PCIコンプライアンスとWooCommerce–知っておくべきことすべて
公開: 2021-06-15eコマースWebサイトを構築、保守、または運用するかどうかにかかわらず、セキュリティの責任を認識する必要があります。 幸いなことに、WooCommerceで構築されたものなど、オンラインストアを安全に保つのに役立つ標準と規制があります。 これらの中で最も注目に値するのは、Payment Card Industry Data Security Standard(PCI-DSS)です。
すべてのWooCommerceサイトはPCIに準拠している必要がありますか?
いいえ、WooCommerceを使用するすべてのサイトがPCI-DSSに準拠している必要はありません。 これらの規制は、デビットカードとクレジットカードによるオンライン支払いを受け入れる企業に適用されます。PCI-DSSは、WooCommerceを使用してオンラインカタログを表示したり、見積もりリクエストを受け入れたり、買い物客がオンラインに関係のない注文を行えるようにしたりする場合は適用されません。支払い。
PCIコンプライアンスの目的は何ですか?
PCI-DSSは、WooCommerceの買い物客がVisa、Mastercard、American Express、Discoverカードなどの支払いカードで支払うときに、送信された情報が犯罪者の手に渡らないようにするためのものです。 法令順守とは何か、そしてそれがWordPressのセキュリティにどのように影響するかについてもっと読む。
PCI準拠の責任者は誰ですか?
これらのPCI標準は、カード会員データを受け入れ、送信、および/または保存するすべての組織に適用されます。 これには、マーチャント、プロセッサー、アクワイアラー、イシュアー、およびサービスプロバイダーが含まれます。 本質的に、カード会員データまたは機密認証データに触れる組織は、これらの規則に準拠する必要があります。
もちろん、WooCommerceのマーチャントは、これらの規制を満たすためにベンダーに依存しています。 これには、PCI準拠のホスティングから、安全な支払いゲートウェイやプロセッサまで、すべてが含まれます。 このようなベンダーは、中小企業や新興企業でさえ、これらのセキュリティ要件を満たすことを可能にします。
WooCommerce WebサイトをPCIに準拠させる理由は何ですか?
ほとんどのセキュリティと同様に、PCI準拠を維持するには、加盟店は継続的にさまざまな手順を実行する必要があります。 PCI-DSS要件およびセキュリティ評価手順ドキュメントの最新バージョンは139ページの長さです。 幸いなことに、その多くは支払い処理業者のようなベンダーに適用され、Webサイトの所有者自身には適用されません。
最終的に、以下の手順は、PCI自己問診(SAQ)に記入し、WebサイトをスキャンしてPCI要件を満たしているかどうかを判断するときに、はるかに簡単に通過できるようにするのに役立ちます。 また、ほとんどの攻撃からWebサイトを安全に保つのにも役立ちます。
覚えておくべき重要な項目
- WordPressソフトウェアを最新の状態に保ちます。
- WooCommerceおよびその他のWordPressプラグインや拡張機能を更新します。
- Webホスティング環境は、最新のセキュリティパッチを含む最新のソフトウェアを実行している必要があります。
- ファイアウォールを構成して維持するか、これを行うホストを選択してください。 WooCommerce Webホストは、CloudflareやSucuriなどのWebアプリケーションファイアウォール(WAF)プロバイダーと連携して、24時間年中無休で監視されるファイアウォールソリューションを提供することがよくあります。
- SSL証明書を利用して、HTTPS経由でデータを安全に送信します。
- マルウェアスキャナーを実行するか、継続的に実行するホストを選択します。 リアルタイムではないにしても、誰かがセキュリティレポートを毎日見ていることを確認してください。
- 最小特権アクセスの原則を遵守し、絶対にそれを必要とする人とのみアクセスを共有します。 これには、WordPress管理者がホワイトリストに登録されたIPアドレスにのみアクセスできるようにするなどの基本的な手順を含めることができます。
- 一意のユーザーIDと強力なパスワードを使用します。 それらを安全に保管し、少なくとも90日ごとにパスワードを更新してください。
- 各管理者が独自のログイン資格情報を持っていることを確認してください–資格情報を共有しないでください。
- Webサイトと対話するすべてのシステムを安全に保ちます。 これには、WordPress管理者へのアクセスに使用するコンピューターで最新のウイルス対策ソフトウェアを実行することが含まれます。
- 他のアプリケーションを個別にホストします。 これには、他のWebサイトを個別にホストすることと、個別の電子メールホスティングを使用することが含まれます。 さらに、Webサイトの古いコピー、およびサイトの開発コピーまたはステージングコピーは、本番(ライブ)ホスティング環境に配置しないでください。
- 侵入検知システム(IDS)を導入して、セキュリティ違反を早期に発見し、フォールアウトを最小限に抑えます。
- Webサイト、担当者、およびベンダーに加えられた変更を考慮して、セキュリティを引き続き確認します。
- 可能な限り、多要素認証を使用してください。 ハッカーがWooCommerceストアのバックエンドにアクセスしにくくするために、WordPressの2要素認証(2FA)拡張機能を追加することを検討してください。
- ログとバックアップを適切に保存します。 これは、違反調査の一環として必要になった場合に非常に重要です。
PCIコンプライアンス認定を取得するにはどうすればよいですか?
