zasady zgodności z PCI zostały ustanowione przez przemysł kart płatniczych (PCI), aby poprawić bezpieczeństwo danych i zmniejszyć liczbę oszustw. Chociaż te wytyczne nie są technicznie obowiązkowe, firmy akceptujące karty mogą podlegać grzywnom, procesom sądowym lub zamknięciu swoich kont handlowców, jeśli dojdzie do oszustwa w ich środowiskach płatniczych. Innymi słowy, banki i podmioty przetwarzające płatności mogą dostarczać technologię akceptowania płatności, ale sprzedawcy nadal są odpowiedzialni za sposób przetwarzania i przechowywania poufnych danych kart kredytowych oraz wszelkie nieuczciwe działania, które mogą z tego wyniknąć. Nawet w przypadku braku zasad odpowiedzialności zgodność z PCI jest dobrym pomysłem, ponieważ te wytyczne dotyczące bezpieczeństwa danych pomagają chronić firmę i klientów przed nieuczciwymi atakami. Użyteczną analogią jest pas bezpieczeństwa. Na przykład w New Hampshire dorośli kierowcy nie są technicznie „zobowiązani” do ich noszenia. Ale ponieważ pasy bezpieczeństwa ratują życie, powinieneś zapinać pasy, kiedy jesteś w samochodzie.
zgodność z PCI w świecie Online
ochrona przed oszustwami zgodna z PCI jest niezbędna dla wszystkich firm. Jest to szczególnie ważne w e-commerce, ponieważ kupujący i Sprzedający nigdy nie spotykają się twarzą w twarz. Bez możliwości samodzielnej weryfikacji tożsamości anonimowych kupujących, oszustwa związane z kartami kredytowymi online to obecnie 6,4 miliarda dolarów dla przestępców. Największymi celami nieuczciwych ataków są zazwyczaj najmniejsi gracze. Według niektórych szacunków 60 procent wszystkich cyberataków jest kierowanych do małych i średnich firm, ponieważ ci kupcy często nie mają technicznej wiedzy i zasobów, aby się chronić. Na szczęście coraz większa liczba narzędzi e-commerce zaczęła kłaść większy nacisk na zarządzanie oszustwami — od koszyków zakupowych przez wtyczki do pakietów systemów zarządzania treścią (CMS). Jeśli obecnie korzystasz z platform takich jak WordPress lub WooCommerce, uzyskanie zgodności z PCI jest łatwiejsze niż kiedykolwiek wcześniej. Ale to nie jest automatyczne. Istnieją kroki, które musisz podjąć, aby Twoja witryna była zgodna z wytycznymi dotyczącymi bezpieczeństwa danych w branży kart płatniczych. Te kroki mają zastosowanie do każdego sprzedawcy akceptującego transakcje kartą kredytową, niezależnie od tego, czy polegasz na Drupal, Joomla! lub Magento do prowadzenia firmy. Ponieważ WordPress jest najczęściej używanym pakietem CMS, a wtyczka WooCommerce jest prawdopodobnie najpopularniejszą platformą e-commerce, użyjemy tych narzędzi w poniższych przykładach.
zgodność z Pci WordPress: podjęcie kroków w celu ochrony siebie
najważniejszym punktem wyjścia jest wybór procesora płatności zgodnego z PCI. Jeśli twój dostawca nie stosuje się do najnowszych najlepszych praktyk w zakresie bezpieczeństwa, żaden z pozostałych kroków na tej liście nie ma znaczenia. Wybierz procesor, który zapewni Ci bezpieczną bramkę płatności. Gdy to zrobisz, możesz przejść do kolejnych kroków.
określ poziom sprzedawcy
reguły zgodności PCI zmieniają się w zależności od wolumenu transakcji Twojej firmy. Aby wiedzieć, jakich wytycznych należy przestrzegać, należy określić typ poziomu sprzedawcy. Jeśli jesteś jak większość małych firm, prawdopodobnie kwalifikujesz się do poziomu 4 — który ma najprostszy proces zgodności. Aby mieć pewność, należy najpierw zweryfikować swój status.
kwestionariusz samooceny
kolejnym krokiem jest wykonanie kwestionariusza samooceny (SAQ) w celu określenia aktualnej ekspozycji na ryzyko. Testy te mogą wydawać się przytłaczające na początku, ale większość pytań wymaga prostych odpowiedzi tak / nie.
zatwierdzony dostawca skanowania
chociaż nie zawsze jest to wymagane, dobrym pomysłem jest włączenie zatwierdzonego dostawcy skanowania (ASV), który może używać zautomatyzowanych narzędzi do wykrywania potencjalnych luk w oprogramowaniu i sprzęcie zarządzającym danymi płatności.
