PCI-efterlevnadsregler fastställdes av Payment Card Industry (PCI) för att förbättra datasäkerheten och minska bedrägerier. Även om dessa riktlinjer inte är tekniskt obligatoriska kan kortaccepterande företag bli föremål för böter, tvister eller uppsägning av sina handelskonton om bedrägeri inträffar inom deras betalningsmiljöer. Med andra ord kan banker och betalningsprocessorer tillhandahålla tekniken för att acceptera betalningar, men handlare är fortfarande ansvariga för hur de behandlar och lagrar känsliga kreditkortsdata och eventuell bedräglig aktivitet som kan uppstå av det. Även i avsaknad av ansvarsregler är PCI-efterlevnad en bra ide eftersom dessa riktlinjer för datasäkerhet hjälper till att skydda ditt företag och kunder från bedrägliga attacker. En användbar analogi är säkerhetsbältet. I New Hampshire, till exempel, är vuxna förare inte tekniskt ”skyldiga” att bära dem. Men eftersom säkerhetsbälten räddar liv, bör du spänna upp när du är i en bil.
PCI-efterlevnad i onlinevärlden
PCI-kompatibelt bedrägeriskydd är viktigt för alla företag. Det är särskilt viktigt i e-handel eftersom köpare och säljare aldrig träffas ansikte mot ansikte. Med inget sätt att självständigt verifiera identiteten hos Anonyma shoppare är online kreditkortsbedrägerier nu en $ 6.4 miljarder industri för brottslingar. De största målen för bedrägliga attacker är vanligtvis de minsta spelarna. Enligt vissa uppskattningar riktas 60 procent av alla cyberattacker mot små till medelstora företag eftersom dessa handlare ofta saknar teknisk kunskap och resurser för att skydda sig själva. Lyckligtvis har ett växande antal e-handelsverktyg börjat lägga större vikt vid bedrägerihantering — från kundvagnar till plugins till content management system (CMS) sviter. Om du för närvarande använder plattformar som WordPress eller WooCommerce är det enklare än någonsin att bli PCI-kompatibel. Men det är inte automatiskt. Det finns steg du måste vidta för att göra din webbplats kompatibel med Betalkortsbranschens riktlinjer för datasäkerhet. Dessa steg gäller för alla handlare som accepterar kreditkortstransaktioner oavsett om du litar på Drupal, Joomla! eller Magento att driva ditt företag. Eftersom WordPress är den mest använda CMS-sviten, och WooCommerce-plugin är utan tvekan den mest populära e-handelsplattformen, använder vi dessa verktyg i exemplen nedan.
WordPress PCI-efterlevnad: vidta åtgärder för att skydda dig
den viktigaste utgångspunkten är att välja en PCI-kompatibel betalningsprocessor. Om din leverantör inte följer de senaste bästa säkerhetsmetoderna spelar ingen av de andra stegen i den här listan någon roll. Välj en processor som kan ge dig en säker betalningsgateway. När detta är gjort kan du gå vidare till nästa steg.
Bestäm din handelsnivå
PCI-efterlevnadsreglerna ändras beroende på transaktionsvolymen för ditt företag. För att veta vilka riktlinjer du måste följa måste du bestämma din typ av handelsnivå. Om du är som de flesta småföretag kvalificerar du dig förmodligen till nivå 4 — som har den enklaste efterlevnadsprocessen. För att vara säker bör du verifiera din status först.
frågeformulär för självbedömning
nästa steg innebär att du tar ett frågeformulär för självbedömning (SAQ) för att bestämma din nuvarande riskexponering. Dessa tester kan verka överväldigande först, men de flesta frågorna kräver enkla ja/nej-svar.
godkänd skanningsleverantör
även om det inte alltid krävs, är det bra att inkludera en godkänd skanningsleverantör (ASV) som kan använda automatiserade verktyg för att upptäcka potentiella sårbarheter i programvaran och hårdvaran som hanterar betalningsdata.
4. Säkerhetspolicyer och utbildning
stegen ovan kommer att driva dig mot PCI-efterlevnad, men för att förbli kompatibel måste du också hålla koll på:
- programuppdateringar
- säkerhetsuppdateringar
- antivirusskydd
- Malware scanning
dessutom måste du utbilda dina anställda hur man korrekt hantera betalningsinformation — helst på ett behov av att veta basis. Det hjälper också att alla väljer långa, alfanumeriska lösenord för alla inloggningar.
kontrollera dina SITES SECURITY SCORE för PCI-efterlevnad
• hitta sårbarheter i koden
Secure sockets Layer certificate
ett SSL-certifikat (secure sockets layer) är ett tilläggsbevis som låter online-shoppare veta att de har en direkt, krypterad anslutning till din webbplats (istället för en copycat). När detta SSL-certifikat har installerats kommer webbplatsens domän att ha ett extra ” s ”i slutet av” http ” – prefixet (dvs. https).
mer verifieringsinformation
för att en online-försäljning ska gå igenom kräver de flesta e-kundvagnar kortinnehavarens namn, kontonummer och utgångsdatum. Dessa representerar ett minimum av säkerhet, särskilt med tanke på att onlinebedrägerier leder till miljarder i årliga förluster. Därför bör du överväga att också kräva ytterligare autentiseringsuppgifter som faktureringsadresser och kortverifieringsvärden (CVV).
rätt plugins och verktyg
tekniskt sett är WordPress inte PCI-certifierat. Inte heller WooCommerce, för den delen. Men båda designades från grunden, med säkerhet i åtanke. Till exempel kommer WordPress med administratörskontroller som låter dig begränsa åtkomsten för varje enskild användare. WooCommerce lagrar aldrig kreditkortsuppgifter, vilket gör det omöjligt för tjuvar att få tag på betalningsdata. Läs mer i vår medföljande artikel; WooCommerce och PCI Compliance. Du behöver inte välja dessa specifika verktyg, men oavsett plattformar och plugins du använder bör komma med jämförbara nivåer av avdelning och kontroll.
WordPress PCI Compliance — ett sista steg
det finns en sista pusselbit: du måste dela alla ovanstående med din betalningsprocessor och bank för att tjäna ”PCI Compliance” – status (och du måste skicka kvartalsrapporter för att förbli i gott skick). Sann efterlevnad är inte en engångsfix. När bedrägliga strategier utvecklas måste stegen som används för att förhindra framtida attacker också förändras över tiden. Om du har frågor om PCI-efterlevnad, eller om du inte är säker på hur du kommer igång, kan du hänvisa till den medföljande infografiken. Det täcker många av de mest populära myter och missuppfattningar som små online-företag har om betalningssäkerhet.
författare bio: Kristen Gramigna är Chief Marketing Officer för BluePay, leverantör av snabba, enkla och säkra betalningslösningar. Hon har mer än 20 års erfarenhet inom bankkortbranschen inom direktförsäljning, försäljningsledning och marknadsföring.