Comment Nexcess aide votre magasin à rester conforme à la norme PCI

Publié: 2022-06-30

Avoir un magasin conforme à la norme PCI nécessite des efforts soutenus de vous-même et de votre fournisseur d'hébergement. Bien qu'il n'y ait pas de raccourcis, choisir un fournisseur d'hébergement Web crédible est un bon point de départ. Même ainsi, la plupart des exigences PCI ne peuvent être satisfaites que par vous, le commerçant. Poursuivez votre lecture pour en savoir plus sur la ligne de démarcation entre l'hébergeur et le marchand, et pourquoi il peut être intéressant d'aller au-delà du PCI pour vos clients.

Vous recherchez un hébergement conforme PCI ? Visitez notre page Conformité PCI pour en savoir plus.

Qu'est-ce que le PCI ?

Nexcess coffre-fort verrouillé Dans le commerce électronique, PCI est un raccourci pour les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Créé en 2004, le PCI DSS vise à aider à protéger les consommateurs et à prévenir la fraude par carte de crédit. Il est requis pour toute organisation qui reçoit, traite ou stocke les données de carte de crédit de l'un des cinq membres du Conseil de sécurité PCI : VISA, MasterCard, American Express, Discover et JCB.

La liste des exigences est longue, c'est un euphémisme. Les exigences couvrent six catégories, et chaque catégorie est divisée en plusieurs centaines d'exigences spécifiques. Certains relèvent exclusivement du domaine des marchands ou des hébergeurs, tandis que d'autres s'étendent aux deux. La conformité PCI n'est pas non plus une exigence ponctuelle, car le Conseil de sécurité procède à des ajustements périodiques pour faire face aux nouvelles menaces pour les consommateurs.

La conformité n'est pas un événement « ponctuel ». Il nécessite des tâches quotidiennes, hebdomadaires, mensuelles et annuelles pour maintenir la conformité. Il existe 12 exigences générales réparties en six catégories. À des fins d'illustration, nous avons répertorié ces mêmes catégories, mais également inclus des exigences plus spécifiques de la norme PCI DSS.

6 catégories clés pour la conformité PCI

Construire et maintenir un réseau sécurisé. Installer et maintenir un pare-feu. Utilisez des mots de passe uniques et hautement sécurisés avec un soin particulier pour remplacer les mots de passe par défaut.

Protégez les données des titulaires de carte. Dans la mesure du possible, ne stockez pas les données du titulaire de la carte. S'il existe un besoin professionnel de stocker des données de titulaire de carte, vous devez protéger ces données. Chiffrez toutes les données transmises sur les réseaux publics, y compris les données transmises entre votre panier d'achat, votre fournisseur d'hébergement Web et vos clients.

Maintenir un programme de gestion des vulnérabilités. Utilisez un logiciel antivirus et tenez-le à jour. Développer et maintenir des systèmes d'exploitation et des applications de paiement sécurisés. Assurez-vous que vos applications logicielles antivirus sont conformes aux sociétés de cartes que vous avez choisies.

Mettre en place de solides mesures de contrôle d'accès. L'accès aux données des titulaires de carte, à la fois électroniques et physiques, doit se faire sur la base du besoin d'en connaître. Assurez-vous que les personnes ayant un accès électronique disposent d'un identifiant et d'un mot de passe uniques. Ne pas autoriser les personnes à partager les identifiants de connexion. Renseignez-vous et éduquez vos employés sur la sécurité des données, et plus particulièrement sur la norme de sécurité des données PCI (DSS).

Surveillez et testez régulièrement les réseaux. Suivez et surveillez tous les accès aux réseaux et aux données des titulaires de cartes. Maintenez un calendrier de test régulier pour les systèmes et processus de sécurité, y compris : les pare-feu, les correctifs, les serveurs Web, les serveurs de messagerie et les antivirus.

Maintenir une politique de sécurité de l'information. Établir une politique organisationnelle de sécurité des données claire et approfondie. Diffusez et mettez à jour régulièrement cette politique.

La non-conformité PCI peut entraîner des amendes allant de 5 000 $ à 100 000 $ par mois, selon la taille de l'organisation fautive, sa gravité et d'autres facteurs. La non-conformité peut également entraîner des poursuites judiciaires, des failles de sécurité et une perte de revenus.

Exigences PCI pour les hébergeurs

surveillance des excédents Il est pratiquement impossible pour le commerçant typique d'être conforme à la norme PCI sans faire appel aux services d'un fournisseur d'hébergement conforme. Les marchands qui hébergent leurs propres sites Web doivent répondre aux exigences des fournisseurs d'hébergement en plus de celles des marchands. Un tel modèle fonctionne pour des entreprises massives comme Amazon et WalMart, mais peu d'autres.

