni az üzleti. Mivel a WordPress a legszélesebb körben használt CMS csomag, és a WooCommerce plugin vitathatatlanul a legnépszerűbb e-kereskedelmi platform, ezeket az eszközöket az alábbi példákban fogjuk használni.
WordPress PCI megfelelés: lépések megtétele az Ön védelme érdekében
a legfontosabb kiindulási pont a PCI-kompatibilis fizetési processzor kiválasztása. Ha szolgáltatója nem követi a legújabb biztonsági bevált gyakorlatokat, akkor a lista többi lépése sem számít. Válasszon egy processzort, amely biztonságos fizetési átjárót biztosít Önnek. Ha ez megtörtént, folytathatja a következő lépéseket.
határozza meg a kereskedői szintet
a PCI megfelelőségi szabályok a vállalkozás tranzakciós volumenétől függően változnak. Ahhoz, hogy megtudja, milyen irányelveket kell követnie, meg kell határoznia a kereskedői szint típusát. Ha olyan vagy, mint a legtöbb kisvállalkozás, akkor valószínűleg jogosult a 4.szintre — amely a legegyszerűbb megfelelési folyamattal rendelkezik. Az biztos, hogy először ellenőriznie kell állapotát.
önértékelési kérdőív
a következő lépés az önértékelési kérdőív (SAQ) elkészítése az aktuális kockázati kitettség meghatározásához. Ezek a tesztek elsőre elsöprőnek tűnhetnek, de a legtöbb kérdés egyszerű igen/nem válaszokat igényel.
jóváhagyott szkennelési szállító
bár nem mindig szükséges, célszerű olyan jóváhagyott szkennelési szállítót (ASV) is bevonni, amely automatizált eszközökkel képes felismerni a fizetési adatokat kezelő szoftver és hardver esetleges sérülékenységeit.
4. Biztonsági irányelvek és képzés
a fenti lépések a PCI-megfelelés felé irányulnak, de ahhoz, hogy megfelelő maradjon, a tetején kell maradnia:
- szoftverfrissítések
- biztonsági javítások
- vírusvédelem
- Malware szkennelés
ezenkívül ki kell képeznie alkalmazottait a fizetési információk megfelelő kezelésére — lehetőleg a szükséges ismeretek alapján. Segít abban is, hogy mindenki hosszú, alfanumerikus jelszavakat válasszon az összes bejelentkezéshez.
ellenőrizze a webhelyek biztonsági pontszámát a PCI-megfelelés szempontjából
• biztonsági rések keresése a kódban
Secure sockets layer tanúsítvány
a secure sockets layer (SSL) tanúsítvány egy kiegészítő hitelesítő adat, amely lehetővé teszi az online vásárlók számára, hogy közvetlen, titkosított kapcsolatot létesítsenek az Ön webhelyével (A másoló helyett). Miután telepítette ezt az SSL-tanúsítványt, a webhely domainjén egy extra “s” lesz a “http” előtag végén (azaz https).
további ellenőrzési részletek
az online értékesítéshez a legtöbb e-bevásárlókocsihoz szükség van a kártyabirtokos nevére, számlaszámára és lejárati dátumára. Ezek jelentik a minimális biztonságot, különös tekintettel arra, hogy az online csalás milliárd éves veszteséghez vezet. Ezért fontolóra kell vennie további hitelesítési adatok, például számlázási címek és kártyaellenőrzési értékek (cvv) előírását is.
a megfelelő bővítmények és eszközök
technikailag a WordPress nem rendelkezik PCI tanúsítvánnyal. A WooCommerce sem, ami azt illeti. Mindkettőt azonban az alapoktól kezdve tervezték, a biztonságot szem előtt tartva. Például a WordPress rendszergazdai vezérlőkkel rendelkezik, amelyek lehetővé teszik az egyes Felhasználók hozzáférésének korlátozását. A WooCommerce soha nem tárolja a hitelkártya adatait, ami lehetetlenné teszi a tolvajok számára, hogy kézbe vegyék a fizetési adatokat. Tudjon meg többet a társcikkünkben; WooCommerce és PCI megfelelés. Nem kell ezeket a speciális eszközöket választania, de bármilyen platformot és plugint használ, hasonló szintű szétválasztással és vezérléssel kell rendelkeznie.
WordPress PCI Compliance — One Final Step
van egy utolsó darab a puzzle: meg kell osztani az összes fenti a fizetési processzor és a bank keresni “PCI Compliance” állapot (és meg kell küldeni negyedéves jelentéseket, hogy továbbra is jó állapotban). A valódi megfelelés nem egyszeri javítás. A csalárd stratégiák fejlődésével a jövőbeni támadások megelőzésére alkalmazott lépéseknek idővel változniuk kell. Ha kérdése van a PCI-megfelelőséggel kapcsolatban, vagy ha nem biztos benne, hogyan kezdje el, olvassa el a mellékelt infografikát. Ez magában foglalja a legnépszerűbb mítoszokat és tévhiteket, amelyeket a kis online vállalkozások a Fizetési biztonsággal kapcsolatban tartalmaznak.
Author bio: Kristen Gramigna a BluePay, a gyors, egyszerű és biztonságos fizetési feldolgozási megoldások szolgáltatója Marketing Igazgatója. Több mint 20 éves tapasztalattal rendelkezik a bankkártya iparban a közvetlen értékesítés, értékesítés menedzsment és marketing területén.