Bagaimana Nexcess Membantu Toko Anda Tetap Sesuai PCI

Diterbitkan: 2022-06-30

Memiliki toko yang sesuai dengan PCI membutuhkan upaya berkelanjutan dari Anda dan penyedia hosting Anda. Meskipun tidak ada jalan pintas, memilih penyedia hosting web yang kredibel adalah tempat yang efektif untuk memulai. Meski begitu, sebagian besar persyaratan PCI hanya dapat dipenuhi oleh Anda sebagai pedagang. Baca terus untuk mengetahui lebih lanjut tentang garis pemisah antara host dan pedagang, dan mengapa lebih bermanfaat untuk melampaui PCI untuk pelanggan Anda.

Apakah Anda mencari hosting yang Sesuai PCI? Kunjungi halaman Kepatuhan PCI kami untuk mempelajari lebih lanjut.

Apa Itu PCI?

selanjutnya terkunci aman Dalam e-niaga, PCI adalah singkatan dari Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Dibuat pada tahun 2004, PCI DSS bertujuan untuk membantu melindungi konsumen dan mencegah penipuan kartu kredit. Ini diperlukan untuk setiap organisasi yang menerima, memproses, atau menyimpan data kartu kredit salah satu dari lima anggota Dewan Keamanan PCI : VISA, MasterCard, American Express, Discover, dan JCB.

Daftar persyaratan sangat luas, secara halus. Persyaratan mencakup enam kategori, dan setiap kategori dibagi menjadi beberapa ratus persyaratan khusus. Beberapa jatuh secara eksklusif di bawah domain baik pedagang atau penyedia hosting, sementara beberapa mencakup keduanya. Kepatuhan PCI juga bukan persyaratan satu kali, karena Dewan Keamanan membuat penyesuaian berkala untuk mengatasi ancaman baru terhadap konsumen.

Kepatuhan bukanlah peristiwa "satu-dan-selesai". Hal ini membutuhkan tugas harian, mingguan, bulanan, dan tahunan untuk menjaga kepatuhan. Ada 12 persyaratan umum yang dibagi dalam enam kategori. Untuk tujuan ilustrasi, kami telah mencantumkan kategori yang sama ini, tetapi juga menyertakan persyaratan yang lebih spesifik dari dalam PCI DSS.

6 Kategori Utama untuk Kepatuhan PCI

Membangun dan memelihara jaringan yang aman. Memasang dan memelihara firewall. Gunakan kata sandi unik dengan keamanan tinggi dengan perhatian khusus untuk mengganti kata sandi default.

Lindungi data pemegang kartu. Jika memungkinkan, jangan simpan data pemegang kartu. Jika ada kebutuhan bisnis untuk menyimpan data pemegang kartu, maka Anda harus melindungi data ini. Enkripsikan semua data yang melewati jaringan publik, termasuk data yang dikirimkan antara keranjang belanja Anda, penyedia hosting Web Anda, dan pelanggan Anda.

Mempertahankan program manajemen kerentanan. Gunakan perangkat lunak antivirus dan selalu perbarui. Mengembangkan dan memelihara sistem operasi dan aplikasi pembayaran yang aman. Pastikan aplikasi perangkat lunak antivirus Anda sesuai dengan perusahaan kartu pilihan Anda.

Menerapkan langkah-langkah kontrol akses yang kuat. Akses ke data pemegang kartu, baik elektronik maupun fisik, harus berdasarkan kebutuhan untuk diketahui. Pastikan orang-orang dengan akses elektronik memiliki ID dan kata sandi yang unik. Jangan izinkan orang membagikan kredensial login. Didik diri Anda dan karyawan Anda tentang keamanan data, dan khususnya Standar Keamanan Data PCI (DSS).

Secara teratur memantau dan menguji jaringan. Lacak dan pantau semua akses ke jaringan dan data pemegang kartu. Pertahankan jadwal pengujian reguler untuk sistem dan proses keamanan, termasuk: firewall, patch, server web, server email, dan antivirus.

Menjaga kebijakan keamanan informasi. Menetapkan kebijakan keamanan data organisasi yang jelas dan menyeluruh. Sosialisasikan dan perbarui kebijakan ini secara berkala.

Ketidakpatuhan PCI dapat mengakibatkan denda berkisar antara $5000—$100.000 per bulan, tergantung pada ukuran organisasi yang melanggar, tingkat keparahannya, dan faktor lainnya. Ketidakpatuhan juga dapat mengakibatkan tindakan hukum, pelanggaran keamanan, dan kehilangan pendapatan.

