كيف تساعد Nexcess متجرك في البقاء متوافقًا مع PCI

يتطلب امتلاك متجر متوافق مع PCI جهودًا متواصلة من نفسك ومن مزود الاستضافة. على الرغم من عدم وجود طرق مختصرة ، إلا أن اختيار مزود استضافة ويب موثوق به يعد مكانًا فعالاً للبدء. ومع ذلك ، فإن معظم متطلبات PCI لا يمكن أن يفي بها إلا أنت ، التاجر. تابع القراءة لمعرفة المزيد حول الخط الفاصل بين المضيف والتاجر ، ولماذا قد يكون من المفيد تجاوز PCI لعملائك.

ما هو الـ PCI؟

في التجارة الإلكترونية ، يعتبر PCI اختصارًا لمعايير أمان بيانات صناعة بطاقات الدفع (PCI DSS). يهدف PCI DSS ، الذي تم إنشاؤه في عام 2004 ، إلى المساعدة في حماية المستهلكين ومنع الاحتيال على بطاقات الائتمان. إنه مطلوب لأي مؤسسة تتلقى أو تعالج أو تخزن بيانات بطاقة الائتمان لأي من الأعضاء الخمسة في مجلس أمن PCI : VISA و MasterCard و American Express و Discover و JCB.

قائمة المتطلبات واسعة ، بعبارة ملطفة. تشمل المتطلبات ست فئات ، وتنقسم كل فئة إلى عدة مئات من المتطلبات المحددة. يقع بعضها حصريًا تحت نطاق إما التجار أو مقدمي الاستضافة ، بينما يمتد البعض الآخر إلى كليهما. كما أن الامتثال لـ PCI ليس شرطًا لمرة واحدة ، حيث يقوم مجلس الأمن بإجراء تعديلات دورية لمواجهة التهديدات الجديدة للمستهلكين.

الامتثال ليس حدثًا "واحدًا وفعلًا". يتطلب مهام يومية وأسبوعية وشهرية وسنوية للحفاظ على الامتثال. هناك 12 متطلبات عامة مقسمة على ست فئات. لأغراض توضيحية ، قمنا بإدراج هذه الفئات نفسها ، ولكننا قمنا أيضًا بتضمين متطلبات أكثر تحديدًا من داخل PCI DSS.

يمكن أن يؤدي عدم الامتثال لـ PCI إلى غرامات تتراوح بين 5000 دولار و 100000 دولار شهريًا ، اعتمادًا على حجم المنظمة المخالفة وشدتها وعوامل أخرى. يمكن أن يؤدي عدم الامتثال أيضًا إلى إجراءات قانونية وانتهاكات أمنية وخسارة في الإيرادات.

متطلبات PCI لمقدمي الاستضافة

يكاد يكون من المستحيل أن يكون التاجر العادي متوافقًا مع PCI دون الاستعانة بخدمات مزود استضافة متوافق. يجب على التجار الذين يستضيفون مواقع الويب الخاصة بهم تلبية متطلبات مزود الاستضافة بالإضافة إلى تلبية متطلبات التجار. يعمل مثل هذا النموذج مع المؤسسات الضخمة مثل Amazon و WalMart ، لكن القليل من المؤسسات الأخرى.

فيما يلي بعض النقاط البارزة في أنظمتنا وسياساتنا التي تدعم وضعنا كمزود استضافة متوافق مع PCI. يشير مصطلح "بيئة بيانات حامل البطاقة" إلى أي نظام يقوم بتخزين بيانات بطاقة الائتمان أو معالجتها أو نقلها بالإضافة إلى أي نظام يمكنه الوصول إلى بيئة بيانات حامل البطاقة نفسها.

نحتفظ بجدار حماية لتطبيق الويب (WAF) ، والذي يراقب جميع الاتصالات بين بيئة بيانات حامل البطاقة والشبكات الأخرى. يحظر ModSec وصول الجمهور إلى المناطق الحساسة ، ويحدد الاتصالات غير الموثوق بها ، ويخفي عناوين IP ومعلومات التوجيه من الأطراف غير المصرح لها.

نحن نطبق معايير التكوين المقبولة في الصناعة لجميع مكونات النظام التي تعالج جميع الثغرات الأمنية المعروفة . يمتد هذا إلى شبكتنا الداخلية والخارجية وأنظمة التشغيل والأجهزة المطلوبة لاستضافة خدمات الويب.

