التوافق مع PCI و WooCommerce - كل ما تحتاج إلى معرفته
نشرت: 2021-06-15سواء كنت تقوم ببناء موقع إلكتروني للتجارة الإلكترونية أو صيانته أو تشغيله ، يجب أن تكون على دراية بمسؤولياتك الأمنية. لحسن الحظ ، هناك معايير ولوائح يمكن أن تساعدك في الحفاظ على المتاجر عبر الإنترنت ، مثل تلك التي تم إنشاؤها باستخدام WooCommerce ، آمنة ومأمونة. ومن أبرزها معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS).
هل يجب أن تكون جميع مواقع WooCommerce متوافقة مع PCI؟
لا ، ليس من الضروري أن تكون جميع المواقع التي تستخدم WooCommerce متوافقة مع PCI-DSS. تنطبق هذه اللوائح على الشركات التي تقبل المدفوعات عبر الإنترنت باستخدام بطاقات الخصم والائتمان. لا ينطبق PCI-DSS إذا كنت تستخدم WooCommerce لعرض كتالوج عبر الإنترنت ، أو قبول طلبات عروض الأسعار ، أو للسماح للمتسوقين بتقديم طلبات لا تتضمن عبر الإنترنت المدفوعات.
ما هو الغرض من الامتثال PCI؟
PCI-DSS هنا للمساعدة في التأكد من أنه عندما يدفع متسوقو WooCommerce ببطاقة دفع مثل بطاقة Visa أو Mastercard أو American Express أو Discover ، فإن المعلومات المقدمة لا ينتهي بها الأمر في أيدي المجرمين. اقرأ المزيد حول ما هو الامتثال التنظيمي وكيف يؤثر على أمان WordPress.
من المسؤول عن امتثال PCI؟
تنطبق معايير PCI هذه على أي وجميع المؤسسات التي تقبل بيانات حامل البطاقة و / أو تنقلها و / أو تخزنها. وهذا يشمل التجار والمعالجات والمشترين والمصدرين ومقدمي الخدمات. في الأساس ، يجب أن تلتزم أي مؤسسة تلمس بيانات حامل البطاقة أو بيانات المصادقة الحساسة بهذه القواعد.
يعتمد تجار WooCommerce بالطبع على البائعين للوفاء بهذه اللوائح. يتضمن ذلك كل شيء بدءًا من الاستضافة المتوافقة مع PCI ، لتأمين بوابات ومعالجات الدفع. يتيح هؤلاء البائعون حتى للشركات الصغيرة والشركات الناشئة تلبية متطلبات الأمان هذه.
ما الذي يجعل موقع WooCommerce متوافقًا مع PCI؟
كما هو الحال مع معظم الأمان ، يتطلب استمرار التوافق مع PCI من التجار اتخاذ مجموعة متنوعة من الخطوات على أساس مستمر. يبلغ طول أحدث إصدار من وثيقة متطلبات وإجراءات تقييم الأمان PCI-DSS 139 صفحة. لحسن الحظ ، سينطبق الكثير من ذلك على البائعين مثل معالجي الدفع ، وليس على مالكي مواقع الويب أنفسهم.
في النهاية ، ستساعد هذه الخطوات أدناه على ضمان أنه عند ملء استبيان التقييم الذاتي لـ PCI (SAQ) وإجراء فحص لموقع الويب الخاص بك لتحديد ما إذا كان يفي بمتطلبات PCI ، سيكون لديك وقت أسهل بكثير. سيساعدون أيضًا في الحفاظ على موقع الويب الخاص بك آمنًا من معظم الهجمات.
عناصر مهمة يجب وضعها في الاعتبار
- حافظ على تحديث برنامج WordPress الخاص بك.
- قم بتحديث WooCommerce وأي ملحقات و / أو ملحقات WordPress أخرى.
- يجب أن تعمل بيئة استضافة الويب الخاصة بك على برامج محدثة ، بما في ذلك أحدث تصحيحات الأمان.
- قم بتكوين جدار حماية وصيانته ، أو حدد مضيفًا يقوم بذلك نيابةً عنك. غالبًا ما يعمل مضيفو الويب WooCommerce مع موفري جدار حماية تطبيقات الويب (WAF) مثل Cloudflare و Sucuri لتقديم حلول جدار الحماية التي تتم مراقبتها على مدار الساعة طوال أيام الأسبوع.
- نقل البيانات بأمان عبر HTTPS من خلال الاستفادة من شهادات SSL.
