regulile de conformitate PCI au fost stabilite de industria cardurilor de plată (PCI) pentru a ajuta la îmbunătățirea securității datelor și la reducerea fraudei. Deși aceste linii directoare nu sunt obligatorii din punct de vedere tehnic, companiile care acceptă carduri pot fi supuse unor amenzi, litigii sau rezilierea conturilor lor de comerciant dacă se produce fraudă în mediile lor de plată. Cu alte cuvinte, băncile și procesatorii de plăți pot furniza tehnologia pentru a accepta plăți, dar comercianții sunt în continuare responsabili pentru modul în care procesează și stochează datele sensibile ale cărților de credit și orice activitate frauduloasă care ar putea apărea din aceasta. Chiar și în absența regulilor de răspundere, conformitatea PCI este o idee bună, deoarece aceste linii directoare de securitate a datelor vă ajută să vă protejați afacerea și clienții împotriva atacurilor frauduloase. O analogie utilă este centura de siguranță. În New Hampshire, de exemplu, șoferii adulți nu sunt „obligați” din punct de vedere tehnic să le poarte. Dar pentru că centurile de siguranță salvează vieți, ar trebui să te închizi oricând ești într-o mașină.
conformitatea PCI în lumea Online
protecția împotriva fraudei conformă PCI este esențială pentru toate întreprinderile. Este deosebit de important în comerțul electronic, deoarece cumpărătorii și vânzătorii nu se întâlnesc niciodată față în față. Fără nicio modalitate de a verifica în mod independent identitatea cumpărătorilor anonimi, frauda cu carduri de credit online este acum o industrie de 6,4 miliarde de dolari pentru infractori. Cele mai mari ținte ale atacurilor frauduloase sunt de obicei cei mai mici jucători. Potrivit unor estimări, 60% din toate atacurile cibernetice sunt îndreptate către întreprinderile mici și mijlocii, deoarece acești comercianți nu dispun adesea de know-how tehnic și resurse pentru a se proteja. Din fericire, un număr tot mai mare de instrumente de comerț electronic au început să pună un accent mai mare pe gestionarea fraudei-de la cărucioare de cumpărături la pluginuri până la suitele sistemului de gestionare a conținutului (CMS). Dacă utilizați în prezent platforme precum WordPress sau WooCommerce, a deveni compatibil PCI este mai ușor ca niciodată. Dar nu este automat. Există pași pe care trebuie să îi faceți pentru ca site-ul dvs. web să respecte regulile de securitate a datelor din industria cardurilor de plată. Acești pași se aplică oricărui comerciant care acceptă tranzacții cu carduri de credit, indiferent dacă vă bazați pe Drupal, Joomla! sau Magento pentru a vă conduce afacerea. Deoarece WordPress este cea mai utilizată suită CMS, iar pluginul WooCommerce este, fără îndoială, cea mai populară platformă de comerț electronic, vom folosi aceste instrumente în exemplele de mai jos.
conformitate PCI WordPress: luarea de măsuri pentru a vă proteja
cel mai important punct de plecare implică alegerea unui procesor de plată compatibil PCI. Dacă furnizorul dvs. nu respectă cele mai recente bune practici de securitate, niciunul dintre ceilalți pași din această listă nu contează. Alegeți un procesor care vă poate oferi un gateway de plată securizat. După ce ați făcut acest lucru, puteți trece la pașii următori.
determinați nivelul comerciantului
regulile de conformitate PCI se modifică în funcție de volumul tranzacțional al afacerii dvs. Pentru a ști ce linii directoare trebuie să urmați, trebuie să determinați tipul de nivel de comerciant. Dacă sunteți ca majoritatea întreprinderilor mici, probabil că vă calificați pentru nivelul 4-care are cel mai simplu proces de conformitate. Pentru a fi sigur, ar trebui să vă verificați mai întâi starea.
chestionar de autoevaluare
următorul pas implică realizarea unui chestionar de autoevaluare (SAQ) pentru a determina expunerea la risc curentă. Aceste teste pot părea copleșitoare la început, dar majoritatea întrebărilor necesită răspunsuri simple Da/Nu.
furnizor de scanare aprobat
deși nu este întotdeauna necesar, este o idee bună să includeți un furnizor de scanare aprobat (ASV) care poate utiliza instrumente automate pentru a detecta potențialele vulnerabilități ale software-ului și hardware-ului care gestionează datele de plată.
4. Politici de securitate și instruire
pașii de mai sus vă vor împinge spre conformitatea PCI, dar pentru a rămâne conform, trebuie să rămâneți la curent:
- actualizări Software
- patch — uri de securitate
- protecție Antivirus
- scanare Malware
în plus, trebuie să vă instruiți angajații cum să gestioneze corect informațiile de plată-de preferință pe baza nevoii de a cunoaște. De asemenea, ajută ca toată lumea să selecteze parole lungi, alfanumerice pentru toate conectările.
verificați Scorul de securitate al site-urilor pentru conformitatea PCI
• găsiți vulnerabilități în cod
certificat Secure sockets Layer
un certificat Secure sockets layer (SSL) este o acreditare suplimentară care permite cumpărătorilor online să știe că au o conexiune directă, criptată cu site-ul dvs. web (în loc de un imitator). Odată ce acest certificat SSL este instalat, domeniul site-ului dvs. va avea un „s” suplimentar la sfârșitul prefixului „http” (adică https).
mai multe detalii de verificare
pentru ca o vânzare online să treacă, majoritatea coșurilor de cumpărături electronice necesită numele, numărul contului și data de expirare a titularului cardului. Acestea reprezintă minimul în securitate, mai ales având în vedere că frauda online duce la pierderi anuale de miliarde. Prin urmare, ar trebui să luați în considerare și solicitarea unor detalii suplimentare de autentificare, cum ar fi adresele de facturare și valorile de verificare a cardului (CVV).
pluginurile și instrumentele potrivite
din punct de vedere tehnic, WordPress nu este certificat PCI. Nici WooCommerce, de altfel. Cu toate acestea, ambele au fost proiectate de la zero, având în vedere securitatea. De exemplu, WordPress vine cu controale de administrare care vă permit să restricționați accesul pentru fiecare utilizator individual. WooCommerce nu stochează niciodată detaliile cardului de credit, ceea ce face imposibil ca hoții să pună mâna pe datele de plată. Aflați mai multe în articolul nostru însoțitor; respectarea WooCommerce și PCI. Nu trebuie să alegeți aceste instrumente specifice, dar orice platforme și pluginuri pe care le utilizați ar trebui să vină cu niveluri comparabile de compartimentare și control.
conformitate PCI WordPress — un ultim pas
există o ultimă piesă a puzzle-ului: trebuie să împărtășiți toate cele de mai sus cu procesorul de plăți și Banca pentru a obține statutul de „conformitate PCI” (și trebuie să trimiteți rapoarte trimestriale pentru a rămâne în stare bună). Adevărata conformitate nu este o soluție unică. Pe măsură ce strategiile frauduloase evoluează, pașii utilizați pentru a preveni atacurile viitoare trebuie să se schimbe și în timp. Dacă aveți întrebări despre conformitatea PCI sau dacă nu sunteți sigur cum să începeți, puteți consulta infografia însoțitoare. Acesta acoperă multe dintre cele mai populare mituri și concepții greșite pe care întreprinderile mici online le au despre securitatea plăților.
autor bio: Kristen Gramigna este director de Marketing pentru BluePay, furnizor de soluții rapide, ușoare și sigure de procesare a plăților. Ea aduce mai mult de 20 de ani de experiență în industria cardurilor bancare în vânzări directe, managementul vânzărilor și marketing.