Wie Nexcess Ihrem Geschäft hilft, PCI-konform zu bleiben

Veröffentlicht: 2022-06-30

Ein PCI-konformer Shop erfordert nachhaltige Anstrengungen von Ihnen und Ihrem Hosting-Provider. Obwohl es keine Abkürzungen gibt, ist die Wahl eines glaubwürdigen Webhosting-Anbieters ein effektiver Ausgangspunkt. Trotzdem können die meisten PCI-Anforderungen nur von Ihnen als Händler erfüllt werden. Lesen Sie weiter, um mehr über die Trennlinie zwischen Host und Händler zu erfahren und warum es sich für Ihre Kunden lohnen kann, über PCI hinauszugehen.

Suchen Sie PCI-konformes Hosting? Besuchen Sie unsere PCI-Compliance-Seite, um mehr zu erfahren.

Was ist PCI?

nächsten verschlossenen Safe Im E-Commerce ist PCI die Abkürzung für Payment Card Industry Data Security Standards (PCI DSS). PCI DSS wurde 2004 ins Leben gerufen und zielt darauf ab, Verbraucher zu schützen und Kreditkartenbetrug zu verhindern. Es ist für jede Organisation erforderlich, die Kreditkartendaten von einem der fünf Mitglieder des PCI Security Council empfängt, verarbeitet oder speichert : VISA, MasterCard, American Express, Discover und JCB.

Die Liste der Anforderungen ist umfangreich, um es milde auszudrücken. Die Anforderungen umfassen sechs Kategorien, und jede Kategorie ist in mehrere hundert spezifische Anforderungen unterteilt. Einige fallen ausschließlich unter die Domäne von Händlern oder Hosting-Providern, während andere sich auf beide erstrecken. Die PCI-Konformität ist auch keine einmalige Anforderung, da der Sicherheitsrat regelmäßig Anpassungen vornimmt, um neuen Bedrohungen für Verbraucher zu begegnen.

Compliance ist kein einmaliges Ereignis. Es erfordert tägliche, wöchentliche, monatliche und jährliche Aufgaben, um die Compliance aufrechtzuerhalten. Es gibt 12 allgemeine Anforderungen, die in sechs Kategorien unterteilt sind. Zur Veranschaulichung haben wir dieselben Kategorien aufgelistet, aber auch spezifischere Anforderungen innerhalb von PCI DSS aufgenommen.

6 Schlüsselkategorien für PCI-Compliance

Bauen und pflegen Sie ein sicheres Netzwerk. Installieren und warten Sie eine Firewall. Verwenden Sie einzigartige, hochsichere Passwörter mit besonderer Sorgfalt, um Standardpasswörter zu ersetzen.

Karteninhaberdaten schützen. Speichern Sie nach Möglichkeit keine Karteninhaberdaten. Wenn aus geschäftlichen Gründen Karteninhaberdaten gespeichert werden müssen, müssen Sie diese Daten schützen. Verschlüsseln Sie alle Daten, die über öffentliche Netzwerke übertragen werden, einschließlich Daten, die zwischen Ihrem Warenkorb, Ihrem Webhosting-Anbieter und Ihren Kunden ausgetauscht werden.

Pflegen Sie ein Vulnerability-Management-Programm. Verwenden Sie Antivirensoftware und halten Sie sie auf dem neuesten Stand. Entwickeln und pflegen Sie sichere Betriebssysteme und Zahlungsanwendungen. Stellen Sie sicher, dass Ihre Antivirus-Softwareanwendungen mit den von Ihnen ausgewählten Kartenunternehmen kompatibel sind.

Implementieren Sie strenge Zugriffskontrollmaßnahmen. Der Zugriff auf Karteninhaberdaten, sowohl elektronisch als auch physisch, sollte nach dem Need-to-Know-Prinzip erfolgen. Stellen Sie sicher, dass Personen mit elektronischem Zugang eine eindeutige ID und ein eindeutiges Passwort haben. Erlauben Sie niemandem, Anmeldedaten zu teilen. Informieren Sie sich und Ihre Mitarbeiter über Datensicherheit und insbesondere über den PCI Data Security Standard (DSS).