نطبق بروتوكولات التشفير والأمان التي تقوم بتشفير وحماية بيانات حامل البطاقة حتى عند إرسالها عبر الشبكات العامة. يتم فرض شهادات SSL ومفاتيح الأمان الموثوقة الأخرى من جانب واحد. يسمح فقط باستخدام أصفار TLS الحديثة.

نحن نقيد الوصول المادي إلى مركز البيانات لدينا من خلال سياسات الأمان على مدار 24 ساعة وفريق مدرب على تنفيذها. وهذا يشمل ، على سبيل المثال لا الحصر:

• مراقبة بالفيديو مع سجل لقطات مدته 90 يومًا
• دخول آمن مع مصادقة ثنائية على الأقل (رقم التعريف الشخصي ، بطاقة الوصول) في معظم المناطق ، ومصادقة ثلاثية العوامل (رقم التعريف الشخصي ، بطاقة الوصول ، بصمة الإبهام) في المناطق التي تضم بيئة بيانات حامل البطاقة
• تحديد مرئي لجميع أعضاء الفريق
• سياسة الزائر التي تمنع الوصول العام غير المصرح به ؛ يمكن للأفراد الخارجيين المصرح لهم الوصول إلى المناطق المطلوبة فقط ويتم مرافقتهم في جميع الأوقات
• يتم منح أعضاء الفريق حق الوصول إلى بيئة بيانات حامل البطاقة فقط إذا كان دورهم يتطلب ذلك
• وصول مقيد إلى مقابس الشبكة ونقاط الوصول اللاسلكية والبوابات والشبكات وخطوط الاتصال الأخرى

نحن نتتبع ونراقب الوصول إلى موارد الشبكة وبيانات حامل البطاقة ، على الرغم من أنه يقع على عاتق العملاء الاحتفاظ بالسجلات ومراقبة عمليات تسجيل الدخول لتطبيقاتهم الخاصة (Magento و WordPress وما إلى ذلك).

نحن نختبر بانتظام أنظمتنا وعملياتنا الأمنية ، ونجري اختبار اختراق داخلي على فترات منتظمة وكذلك بعد أي ترقية كبيرة للبنية التحتية.

متطلبات PCI للتجار

إن تطبيق التوافق مع PCI بشكل صحيح يساعد التجار على الالتزام بأفضل الممارسات المقبولة عمومًا لأمن البيانات. تعد الاستضافة باستخدام موفر متوافق مع PCI خطوة أولى قوية ، ولكن لا يزال التوافق يتطلب اتخاذ إجراء من جانبك.

إذا كان متجرك يقبل بطاقات الائتمان كوسيلة للدفع ، فيجب أن يكون متوافقًا مع PCI سواء قمت بتخزين هذه البيانات أم لا. يعد اختيار مضيف ويب متوافق مع PCI هو الخطوة الأولى فقط. يمكن لمعظم مضيفي الويب الموثوقين تزويد التجار بمواد تحدد مسؤوليات كل منهم عند الطلب ، ولكن في النهاية يقع على التجار فهم هذه المتطلبات والوفاء بها.

للأسف ، لا توجد قائمة تحقق "مقاس واحد يناسب الجميع". ستختلف مسؤولياتك المحددة وفقًا لمستوى التاجر الخاص بك (1-4 ، حيث يمثل 1 أعلى مستوى) ، والذي يتم تحديده بشكل عام من خلال عدد معاملات بطاقة الائتمان التي يعالجها متجرك سنويًا.

العملية العامة لمعظم التجار هي:

1. تحديد وفهم وتنفيذ متطلبات PCI DSS المناسبة.
2. أكمل استبيان التقييم الذاتي (SAQ). SAQ هي قائمة مرجعية تحدد المتطلبات. اعتمادًا على مستواك ، سيتم تطبيق بعضها أو كلها عليك. التجار من المستوى 1 لديهم معظم المتطلبات ؛ المستوى 4 على الأقل.
   قاوم إغراء "تحديد كل خانة" في SAQ. القيام بذلك يعرض عملائك للخطر ويعرض عملك للمسؤولية. من المحتمل أن يخسر PCI المال من الانتهاكات ، وردا على ذلك قد يحقق في SAQ و AOC.
3. قم بالإرسال لفحص ربع سنوي بواسطة بائع مسح معتمد (ASV) ، وهو هيئة مستقلة ومؤهلة تقوم بإجراء عمليات فحص خارجية للثغرات الأمنية على أنظمتك.
4. أكمل شهادة الامتثال (AOC) ، وهي وثيقة تؤكد أن كلاكما مؤهل لأداء أداء SAQ بأفضل ما لديك.
5. إذا تم تصنيفك كتاجر من المستوى 1 ، فيجب عليك اتخاذ خطوات إضافية ، بما في ذلك التقييم في الموقع.

