as regras de conformidade PCI foram estabelecidas pelo setor de cartões de pagamento (PCI) para ajudar a melhorar a segurança dos dados e reduzir a fraude. Embora essas diretrizes não sejam tecnicamente obrigatórias, as empresas que aceitam cartões podem estar sujeitas a multas, litígios ou rescisão de suas contas comerciais se ocorrer fraude em seus ambientes de pagamento. Em outras palavras, bancos e processadores de pagamento podem fornecer a tecnologia para aceitar pagamentos, mas os comerciantes ainda são responsáveis pela maneira como processam e armazenam dados confidenciais de cartão de crédito e por qualquer atividade fraudulenta que possa surgir disso. Mesmo na ausência de regras de Responsabilidade, A conformidade com PCI é uma boa ideia, pois essas diretrizes de segurança de dados ajudam a proteger sua empresa e clientes de ataques fraudulentos. Uma analogia útil é o cinto de segurança. Em New Hampshire, por exemplo, motoristas adultos não são tecnicamente “obrigados” a usá-los. Mas como os cintos de segurança salvam vidas, você deve apertar o cinto sempre que estiver em um carro.
PCI Compliance no mundo online
PCI-compliant fraud protection é essencial para todas as empresas. É particularmente importante no comércio eletrônico, pois compradores e vendedores nunca se encontram cara a cara. Sem nenhuma maneira de verificar de forma independente as identidades de compradores anônimos, a fraude de cartão de crédito on-line é agora uma indústria de US $6,4 bilhões para criminosos. Os maiores alvos de ataques fraudulentos são geralmente os menores jogadores. De acordo com algumas estimativas, 60 por cento de todos os ataques cibernéticos são direcionados para pequenas e médias empresas, porque esses comerciantes muitas vezes não têm o know-how técnico e recursos para se proteger. Felizmente, um número crescente de ferramentas de comércio eletrônico começou a dar maior ênfase ao gerenciamento de fraudes-de carrinhos de compras a plug — ins e conjuntos de sistemas de gerenciamento de conteúdo (CMS). Se você atualmente usa plataformas como WordPress ou WooCommerce, tornar-se compatível com PCI é mais fácil do que nunca. Mas não é automático. Existem etapas que você deve seguir para tornar seu site compatível com as Diretrizes de segurança de dados do setor de cartões de pagamento. Essas etapas se aplicam a qualquer comerciante que aceite transações com cartão de crédito, independentemente de você confiar no Drupal, Joomla! ou Magento para administrar seu negócio. Como o WordPress é o pacote CMS mais usado, e o plugin WooCommerce é indiscutivelmente a plataforma de comércio eletrônico mais popular, usaremos essas ferramentas nos exemplos abaixo.
WordPress PCI Compliance: tomar medidas para se proteger
o ponto de partida mais importante envolve a escolha de um processador de pagamento compatível com PCI. Se o seu provedor Não seguir as práticas recomendadas de segurança mais recentes, nenhuma das outras etapas desta lista é importante. Escolha um processador que possa fornecer um gateway de pagamento seguro. Uma vez feito isso, você pode passar para as próximas etapas.
Determine seu nível de comerciante
as regras de conformidade PCI mudam dependendo do volume transacional de sua empresa. Para saber quais diretrizes você deve seguir, você deve determinar seu tipo de nível de comerciante. Se você é como a maioria das pequenas empresas, provavelmente se qualifica para o Nível 4 — que tem o processo de Conformidade mais fácil. Para ter certeza, você deve verificar seu status primeiro.
questionário de autoavaliação
o próximo passo envolve fazer um questionário de autoavaliação (SAQ) para determinar sua exposição atual ao risco. Esses testes podem parecer esmagadores no início, mas a maioria das perguntas requer respostas simples de sim/não.
Approved scanning vendor
embora nem sempre seja necessário, é uma boa ideia incluir um approved scanning vendor (ASV) que possa usar ferramentas automatizadas para detectar possíveis vulnerabilidades no software e no hardware que gerencia os dados de pagamento.
4. Políticas de segurança e de treinamento
Os passos acima, vai empurrá-lo para o cumprimento do PCI, mas para permanecer compatível, você também precisa ficar em cima de:
- atualizações de Software
- patches de Segurança
- proteção Antivírus
- verificação de Malware
além disso, você deve treinar seus funcionários a maneira correta de gerenciar informações de pagamento, de preferência em uma necessidade de conhecer. Também ajuda a fazer com que todos selecionem senhas alfanuméricas longas para todos os logins.
VERIFIQUE a SUA SEGURANÇA de SITES PONTUAÇÃO PARA o CUMPRIMENTO do PCI
• Encontrar Vulnerabilidades no Código
Secure sockets layer certificado
Uma camada segura de sockets (SSL) o certificado é um add-on credencial que permite compras on-line, sabem que eles têm uma direta, conexão criptografada com o seu site (em vez de um copycat s). Depois que este certificado SSL for instalado, o domínio do seu site terá um “S” extra no final do prefixo “http” (ou seja, https).
mais detalhes de verificação
para uma venda on-line, a maioria dos carrinhos de e-shopping exige o nome, o número da conta e a data de validade do titular do cartão. Estes representam o mínimo em segurança, especialmente dado que a fraude on-line leva a bilhões em perdas anuais. Portanto, você deve considerar também exigir detalhes adicionais de autenticação, como endereços de faturamento e valores de verificação de cartão (CVVs).
os plugins e ferramentas certos
tecnicamente falando, o WordPress não é certificado por PCI. Nem é WooCommerce, para esse assunto. No entanto, ambos foram projetados a partir do zero, com a segurança em mente. Por exemplo, o WordPress vem com controles de administração que permitem restringir o acesso para cada usuário individual. O WooCommerce nunca armazena detalhes do cartão de crédito, tornando impossível para os ladrões colocarem as mãos nos dados de pagamento. Saiba mais em nosso Artigo complementar; conformidade com WooCommerce e PCI. Você não precisa escolher essas ferramentas específicas, mas quaisquer plataformas e plug-ins que você use devem vir com níveis comparáveis de compartimentalização e controle.
WordPress Conformidade com PCI — Uma Etapa Final
Há uma última peça do quebra-cabeça: Você precisa compartilhar todos os itens acima com seu processador de pagamento e banco para ganhar “Conformidade do PCI” estado (e você deve enviar relatórios trimestrais ao permanecer em pé). A verdadeira conformidade não é uma solução única. À medida que as estratégias fraudulentas evoluem, as etapas usadas para prevenir futuros ataques também devem mudar com o tempo. Se você tiver dúvidas sobre a conformidade com PCI ou se não tiver certeza de como começar, consulte o infográfico que o acompanha. Ele cobre muitos dos mitos e equívocos mais populares que as pequenas empresas on-line têm sobre segurança de pagamento.Kristen Gramigna é Diretora de Marketing da BluePay, fornecedora de soluções de processamento de pagamentos rápidas, fáceis e seguras. Ela traz mais de 20 anos de experiência no setor de cartões bancários em vendas diretas, gerenciamento de vendas e marketing.