Netzwerke regelmäßig überwachen und testen. Verfolgen und überwachen Sie alle Zugriffe auf Netzwerke und Karteninhaberdaten. Pflegen Sie einen regelmäßigen Testplan für Sicherheitssysteme und -prozesse, einschließlich: Firewalls, Patches, Webserver, E-Mail-Server und Antivirus.

Pflegen Sie eine Informationssicherheitsrichtlinie. Richten Sie eine klare und gründliche organisatorische Datensicherheitsrichtlinie ein. Verbreiten und aktualisieren Sie diese Richtlinie regelmäßig.

Die Nichteinhaltung von PCI kann zu Geldstrafen zwischen 5.000 und 100.000 US-Dollar pro Monat führen, abhängig von der Größe der Organisation, deren Schweregrad und anderen Faktoren der Verstoß vorliegt. Die Nichteinhaltung kann auch zu rechtlichen Schritten, Sicherheitsverletzungen und entgangenen Einnahmen führen.

PCI-Anforderungen für Hosting-Provider

nächste Überwachung Für den typischen Händler ist es praktisch unmöglich, PCI-konform zu sein, ohne die Dienste eines konformen Hosting-Anbieters in Anspruch zu nehmen. Händler, die ihre eigenen Websites hosten, müssen zusätzlich zu den Anforderungen für Händler die Anforderungen des Hosting-Anbieters erfüllen. Ein solches Modell funktioniert für große Unternehmen wie Amazon und WalMart, aber nur für wenige andere.

Im Folgenden sind einige der Highlights unserer Systeme und Richtlinien aufgeführt, die unseren Status als PCI-konformer Hosting-Anbieter aufrechterhalten. Der Begriff „Karteninhaberdatenumgebung“ bezieht sich auf alle Systeme, die Kreditkartendaten speichern, verarbeiten oder übertragen, sowie auf alle Systeme, die selbst Zugriff auf die Karteninhaberdatenumgebung haben.

Wir unterhalten eine Web Application Firewall (WAF), die alle Verbindungen zwischen der Karteninhaberdatenumgebung und anderen Netzwerken überwacht. ModSec verbietet den öffentlichen Zugriff auf sensible Bereiche, identifiziert nicht vertrauenswürdige Verbindungen und verbirgt IP-Adressen und Routing-Informationen vor unbefugten Parteien.

Wir wenden branchenweit akzeptierte Konfigurationsstandards für alle Systemkomponenten an, die alle bekannten Sicherheitslücken schließen . Dies erstreckt sich auf unser internes und externes Netzwerk, unsere Betriebssysteme und die zum Hosten von Webdiensten erforderliche Hardware.

Wir wenden Kryptografie- und Sicherheitsprotokolle an, die Karteninhaberdaten verschlüsseln und schützen, selbst wenn sie über öffentliche Netzwerke übertragen werden. SSL-Zertifikate und andere vertrauenswürdige Sicherheitsschlüssel werden einseitig durchgesetzt. Es sind nur moderne TLS-Verschlüsselungen zulässig.

Wir beschränken den physischen Zugang zu unserem Rechenzentrum mit 24-Stunden-Sicherheitsrichtlinien und einem Team, das für deren Umsetzung geschult ist. Dies beinhaltet, ist aber nicht beschränkt auf:

  • Videoüberwachung mit 90-tägiger Filmhistorie
  • Gesicherter Zutritt mit mindestens Zwei-Faktor-Authentifizierung (PIN, Zugangskarte) in den meisten Bereichen und Drei-Faktor-Authentifizierung (PIN, Zugangskarte, Fingerabdruck) in Bereichen, in denen sich die Karteninhaberdatenumgebung befindet
  • Sichtbare Identifikation aller Teammitglieder
  • Besucherrichtlinie, die den unbefugten öffentlichen Zugriff verhindert; Befugte externe Personen haben nur Zugang zu den erforderlichen Bereichen und werden jederzeit begleitet
  • Teammitglieder erhalten nur dann Zugriff auf die Karteninhaberdatenumgebung, wenn ihre Rolle dies erfordert
  • Eingeschränkter Zugriff auf Netzwerkbuchsen, Wireless Access Points, Gateways, Netzwerke und andere Kommunikationswege

Wir verfolgen und überwachen den Zugriff auf Netzwerkressourcen und Karteninhaberdaten , obwohl es den Kunden obliegt, Protokolle zu führen und Anmeldungen für ihre eigenen Anwendungen (Magento, WordPress usw.) zu überwachen.

