PCIコンプライアンスルールは、データセキュリティの向上と不正行為の削減を支援するた これらのガイドラインは技術的に必須ではありませんが、カードを受け入れる企業は、支払い環境内で詐欺が発生した場合、罰金、訴訟、または加盟店アカウ 言い換えれば、銀行や支払い処理業者は支払いを受け入れる技術を提供するかもしれませんが、加盟店は依然として機密性の高いクレジットカードデー これらのデータセキュリティガイドラインは、不正な攻撃からビジネスと顧客を保護するのに役立つため、責任規則がない場合でも、PCIコンプライアンス 便利な類推はシートベルトです。 例えば、ニューハンプシャー州では、大人のドライバーは技術的にそれらを着用する”必要”されていません。 しかし、シートベルトは命を救うので、車に乗っているときはいつでもバックルする必要があります。
オンラインの世界におけるPCIコンプライアンス
PCI準拠の不正防止は、すべての企業にとって不可欠です。 買い手と売り手が直面することはありませんので、それは電子商取引で特に重要です。 匿名の買い物客の身元を独立して検証する方法がないため、オンラインクレジットカード詐欺は現在、犯罪者にとって64億ドルの業界です。 不正な攻撃の最大のターゲットは、通常、最小の選手です。 いくつかの見積もりによると、これらの商人は、多くの場合、自分自身を保護するための技術的なノウハウとリソースを欠いているため、すべてのサイバー 幸いなことに、ショッピングカートからプラグイン、コンテンツ管理システム(CMS)スイートまで、詐欺管理に重点を置いたeコマースツールの数が増え始めています。 現在、WordPressやWooCommerceなどのプラットフォームを使用している場合、PCI準拠になるのはこれまで以上に簡単です。 しかし、それは自動ではありません。 ウェブサイトをペイメントカード業界のデータセキュリティガイドラインに準拠させるために必要な手順があります。 これらの手順は、Drupal、Joomlaに依存しているかどうかにかかわらず、クレジットカード取引を受け入れる商人に適用されます! またはMagentoのは、あなたのビジネスを実行します。 WordPressは最も広く使用されているCMSスイートであり、woocommerceプラグインは間違いなく最も人気のある電子商取引プラットフォームであるため、以下の例でこれらのツールを使用します。
WordPressのPCIコンプライアンス:自分を守るための措置を取る
最も重要な出発点は、PCI準拠の支払いプロセッサを選択することです。 プロバイダが最新のセキュリティのベストプラクティスに従っていない場合は、このリストの他の手順は重要ではありません。 安全な支払いゲートウェイを提供できるプロセッサを選択します。 これが完了したら、次の手順に進むことができます。
マーチャントレベルの決定
PCIコンプライアンスルールは、ビジネスのトランザクション量に応じて変更されます。 どのようなガイドラインに従わなければならないかを知るには、マーチャントレベルのタイプを決定する必要があります。 ほとんどの小企業のようなら、おそらく最も容易な承諾プロセスがあるレベル4のために修飾する。 確認するには、まず自分のステータスを確認する必要があります。
自己評価アンケート
次のステップは、自己評価アンケート(SAQ)を取って現在のリスクエクスポージャーを決定することです。 これらのテストは、最初は圧倒的に見えることができますが、質問のほとんどは、単純なyes/no応答を必要とします。
Approved scanning vendor
必ずしも必要とは限りませんが、自動ツールを使用して支払いデータを管理するソフトウェアおよびハードウェアの潜在的な脆弱性を検出できるapproved scanning vendor(ASV)を含めることをお勧めします。
4. セキュリティポリシーとトレーニング
上記の手順は、PCIコンプライアンスに向かってあなたをプッシュしますが、準拠を維持するために、あなたはまた、:
- ソフトウェアアップデート
- セキュリティパッチ
- ウイルス対策
- マルウェアスキャン
さらに、支払い情報を適切に管理する方法を従業員に教 また、誰もがすべてのログインのための長い、英数字のパスワードを選択するのに役立ちます。
PCI準拠のサイトのセキュリティスコアを確認する
• コード内の脆弱性を見つける
Secure sockets layer certificate
secure sockets layer(SSL)証明書は、オンライン買い物客が(模倣者の代わりに)あなたのウェブサイトと直接暗号化された接続を持っていることを知ることがで このSSL証明書がインストールされると、サイトのドメインには”http”プレフィックス(つまり、https)の最後に余分な”s”が追加されます。
より多くの検証の詳細
オンライン販売を通過するために、ほとんどのeショッピングカートは、カード所有者の名前、口座番号と有効期限が必要です。 これらは、特にオンライン詐欺が年間損失で数十億につながることを考えると、セキュリティの最低限を表しています。 したがって、請求先住所やカード検証値(Cvv)などの追加の認証の詳細も必要とすることを検討する必要があります。
右のプラグインとツール
技術的に言えば、WordPressはPCI認定されていません。 どちらもそのことについては、WooCommerceではありません。 しかし、両方ともセキュリティを念頭に置いて、ゼロから設計されていました。 たとえば、WordPressには、個々のユーザーごとにアクセスを制限できる管理者コントロールが付属しています。 Woocommerceは、それが不可能な泥棒が支払いデータに手を取得するために作る、クレジットカードの詳細を格納することはありません。 WoocommerceとPCIコンプライアンスの記事で詳細をご覧ください。 これらの特定のツールを選択する必要はありませんが、使用するプラットフォームやプラグインには、同等のレベルの区画化と制御が付属しています。
WordPressのPCIコンプライアンス—最後のステップ
パズルの最後の部分があります:あなたは”PCIコンプライアンス”のステータスを獲得するために、あなたの支払 真のコンプライアンスは一度だけの修正ではありません。 不正な戦略が進化するにつれて、将来の攻撃を防ぐために使用される手順も時間の経過とともに変化する必要があります。 PCIコンプライアンスについてご質問がある場合、または開始方法がわからない場合は、付属のインフォグラフィックを参照してください。 これは、小さなオンラインビジネスが支払いのセキュリティについて持っている最も人気のある神話や誤解の多くをカバーしています。
著者bio:Kristen GramignaはBluePayのための最高マーケティング責任者、速く、容易で安全な支払の処理の解決の提供者である。 彼女は直接販売、販売管理およびマーケティングのbankcard工業の20年間以上の経験を持って来ます。