PCI compliance rules were established by the Payment Card Industry (PCI) to help improve data security and reduce fraud. Hoewel deze richtlijnen technisch niet verplicht zijn, kunnen card-accepterende bedrijven worden onderworpen aan boetes, rechtszaken of beëindiging van hun merchant accounts als er fraude optreedt binnen hun betalingsomgevingen. Met andere woorden, banken en payment processors kunnen de technologie om betalingen te accepteren, maar handelaren zijn nog steeds verantwoordelijk voor de manier waarop ze verwerken en opslaan van gevoelige credit card gegevens, en eventuele frauduleuze activiteiten die daaruit kunnen voortvloeien. Zelfs bij het ontbreken van aansprakelijkheidsregels is PCI-naleving een goed idee, aangezien deze richtlijnen voor gegevensbeveiliging uw bedrijf en klanten helpen beschermen tegen frauduleuze aanvallen. Een nuttige analogie is de veiligheidsgordel. In New Hampshire, bijvoorbeeld, volwassen bestuurders zijn niet technisch “verplicht” om ze te dragen. Maar omdat veiligheidsgordels levens redden, moet je je gordel omdoen als je in een auto zit.
PCI-Compliance in de Online wereld
PCI-conforme fraudebescherming is essentieel voor alle bedrijven. Het is vooral belangrijk in e-commerce, omdat kopers en verkopers elkaar nooit ontmoeten van aangezicht tot aangezicht. Met geen manier om onafhankelijk te verifiëren van de identiteit van anonieme shoppers, online credit card fraude is nu een $6,4 miljard industrie voor criminelen. De grootste doelen van frauduleuze aanvallen zijn meestal de kleinste spelers. Volgens sommige schattingen, 60 procent van alle cyberaanvallen zijn gericht op kleine tot middelgrote bedrijven, omdat deze handelaren vaak niet over de technische know-how en middelen om zichzelf te beschermen. Gelukkig is een groeiend aantal e-commerce tools begonnen meer nadruk te leggen op fraudebeheer — van winkelwagentjes tot plugins tot content management system (CMS) suites. Als u momenteel gebruik maken van platforms zoals WordPress of WooCommerce, steeds PCI-compliant is gemakkelijker dan ooit tevoren. Maar het is niet automatisch. Er zijn stappen die u moet nemen om uw website in overeenstemming te brengen met de richtlijnen voor gegevensbeveiliging van de Betaalkaartindustrie. Deze stappen zijn van toepassing op elke handelaar accepteren credit card transacties of u vertrouwt op Drupal, Joomla! of Magento om je bedrijf te runnen. Als WordPress is de meest gebruikte CMS suite, en de WooCommerce plugin is misschien wel de meest populaire e-commerce platform, zullen we deze tools gebruiken in de onderstaande voorbeelden.
WordPress PCI Compliance: stappen ondernemen om jezelf te beschermen
het belangrijkste uitgangspunt is het kiezen van een PCI-compliant payment processor. Als uw provider niet de nieuwste best practices voor beveiliging volgt, doet geen van de andere stappen op deze lijst ertoe. Kies een processor die u een veilige betaalgateway kan bieden. Zodra dit is gedaan, kunt u verder gaan met de volgende stappen.
Bepaal uw merchant level
de PCI compliance regels veranderen afhankelijk van het transactievolume van uw bedrijf. Om te weten welke richtlijnen u moet volgen, moet u uw merchant level type bepalen. Als je net als de meeste kleine bedrijven, u waarschijnlijk in aanmerking komen voor niveau 4 — die de gemakkelijkste compliance proces heeft. Om zeker te zijn, moet u uw status eerst controleren.
zelfbeoordelingsvragenlijst
de volgende stap bestaat uit het nemen van een zelfbeoordelingsvragenlijst (SAQ) om uw huidige risicoblootstelling te bepalen. Deze tests kunnen lijken overweldigend op het eerste, maar de meeste van de vragen vereisen eenvoudige ja/nee antwoorden.
Approved scanning vendor
hoewel niet altijd vereist, is het een goed idee om een approved scanning vendor (ASV) op te nemen die geautomatiseerde tools kan gebruiken om potentiële kwetsbaarheden te detecteren in de software en hardware die betalingsgegevens beheert.
4. Beveiligingsbeleid en training
de bovenstaande stappen zullen u in de richting van PCI compliance duwen, maar om compliant te blijven, moet u ook op de hoogte blijven van:
- Software-updates
- beveiligingspatches
- antivirusbeveiliging
- malwarescanning
daarnaast moet u uw werknemers trainen om betalingsinformatie goed te beheren — bij voorkeur op basis van ‘need-to-know’ – basis. Het helpt ook om iedereen te selecteren lange, alfanumerieke wachtwoorden voor alle logins.
controleer uw sites veiligheidsscore voor PCI COMPLIANCE
• zoek kwetsbaarheden in de Code
Secure sockets layer certificate
een secure sockets layer (SSL) certificaat is een add-on credential die online shoppers laat weten dat ze een directe, versleutelde verbinding met uw website hebben (in plaats van een copycat). Zodra dit SSL certificaat is geà nstalleerd, zal het domein van uw site een extra “s” hebben aan het einde van het “http” voorvoegsel (dat wil zeggen, https).
meer verificatiegegevens
om een online verkoop door te laten gaan, hebben de meeste e-shopping karren de naam, het rekeningnummer en de vervaldatum van de kaarthouder nodig. Deze vormen het absolute minimum aan veiligheid, vooral gezien het feit dat online fraude leidt tot miljarden aan jaarlijkse verliezen. Daarom moet u ook overwegen om extra verificatiegegevens zoals factuuradressen en kaartverificatiewaarden (CVV ‘ s) te vereisen.
de juiste plugins en tools
technisch gezien is WordPress niet PCI-gecertificeerd. En WooCommerce ook niet. Echter, beide werden ontworpen vanaf de grond opgebouwd, met veiligheid in het achterhoofd. Bijvoorbeeld, WordPress wordt geleverd met admin controles die u toelaten om de toegang te beperken voor elke individuele gebruiker. WooCommerce slaat nooit creditcardgegevens op, waardoor het voor dieven onmogelijk is om betalingsgegevens in handen te krijgen. Lees meer in ons begeleidende artikel; Woocommerce en PCI Compliance. Je hoeft niet te kiezen voor deze specifieke tools, maar welke platforms en plugins die u gebruikt moet komen met vergelijkbare niveaus van compartmentalisatie en controle.
WordPress PCI Compliance — One Final Step
er is nog een laatste stukje van de puzzel: U moet al het bovenstaande delen met uw betalingsverwerker en bank om de status “PCI Compliance” te verdienen (en u moet kwartaalrapporten verzenden om in goede staat te blijven). Echte compliance is geen eenmalige oplossing. Naarmate frauduleuze strategieën evolueren, moeten ook de stappen die worden gebruikt om toekomstige aanvallen te voorkomen in de loop van de tijd veranderen. Als je vragen hebt over PCI compliance, of als je niet zeker weet hoe je moet beginnen, kun je de bijbehorende infographic raadplegen. Het heeft betrekking op veel van de meest populaire mythen en misvattingen die kleine online bedrijven hebben over de veiligheid van de betaling.
auteur bio: Kristen Gramigna is Chief Marketing Officer voor BluePay, leverancier van snelle, eenvoudige en veilige oplossingen voor betalingsverwerking. Ze brengt meer dan 20 jaar ervaring in de bankcard industrie in Directe Verkoop, sales management en marketing.