Wir testen regelmäßig unsere Sicherheitssysteme und -prozesse und führen in regelmäßigen Abständen sowie nach jeder wesentlichen Infrastrukturaktualisierung interne Penetrationstests durch.

PCI-Anforderungen für Händler

Sicheres Geschäft mit Nexcess Richtig implementiert, hilft die PCI-Compliance Händlern, sich an allgemein anerkannte Best Practices der Datensicherheit zu halten. Das Hosting bei einem PCI-konformen Anbieter ist ein solider erster Schritt, aber um konform zu werden, sind noch Maßnahmen Ihrerseits erforderlich.

Wenn Ihr Geschäft Kreditkarten als Zahlungsmittel akzeptiert, muss es PCI-konform sein, unabhängig davon, ob Sie diese Daten speichern oder nicht. Die Auswahl eines PCI-konformen Webhosts ist nur der erste Schritt. Die meisten glaubwürdigen Webhoster können Händlern auf Anfrage Materialien zur Verfügung stellen, in denen ihre jeweiligen Verantwortlichkeiten dargelegt werden, aber letztendlich liegt es an den Händlern, diese Anforderungen zu verstehen und zu erfüllen.

Leider gibt es keine „one size fits all“-Checkliste. Ihre spezifischen Verantwortlichkeiten variieren je nach Ihrer Händlerstufe (1–4, wobei 1 die höchste ist), die im Allgemeinen durch die Anzahl der Kreditkartentransaktionen bestimmt wird, die Ihr Geschäft jährlich verarbeitet.

Der allgemeine Prozess für die meisten Händler ist:

  1. Identifizieren, verstehen und implementieren Sie die entsprechenden PCI-DSS-Anforderungen.
  2. Füllen Sie einen Fragebogen zur Selbsteinschätzung (SAQ) aus. Der SAQ ist eine Checkliste, die die Anforderungen umreißt. Abhängig von Ihrem Niveau werden einige oder alle davon auf Sie zutreffen. Händler der Stufe 1 haben die meisten Anforderungen; Stufe 4, am wenigsten.
    Widerstehen Sie der Versuchung, im SAQ einfach „jedes Kästchen anzukreuzen“. Dadurch gefährden Sie Ihre Kunden und setzen Ihr Unternehmen der Haftung aus. Die PCI kann durch Verstöße Geld verlieren und kann als Reaktion darauf Ihren SAQ und AOC untersuchen.
  3. Lassen Sie sich vierteljährlich von einem Approved Scanning Vendor (ASV) scannen , einer unabhängigen, qualifizierten Stelle, die externe Schwachstellenscans auf Ihren Systemen durchführt.
  4. Füllen Sie die Konformitätsbescheinigung (AOC) aus, ein Dokument, aus dem hervorgeht, dass Sie zur Durchführung berechtigt sind und den SAQ tatsächlich nach besten Kräften durchgeführt haben.
  5. Wenn Sie als Händler der Stufe 1 eingestuft sind, müssen Sie zusätzliche Schritte unternehmen, einschließlich einer Bewertung vor Ort.

Wenn Sie die beträchtliche Hürde der PCI-Compliance nicht meistern möchten, sind Sie nicht allein. Ihr Hosting-Provider kann Fragen zu sich überschneidenden Verantwortlichkeiten beantworten, und Qualified Security Assessors (QSAs) von Drittanbietern können Unternehmen bei der Bewältigung des PCI-Handschuhs helfen (zu einem Preis).

Selbst Unternehmen, die nur PayPal, Auth.net und andere Zahlungsdienste als Zahlungsoptionen anbieten, müssen PCI-konform sein, da diese Unternehmen weiterhin Kreditkartendaten übermitteln müssen.

Eine universelle Komponente ist die Notwendigkeit, zu bestätigen, dass alle Ihre Dienstanbieter PCI-konform sind. Dies schließt Ihren Hosting-Anbieter ein, erstreckt sich aber auch auf Zahlungsabwickler, Zahlungs-Gateways, POS-Anbieter und alle anderen Stellen, die mit den Karteninhaberdaten Ihrer Kunden in Berührung kommen.