このサービスを提供する特定のベンダーがあります。 多くの場合、支払い処理業者やWebホスティングプロバイダーにチェックインして、そのようなサービスを提供、包含、または推奨しているかどうかを確認することをお勧めします。 ただし、PCI Security StandardsCouncilから入手できる承認済みのスキャンベンダーの長いリストがあります。 これは1回限りの手順ではないため、今後何年にもわたってこのベンダーと協力することを期待できます。
PCIスキャンに合格すると、WooCommerceサイトの安全性が保証されますか?
PCIコンプライアンス評価は、観察可能なセキュリティポリシーと弱点に対処し、加盟店が必要とする最小限のセキュリティ対策に焦点を当てています。 サイトが最初にPCI準拠であると認定された後は、セキュリティを維持することが重要です。 たとえば、リリースから30日以内に新しいセキュリティパッチをインストールする必要があります。
さらに、セキュリティに対してプロアクティブなアプローチを取ることを強くお勧めします。 ゼロデイイベントは常に発生します。これは、新しいセキュリティの脆弱性が悪用される場合です。 そのような場合、パッチはまだ存在しません。 最善の策は、侵入検知システム(IDS)などの基本的なセキュリティツールを活用することです。 これはアラームとして機能し、ハッキングのインスタンスにすばやく対処する機会を提供し、そうでなければはるかに悪いインシデントになる可能性のあるものを最小限に抑えます。 一般的に、WordPressのeコマースソリューションが安全でなければならない理由はたくさんあると言えます。
PA-DSSプロバイダーを使用すると、サイトがPCIに準拠しますか?
ペイメントアプリケーションデータセキュリティ標準(PA-DSS)に準拠するペイメントプロセッサは、サイトを自動的にPCIに準拠させることはありません。 Webホストも同様です。 買い物客をオフサイトに連れて行って取引を完了する支払い処理業者を使用する場合でも、責任があります。 たとえば、ソフトウェアにパッチを適用しておらず、WordPressサイトがハッキングされた場合、泥棒はクレジットカードデータを吸い上げるためにチェックアウトを自分のフォームと交換する可能性があります。 一部のペイメントゲートウェイは、侵害のリスクを下げることができますが、セキュリティ上のすべての責任を免れることはできません。
WooCommerceサイトをPCI準拠にしないことのリスクは何ですか?
WooCommerceサイトが支払いカードを受け入れ、PCIに準拠していない場合、多くのリスクがあります。 手数料や罰金を支払うことを余儀なくされたり、支払い処理業者がアカウントのサービスを拒否したりする可能性があります。これにより、オンライン支払いを受け入れる能力が失われます。 そのため、WordPressのeコマースおよびビジネスサイトのPCIDSSコンプライアンスは非常に重要です。
PCI-DSS規制に準拠していないときにデータ侵害が発生すると、さらに悪化します。 法的措置の可能性を含め、あらゆる種類の罰金と費用があります。 これは、評判の低下や、違反の調査と軽減にかかるコストを超えており、WooCommerceストアのダウンタイムや収益の損失を引き起こす可能性もあります。
違反後、サービスを提供してくれるベンダーを見つけることができれば、支払いカードを受け入れるのがはるかに困難および/またはコストがかかる場合があります。 内容にもよりますが、基本的なセキュリティ基準を守っていないためにリスクが高いことが判明した場合、ビジネスに深刻な影響を与える可能性があります。
WooCommerceマーチャントのPCIコンプライアンスの支援を専門とするベンダーはありますか?
はい! たとえば、買い物客にあなたが保持している支払いカード情報を提出させるのではなく、クレジットカード情報を安全に送信できるさまざまな支払いゲートウェイがあります。 これらには、Amazon Pay、Authorize.net、Braintree、CCBill、Cybersource、EBizCharge、Global Payments、Heartland、PayPal、Square、Stripeなどのソリューションプロバイダーが含まれます。
Affirm、Bread、Katapult、Klarna、Sezzle、ViaBillなどの買い物客に独自のオプションを提供するより独自の支払いゲートウェイもあります。これらは消費者に後払いオプションを提供し、BoltはWooCommerceチェックアウトを高度に最適化されたチェックアウトエクスペリエンス。 PayStandやApruveのようなB2B決済ソリューションもあります。
同様に、eコマースホスティング環境を安全に保つことに特化したWebホストがあります。 多くのプラットフォームでPCIコンプライアンスについて言及されていますが、マルウェアスキャン、Webアプリケーションのファイアウォール、侵入検知、24時間年中無休の監視、および信頼できるベンダーが管理する必要のあるその他の要因に注意する必要があります。
結論
WooCommerceストアを構築するのは比較的簡単ですが、適切な継続的なセキュリティ慣行がなければ、そのストアはハッカーから保護されません。 ストアが支払いカードを受け入れる場合、Webサイトの所有者はPCIに準拠する責任があり、準拠しているベンダーも選択する必要があります。 幸いなことに、PCI-DSS規制の順守をかなり苦痛のないものにするために選択できる優れたベンダーはたくさんあります。