- قم بتشغيل الماسحات الضوئية للبرامج الضارة ، أو حدد مضيفًا يقوم بذلك بشكل مستمر. تأكد من أن شخصًا ما يطلع على تقارير الأمان كل يوم - إن لم يكن في الوقت الفعلي.
- التزم بمبادئ الوصول الأقل امتيازًا ، وشارك فقط الوصول مع من هم في أمس الحاجة إليه. يمكن أن يتضمن ذلك خطوات أساسية ، مثل جعل مسؤول WordPress الخاص بك لا يمكن الوصول إليه إلا من خلال عناوين IP المدرجة في القائمة البيضاء.
- استخدم معرفات مستخدم فريدة وكلمات مرور قوية. قم بتخزينها بأمان ، وقم بتحديث كلمات المرور كل 90 يومًا على الأقل.
- تأكد من أن كل مسؤول لديه بيانات اعتماد تسجيل الدخول الخاصة به - لا تشارك بيانات الاعتماد.
- حافظ على أمان جميع الأنظمة التي تتفاعل مع موقع الويب الخاص بك. يتضمن ذلك تشغيل برنامج مكافحة فيروسات محدث على أجهزة الكمبيوتر التي تستخدمها للوصول إلى مسؤول WordPress الخاص بك.
- استضف التطبيقات الأخرى بشكل منفصل. يتضمن ذلك استضافة مواقع ويب أخرى بشكل منفصل واستخدام استضافة بريد إلكتروني منفصلة. بالإضافة إلى ذلك ، يجب ألا تكون أي نسخ قديمة من موقع الويب الخاص بك بالإضافة إلى النسخ التطويرية أو المرحلية لموقعك في بيئة الاستضافة (المباشرة) الخاصة بك.
- انشر أنظمة كشف التسلل (IDS) للقبض على الخروقات الأمنية مبكرًا ، مما يقلل من التداعيات.
- استمر في مراجعة الأمان الخاص بك ، مع مراعاة التغييرات التي تم إجراؤها على موقع الويب والموظفين والموردين.
- حيثما أمكن ، استخدم المصادقة متعددة العوامل. ضع في اعتبارك إضافة امتداد مصادقة ثنائية (2FA) لـ WordPress لجعل الوصول إلى الواجهة الخلفية لمتجر WooCommerce أصعب على المتسللين.
- تخزين السجلات والنسخ الاحتياطية بشكل صحيح. هذا مهم للغاية في حالة الحاجة إليها كجزء من التحقيق في الخرق.
كيف أحصل على شهادة الامتثال لـ PCI؟
هناك بائعون محددون يقدمون هذه الخدمة. غالبًا ما يكون من الجيد تسجيل الوصول مع معالج الدفع وموفر استضافة الويب لمعرفة ما إذا كانوا يقدمون أو يشتملون أو يوصون بأي من هذه الخدمات. ومع ذلك ، هناك قائمة طويلة من بائعي الفحص المعتمدين المتاحة من مجلس معايير أمان PCI. تذكر أن هذا ليس إجراءً لمرة واحدة ، لذلك يمكنك أن تأمل في العمل مع هذا البائع لسنوات عديدة قادمة.
هل يضمن اجتياز فحص PCI أن موقع WooCommerce آمنًا وآمنًا؟
تتناول تقييمات التوافق مع PCI سياسات الأمان ونقاط الضعف التي يمكن ملاحظتها وتركز على الحد الأدنى من الجهود الأمنية المطلوبة من قبل التجار. من الضروري الحفاظ على أمنك بعد أن يتم اعتماد موقعك في البداية على أنه متوافق مع PCI. على سبيل المثال ، لا يزال يتعين عليك تثبيت تصحيحات أمان جديدة في غضون 30 يومًا من إصدارها.
بالإضافة إلى ذلك ، يُنصح بشدة باتباع نهج استباقي للأمان. هناك دائمًا أحداث يوم الصفر - حالات يتم فيها استغلال ثغرة أمنية جديدة. في مثل هذه الحالات ، لا توجد التصحيحات بعد. أفضل رهان لك هو الاستفادة من أدوات الأمان الأساسية ، مثل نظام كشف التسلل (IDS). يعمل هذا بمثابة إنذار ، مما يمنحك الفرصة لمعالجة حالة القرصنة بسرعة ، وتقليل ما يمكن أن يكون حادثًا أسوأ بكثير. بشكل عام ، يمكننا القول أن هناك العديد من الأسباب التي تجعل حل التجارة الإلكترونية في WordPress الخاص بك آمنًا.