إذا كان تسلق العقبة الكبيرة من امتثال PCI لا يروق لك ، فأنت لست وحدك. يمكن لمزود الاستضافة الخاص بك الإجابة عن الأسئلة المتعلقة بتداخل المسؤولية ، ويمكن لمقيمي الأمان المؤهلين (QSAs) التابعين لجهات خارجية مساعدة الشركات في تشغيل PCI gauntlet (مقابل سعر).

حتى الشركات التي تقدم فقط PayPal و Auth.net وخدمات الدفع الأخرى كخيارات دفع يجب أن تكون متوافقة مع PCI لأن هذه الشركات لا يزال يتعين عليها نقل بيانات بطاقة الائتمان.

أحد المكونات العالمية هو الحاجة إلى تأكيد أن جميع مزودي الخدمة لديك متوافقون مع PCI. يتضمن ذلك مزود الاستضافة الخاص بك ، ولكنه يمتد أيضًا إلى معالجات الدفع وبوابات الدفع وموفري نقاط البيع وأي كيانات أخرى تمس بيانات حامل بطاقة عملائك.

ما وراء PCI

إذا كان الامتثال PCI كافياً ، فإن انتهاكات المنظمات البارزة ستكون أقل شيوعًا. لا ينبغي أن يعني الامتثال الرضا عن النفس.

في الواقع ، يعد امتثال PCI هو "Cardholder Data Security 101." إنه الحد الأدنى المقبول والمقدمة المعقولة ، لكن PCI أبعد ما يكون عن الخطأ. تتطلب شركات بطاقات الائتمان الامتثال. سيكون التجار الملتزمون بمعايير PCI أكثر فاعلية في حماية المستهلكين من الشركات التي لا تدفع لهم سوى التشدق بالكلام ، لكن الامتثال لمعايير PCI ليس سوى الخطوة الأولى.

إن طبيعة PCI - وثيقة كبيرة ومنسقة يتم تحديثها بشكل دوري فقط - تجعلها عرضة للخطر. غالبًا ما يتم الكشف عن المعايير التي تعتبر كافية في الإصدار "الحالي" على أنها غير كافية. يمكن أن يستغرق الأمر شهورًا أو حتى سنوات حتى "اللحاق بالركب" ، ويدرك الفاعلون السيئون جيدًا حدوده.

أفضل حماية هي المعرفة. في Nexcess ، لدينا أعضاء فريق متخصصون في أمان الويب والذين يبقون على دراية جيدة بأحدث التهديدات والخروقات والإجراءات المضادة. قد يتردد العديد من التجار في الاستعانة بخدمات خبير أمني. على الأقل ، نوصي بالاشتراك في إشعارات الأمان لتطبيق التجارة الإلكترونية الخاص بك واتباع مصدر أخبار أمان ويب واحد موثوق به على الأقل. يتفاعل كلا المصدرين بشكل أسرع بكثير من PCI ، وسيساعدك اتباعهما على "اكتشاف الدخان" قبل أن يتحول إلى حريق.

نحن في القائمة!

لا تنس ، نحن "على قائمة" المزودين المتوافقين مع PCI المعترف بهم رسميًا من قبل Visa Global Registry. هذا يعني أننا أظهرنا التزامًا مستمرًا بمراجعة سياسات الأمان لدينا وتحسينها لمطابقة متطلبات الامتثال لـ PCI وتجاوزها. إذا كنت تبحث عن موفر متوافق مع PCI ، فإن الاستضافة مع Nexcess تعني أنك تستضيف مع موفر معتمد ومعترف به. تعرف على المزيد حول الاستضافة المتوافقة مع PCI مع Nexcess.

للحصول على إرشادات بشأن توافق PCI ، اتصل بفريق المبيعات لدينا بين الساعة 9 صباحًا و 5 مساءً بالتوقيت الشرقي ، من الاثنين إلى الجمعة.