4. Zasady bezpieczeństwa i szkolenia
powyższe kroki popchną cię w kierunku zgodności z PCI, ale aby zachować zgodność, musisz również pozostać na bieżąco:
- aktualizacje oprogramowania
- poprawki zabezpieczeń
- ochrona antywirusowa
- skanowanie złośliwego oprogramowania
ponadto musisz przeszkolić swoich pracowników, jak prawidłowo zarządzać informacjami o płatnościach — najlepiej w oparciu o niezbędne informacje. Pomaga również każdemu wybrać długie, alfanumeryczne hasła dla wszystkich logowań.
sprawdź wynik bezpieczeństwa witryny pod kątem zgodności z PCI
• Znajdź luki w kodzie
certyfikat Secure sockets layer
certyfikat secure sockets layer (SSL) to dodatkowe poświadczenie, które pozwala kupującym online wiedzieć, że mają bezpośrednie, szyfrowane połączenie z Twoją witryną (zamiast naśladowcy). Po zainstalowaniu tego certyfikatu SSL domena witryny będzie miała dodatkowe ” s „na końcu prefiksu” http ” (tj.
więcej szczegółów weryfikacji
aby sprzedaż online mogła zostać przeprowadzona, większość wózków do e-zakupów wymaga nazwiska posiadacza karty, numeru konta i daty ważności. Stanowią one absolutne minimum w zakresie bezpieczeństwa, zwłaszcza biorąc pod uwagę, że oszustwa internetowe prowadzą do miliardów rocznych strat. Dlatego należy rozważyć wprowadzenie dodatkowych danych uwierzytelniających, takich jak adresy rozliczeniowe i wartości weryfikacji karty (CVVs).
odpowiednie wtyczki i narzędzia
technicznie rzecz biorąc, WordPress nie ma certyfikatu PCI. Tak samo jak WooCommerce. Jednak oba zostały zaprojektowane od podstaw, z myślą o bezpieczeństwie. Na przykład WordPress jest wyposażony w kontrolę administratora, która pozwala ograniczyć dostęp dla każdego użytkownika. WooCommerce nigdy nie przechowuje danych karty kredytowej, co uniemożliwia złodziejom zdobycie danych płatności. Dowiedz się więcej w naszym artykule towarzyszącym; zgodność z WooCommerce i PCI. Nie musisz wybierać tych konkretnych narzędzi, ale dowolne platformy i wtyczki, których używasz, powinny mieć porównywalny poziom podziału i kontroli.
WordPress PCI Compliance – jeden ostatni krok
jest jeden ostatni element układanki: musisz udostępnić wszystkie powyższe elementy procesorowi płatności i bankowi, aby uzyskać status „PCI Compliance” (i musisz wysyłać raporty kwartalne, aby pozostać w dobrej kondycji). Prawdziwa zgodność nie jest jednorazową poprawką. Wraz z rozwojem nieuczciwych strategii, kroki stosowane w celu zapobiegania przyszłym atakom muszą również zmieniać się w czasie. Jeśli masz pytania dotyczące zgodności z PCI lub nie wiesz, jak zacząć, możesz zapoznać się z dołączoną infografiką. Obejmuje on wiele najpopularniejszych mitów i nieporozumień, które małe firmy internetowe mają na temat bezpieczeństwa płatności.
autor bio: Kristen Gramigna jest dyrektorem marketingu w BluePay, dostawcy szybkich, łatwych i bezpiecznych rozwiązań do przetwarzania płatności. Posiada ponad 20-letnie doświadczenie w branży kart bankowych w sprzedaży bezpośredniej, zarządzaniu sprzedażą i marketingu.