هل استخدام موفر PA-DSS يجعل الموقع متوافقًا مع PCI؟
معالجات الدفع التي تلتزم بمعيار أمان بيانات تطبيق الدفع (PA-DSS) لا تجعل موقعك متوافقًا تلقائيًا مع PCI. لا يستضيفوا الويب. حتى إذا كنت تستخدم معالج دفع يأخذ المتسوقين إلى خارج الموقع لإكمال معاملاتهم ، فلا يزال لديك التزامات. على سبيل المثال ، إذا كنت لا تقوم بتصحيح برنامجك ، وتم اختراق موقع WordPress الخاص بك ، فيمكن للصوص تبديل عملية الدفع الخاصة بك للحصول على نموذجهم الخاص من أجل سحب بيانات بطاقة الائتمان. في حين أن بعض بوابات الدفع يمكن أن تقلل من مخاطر الاختراق ، فإنها لا تعفيك من جميع مسؤولياتك الأمنية.
ما هي مخاطر عدم الحفاظ على التوافق مع PCI الخاص بموقع WooCommerce؟
إذا كان موقع WooCommerce الخاص بك يقبل بطاقات الدفع ولا يتوافق مع PCI ، فهناك الكثير من المخاطر. قد تضطر إلى دفع رسوم أو غرامات أو تجد معالجات دفع ترفض خدمة حسابك - مما يقطع قدرتك على قبول المدفوعات عبر الإنترنت. لهذا السبب يعد امتثال PCI DSS لمواقع التجارة الإلكترونية والأعمال في WordPress أمرًا في غاية الأهمية.
يزداد الأمر سوءًا إذا كان لديك خرق للبيانات أثناء عدم الالتزام بلوائح PCI-DSS. هناك جميع أنواع الغرامات والتكاليف ، بما في ذلك الإجراءات القانونية المحتملة. هذا يتجاوز سمعتك التالفة ، وتكاليف التحقيق في الانتهاك والتخفيف من حدته ، والذي قد يتسبب أيضًا في تعطل متجر WooCommerce وفقدان الإيرادات.
بعد الخرق ، قد تجد صعوبة أكبر و / أو أكثر تكلفة لقبول بطاقات الدفع ، إذا تمكنت من العثور على بائع يرغب في خدمتك. يعتمد الأمر حقًا على التفاصيل ، ولكن إذا تبين أنك شديد الخطورة لأنك لم تلتزم بمعايير الأمان الأساسية ، فقد يكون لذلك عواقب وخيمة على عملك.
هل يوجد بائعون متخصصون في مساعدة تجار WooCommerce في الامتثال لـ PCI؟
نعم! على سبيل المثال ، بدلاً من مطالبة المتسوقين بإرسال معلومات بطاقة الدفع التي تحتفظ بها ، هناك مجموعة متنوعة من بوابات الدفع التي يمكنها نقل معلومات بطاقة الائتمان بشكل آمن. يشمل ذلك مزودي الحلول مثل Amazon Pay و Authorize.net و Braintree و CCBill و Cybersource و EBizCharge و Global Payments و Heartland و PayPal و Square و Stripe والمزيد!
هناك أيضًا المزيد من بوابات الدفع الفريدة التي توفر خيارات فريدة للمتسوقين ، مثل Affirm و Bread و Katapult و Klarna و Sezzle و ViaBill والتي تقدم خيارات الشراء الآن والدفع لاحقًا للمستهلكين ، و Bolt ، التي تحل محل الخروج من WooCommerce بـ تجربة سداد محسّنة للغاية. حتى أن هناك حلول دفع B2B مثل PayStand و Apruve.
وبالمثل ، هناك مضيفو ويب متخصصون في الحفاظ على بيئة استضافة التجارة الإلكترونية الخاصة بك آمنة. بينما تشير العديد من الأنظمة الأساسية إلى توافق PCI ، ستحتاج إلى مراقبة فحص البرامج الضارة وجدار حماية تطبيقات الويب واكتشاف التطفل والمراقبة على مدار الساعة طوال أيام الأسبوع وعوامل أخرى قد تحتاج إلى بائع موثوق لإدارتها نيابة عنك.
استنتاج
من السهل نسبيًا إنشاء متجر WooCommerce ، ولكن بدون ممارسات الأمان الصحيحة المستمرة ، لن يتم تأمين هذا المتجر ضد المتسللين. إذا كان المتجر يقبل بطاقات الدفع ، فإن مالكي مواقع الويب مسؤولون عن التوافق مع PCI ، ويحتاجون إلى اختيار البائعين المتوافقين أيضًا. لحسن الحظ ، هناك الكثير من البائعين الرائعين للاختيار من بينهم للمساعدة في جعل الالتزام بلوائح PCI-DSS غير مؤلم إلى حد ما.