Voici quelques-uns des points saillants de nos systèmes et politiques qui maintiennent notre statut de fournisseur d'hébergement conforme à la norme PCI. Le terme « environnement de données de titulaire de carte » fait référence à tout système qui stocke, traite ou transmet des données de carte de crédit ainsi qu'à tout système qui a accès à l'environnement de données de titulaire de carte lui-même.

Nous maintenons un pare-feu d'application Web (WAF), qui surveille toutes les connexions entre l'environnement des données du titulaire de carte et d'autres réseaux. ModSec interdit l'accès public aux zones sensibles, identifie les connexions non fiables et cache les adresses IP et les informations de routage aux parties non autorisées.

Nous appliquons les normes de configuration acceptées par l'industrie pour tous les composants du système qui corrigent toutes les vulnérabilités de sécurité connues . Cela s'étend à notre réseau interne et externe, à nos systèmes d'exploitation et au matériel requis pour héberger les services Web.

Nous appliquons des protocoles de cryptographie et de sécurité qui chiffrent et protègent les données des titulaires de carte même lorsqu'elles sont transmises sur des réseaux publics. Les certificats SSL et autres clés de sécurité de confiance sont appliqués unilatéralement. Seuls les chiffrements TLS modernes sont autorisés.

Nous restreignons l'accès physique à notre centre de données avec des politiques de sécurité 24h/24 et une équipe formée pour les mettre en œuvre. Cela inclut, mais n'est pas limité à :

  • Surveillance vidéo avec historique des séquences de 90 jours
  • Entrée sécurisée avec au moins une authentification à deux facteurs (PIN, carte d'accès) dans la plupart des zones, et une authentification à trois facteurs (PIN, carte d'accès, empreinte digitale) dans les zones hébergeant l'environnement des données du titulaire de la carte
  • Identification visible sur tous les membres de l'équipe
  • Politique des visiteurs qui empêche l'accès public non autorisé ; les personnes externes autorisées n'ont accès qu'aux zones requises et sont escortées en tout temps
  • Les membres de l'équipe n'ont accès à l'environnement des données de titulaire de carte que si leur rôle l'exige
  • Accès restreint aux prises réseau, points d'accès sans fil, passerelles, réseaux et autres lignes de communication

Nous suivons et surveillons l'accès aux ressources réseau et aux données des titulaires de carte , bien qu'il incombe aux clients de conserver les journaux et de surveiller les connexions pour leurs propres applications (Magento, WordPress, etc.).

Nous testons régulièrement nos systèmes et processus de sécurité et effectuons des tests d'intrusion internes à intervalles réguliers ainsi qu'après toute mise à niveau importante de l'infrastructure.

Exigences PCI pour les commerçants

Boutique sécurisée avec Nexcess Correctement mise en œuvre, la conformité PCI aide les commerçants à adhérer aux meilleures pratiques communément acceptées en matière de sécurité des données. L'hébergement avec un fournisseur conforme à la norme PCI est une première étape solide, mais devenir conforme nécessite toujours une action de votre part.

Si votre magasin accepte les cartes de crédit comme moyen de paiement, il doit être conforme à la norme PCI, que vous stockiez ou non ces données. Le choix d'un hébergeur Web conforme à la norme PCI n'est que la première étape. La plupart des hébergeurs crédibles peuvent fournir aux commerçants des documents décrivant leurs responsabilités respectives sur demande, mais en fin de compte, il appartient aux commerçants de comprendre et de respecter ces exigences.

Malheureusement, il n'y a pas de liste de contrôle "taille unique". Vos responsabilités spécifiques varieront en fonction de votre niveau de commerçant (1 à 4, 1 étant le plus élevé), qui est généralement déterminé par le nombre de transactions par carte de crédit que votre magasin traite chaque année.

Le processus général pour la plupart des marchands est :

  1. Identifier, comprendre et mettre en œuvre les exigences PCI DSS appropriées.
  2. Remplir un questionnaire d'auto-évaluation (SAQ). Le SAQ est une liste de contrôle décrivant les exigences. Selon votre niveau, certains ou tous s'appliqueront à vous. Les marchands de niveau 1 ont le plus d'exigences ; niveau 4, le moins.
    Résistez à la tentation de simplement « cocher toutes les cases » dans la SAQ. Cela met en danger vos clients et expose votre entreprise à la responsabilité. Le PCI risque de perdre de l'argent à cause des violations et, en réponse, peut enquêter sur votre SAQ et votre AOC.
  3. Soumettez-vous à une analyse trimestrielle par un fournisseur d'analyse approuvé (ASV) , une autorité indépendante et qualifiée qui effectue des analyses de vulnérabilité externes sur vos systèmes.
  4. Remplissez l'attestation de conformité (AOC), un document attestant que vous êtes tous les deux éligibles pour exécuter et que vous avez effectivement exécuté le SAQ au mieux de vos capacités.
  5. Si vous êtes classé comme marchand de niveau 1, vous devez prendre des mesures supplémentaires, y compris une évaluation sur place.