Einige PCI Essentials für Händler

  • Behalten Sie die PCI-Compliance bei. Compliance erfordert kontinuierliches Bewusstsein und tägliche Anwendung. Die Aufgaben reichen von täglich bis jährlich, aber alle sind wiederkehrend.
  • Kreuzen Sie nicht einfach „Ja“ bei jeder Frage im SAQ an . Due Diligence schützt Ihr Unternehmen und Ihre Kunden.
  • Kennen Sie Ihren Code oder wenden Sie sich an einen Entwickler, der dies tut . Implementieren Sie ausnahmslos Best Practices für die Bereitstellung mithilfe von Staging- und Entwicklungsseiten.
  • Richten Sie eine sichere Kennwortrichtlinie ein. Verwenden Sie komplexe, eindeutige Passwörter und erlauben Sie Ihren Mitarbeitern niemals, Anmeldeinformationen weiterzugeben oder Standardpasswörter zu verwenden.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Ihre internen Benutzer und erwägen Sie, sie als Option für Kunden bereitzustellen, die sich bei Ihrer Website anmelden.
  • Verwenden Sie eine Web Application Firewall (WAF) . Bei Nexcess stellen wir eine für alle Kunden zur Verfügung und sie ist standardmäßig aktiviert.
  • Verlassen Sie sich nicht nur auf das Wort Ihres Hosting-Providers. Bestätigen Sie, dass sie PCI-konform und kompetent sind, indem Sie ihre Konformitätsbescheinigung (AOC) anfordern (und erhalten).
  • Halten Sie Ihre Anwendungen und Erweiterungen auf dem neuesten stabilen Release und überwachen Sie sie aktiv auf neue Bedrohungen und Versionen .

Jenseits von PCI

Wenn die PCI-Compliance ausreichen würde, wären Verstöße gegen hochkarätige Organisationen weitaus seltener. Gefällig sollte nicht selbstgefällig bedeuten.

In Wirklichkeit ist PCI-Compliance „Cardholder Data Security 101“. Es ist der akzeptable Mindeststandard und eine vernünftige Einführung, aber PCI ist alles andere als unfehlbar. Kreditkartenunternehmen verlangen Compliance. Händler, die sich an PCI-Standards halten, werden Verbraucher effektiver schützen als Unternehmen, die ihnen nur Lippenbekenntnisse geben, aber die PCI-Konformität ist nur der erste Schritt.

Die Natur von PCI – ein großes, kuratiertes Dokument, das nur regelmäßig aktualisiert wird – macht es anfällig. Standards, die in der „aktuellen“ Version als ausreichend erachtet werden, entpuppen sich oft als unzureichend. Es kann Monate oder sogar Jahre dauern, bis PCI „aufholt“, und schlechte Schauspieler sind sich ihrer Grenzen bewusst.

Der beste Schutz ist Wissen. Bei Nexcess haben wir Teammitglieder, die auf Websicherheit spezialisiert sind und sich mit den neuesten Bedrohungen, Verstößen und Gegenmaßnahmen bestens auskennen. Viele Händler zögern möglicherweise, die Dienste eines Sicherheitsexperten in Anspruch zu nehmen. Wir empfehlen zumindest, Sicherheitsbenachrichtigungen für Ihre E-Commerce-Anwendung zu abonnieren und mindestens einer glaubwürdigen Nachrichtenquelle zur Internetsicherheit zu folgen. Beide Quellen reagieren viel schneller als die PCI, und wenn Sie ihnen folgen, können Sie „den Rauch erkennen“, bevor er zu einem Feuer wird.

Wir sind auf der Liste!

Vergessen Sie nicht, dass wir „auf der Liste“ der PCI-konformen Anbieter stehen, die offiziell von der Visa Global Registry anerkannt sind. Das bedeutet, dass wir uns kontinuierlich dafür einsetzen, unsere Sicherheitsrichtlinien zu überprüfen und zu verbessern, um die PCI-Compliance-Anforderungen zu erfüllen und zu übertreffen. Wenn Sie nach einem PCI-konformen Anbieter suchen, bedeutet Hosting bei Nexcess, dass Sie bei einem zugelassenen und anerkannten Anbieter hosten. Erfahren Sie mehr über das PCI-konforme Hosting mit Nextcess.

Wenden Sie sich für Anleitungen zur PCI -Konformität montags bis freitags zwischen 9:00 und 17:00 Uhr Eastern Time an unser Vertriebsteam .