Si gravir l'obstacle considérable de la conformité PCI ne vous intéresse pas, vous n'êtes pas seul. Votre fournisseur d'hébergement peut répondre aux questions liées au chevauchement des responsabilités, et des évaluateurs de sécurité qualifiés (QSA) tiers peuvent aider les entreprises à exécuter le gant PCI (moyennant un prix).

Même les entreprises proposant uniquement PayPal, Auth.net et d'autres services de paiement comme options de paiement doivent être conformes à la norme PCI, car ces entreprises doivent toujours transmettre les données de carte de crédit.

Un composant universel est la nécessité de confirmer que tous vos fournisseurs de services sont conformes à la norme PCI. Cela inclut votre fournisseur d'hébergement, mais s'étend également aux processeurs de paiement, aux passerelles de paiement, aux fournisseurs de points de vente et à toute autre entité qui touche aux données de titulaire de carte de vos clients.

Certains PCI Essentials pour les commerçants

  • Maintenir la conformité PCI. La conformité exige une sensibilisation continue et une application quotidienne. Les tâches varient entre quotidiennes et annuelles, mais toutes sont récurrentes.
  • Ne vous contentez pas de cocher « Oui » à chaque question du SAQ . La diligence raisonnable protège votre entreprise et vos clients.
  • Connaissez votre code ou utilisez un développeur qui le fait . Mettez en œuvre les meilleures pratiques de déploiement en utilisant des sites de développement et de développement sans exception.
  • Établissez une politique de mot de passe sécurisé. Utilisez des mots de passe complexes et uniques et n'autorisez jamais votre personnel à partager des identifiants de connexion ou à utiliser des mots de passe par défaut.
  • Activez l'authentification à deux facteurs pour tous vos utilisateurs internes et envisagez de la proposer en option aux clients qui se connectent à votre site.
  • Utilisez un pare-feu d'application Web (WAF) . Chez Nexcess, nous en fournissons un pour tous les clients et il est activé par défaut.
  • Ne vous contentez pas de croire sur parole votre fournisseur d'hébergement. Confirmez qu'ils sont conformes à la norme PCI et compétents en demandant (et en obtenant) leur attestation de conformité (AOC).
  • Maintenez vos applications et extensions à jour avec la dernière version stable et surveillez activement les nouvelles menaces et versions .

Au-delà du PCI

Si la conformité PCI était suffisante, les violations d'organisations de premier plan seraient beaucoup moins courantes. Conforme ne doit pas signifier complaisant.

En réalité, la conformité PCI est «Cardholder Data Security 101». C'est la norme minimale acceptable et une introduction raisonnable, mais PCI est loin d'être infaillible. Les sociétés de cartes de crédit exigent la conformité. Les commerçants adhérant aux normes PCI seront plus efficaces pour protéger les consommateurs que les entreprises qui ne se contentent de leur offrir que des paroles en l'air, mais la conformité PCI n'est que la première étape.

La nature même de PCI - un document volumineux et organisé mis à jour périodiquement - le rend vulnérable. Les normes jugées suffisantes dans la version « actuelle » sont souvent exposées comme inadéquates. Cela peut prendre des mois, voire des années, pour que PCI « rattrape son retard », et les mauvais acteurs sont bien conscients de ses limites.

La meilleure protection est la connaissance. Chez Nexcess, nous avons des membres de l'équipe spécialisés dans la sécurité Web qui connaissent bien les dernières menaces, violations et contre-mesures. De nombreux commerçants peuvent être réticents à faire appel aux services d'un expert en sécurité. À tout le moins, nous vous recommandons de vous abonner aux notifications de sécurité pour votre application de commerce électronique et de suivre au moins une source crédible d'informations sur la sécurité Web. Les deux sources réagissent beaucoup plus rapidement que le PCI, et les suivre vous aidera à "repérer la fumée" avant qu'elle ne devienne un incendie.

Nous sommes sur la liste !

N'oubliez pas que nous sommes «sur la liste» des fournisseurs conformes à la norme PCI officiellement reconnus par le registre mondial Visa. Cela signifie que nous avons montré un engagement continu à revoir et à améliorer nos politiques de sécurité pour correspondre et dépasser les exigences de conformité PCI. Si vous recherchez un fournisseur conforme à la norme PCI, l'hébergement avec Nexcess signifie que vous hébergez avec un fournisseur approuvé et reconnu. En savoir plus sur l'hébergement conforme PCI avec Nexcess.

Pour obtenir des conseils sur la conformité PCI, contactez notre équipe commerciale entre 9 h et 17 h, heure de l'Est, du lundi au vendredi.