Persyaratan PCI untuk Penyedia Hosting

pemantauan berlebih Hampir tidak mungkin bagi pedagang biasa untuk mematuhi PCI tanpa mendaftarkan layanan dari penyedia hosting yang sesuai. Pedagang yang menghosting situs web mereka sendiri harus memenuhi persyaratan penyedia hosting selain memenuhi persyaratan untuk pedagang. Model seperti itu bekerja untuk perusahaan besar seperti Amazon dan WalMart, tetapi hanya sedikit yang lain.

Berikut ini adalah beberapa sorotan dari sistem dan kebijakan kami yang menjunjung tinggi status kami sebagai penyedia hosting yang sesuai dengan PCI. Istilah "lingkungan data pemegang kartu" mengacu pada sistem apa pun yang menyimpan, memproses, atau mengirimkan data kartu kredit serta sistem apa pun yang memiliki akses ke lingkungan data pemegang kartu itu sendiri.

Kami memelihara firewall aplikasi web (WAF), yang memantau semua koneksi antara lingkungan data pemegang kartu dan jaringan lain. ModSec melarang akses publik ke area sensitif, mengidentifikasi koneksi yang tidak dipercaya, dan menyembunyikan alamat IP dan informasi perutean dari pihak yang tidak berwenang.

Kami menerapkan standar konfigurasi yang diterima industri untuk semua komponen sistem yang menangani semua kerentanan keamanan yang diketahui . Ini meluas ke jaringan internal dan eksternal kami, sistem operasi kami, dan perangkat keras yang diperlukan untuk meng-host layanan web.

Kami menerapkan kriptografi dan protokol keamanan yang mengenkripsi dan melindungi data pemegang kartu bahkan ketika dikirimkan melalui jaringan publik. Sertifikat SSL dan kunci keamanan tepercaya lainnya diberlakukan secara sepihak. Hanya sandi TLS modern yang diizinkan.

Kami membatasi akses fisik ke pusat data kami dengan kebijakan keamanan 24 jam dan tim yang terlatih untuk menerapkannya. Ini termasuk, namun tidak terbatas pada:

  • Pengawasan video dengan riwayat rekaman 90 hari
  • Entri aman dengan setidaknya autentikasi dua faktor (PIN, kartu akses) di sebagian besar wilayah, dan autentikasi tiga faktor (PIN, kartu akses, cap jempol) di area yang menampung lingkungan data pemegang kartu
  • Identifikasi yang terlihat pada semua anggota tim
  • Kebijakan pengunjung yang mencegah akses publik yang tidak sah; individu eksternal yang berwenang hanya memiliki akses ke area yang diperlukan dan dikawal setiap saat
  • Anggota tim diberikan akses ke lingkungan data pemegang kartu hanya jika peran mereka membutuhkannya
  • Akses terbatas ke jack jaringan, titik akses nirkabel, gateway, jaringan, dan jalur komunikasi lainnya

Kami melacak dan memantau akses ke sumber daya jaringan dan data pemegang kartu , meskipun klien bertanggung jawab untuk memelihara log dan memantau login untuk aplikasi mereka sendiri (Magento, WordPress, dan sebagainya).

Kami secara teratur menguji sistem dan proses keamanan kami , dan melakukan pengujian penetrasi internal secara berkala serta setelah peningkatan infrastruktur yang signifikan.

Persyaratan PCI untuk Pedagang

Toko aman dengan Nexcess Diimplementasikan dengan benar, kepatuhan PCI membantu pedagang mematuhi praktik terbaik keamanan data yang diterima secara umum. Hosting dengan penyedia yang sesuai dengan PCI adalah langkah pertama yang solid, tetapi menjadi patuh masih memerlukan tindakan dari Anda.

Jika toko Anda menerima kartu kredit sebagai pembayaran, itu harus sesuai PCI apakah Anda menyimpan data itu atau tidak. Memilih web host PCI Compliant hanyalah langkah pertama. Sebagian besar host web yang kredibel dapat memberikan materi kepada pedagang yang menguraikan tanggung jawab masing-masing berdasarkan permintaan, tetapi pada akhirnya pedaganglah yang memahami dan memenuhi persyaratan ini.

Sayangnya, tidak ada daftar periksa "satu ukuran cocok untuk semua". Tanggung jawab spesifik Anda akan bervariasi sesuai dengan tingkat pedagang Anda (1–4, dengan 1 sebagai yang tertinggi), yang umumnya ditentukan oleh jumlah transaksi kartu kredit yang diproses toko Anda setiap tahun.

Proses umum untuk sebagian besar pedagang adalah:

  1. Mengidentifikasi, memahami, dan menerapkan persyaratan PCI DSS yang sesuai.
  2. Lengkapi Kuesioner Penilaian Diri (SAQ). SAQ adalah daftar periksa yang menguraikan persyaratan. Tergantung pada level Anda, beberapa atau semuanya akan berlaku untuk Anda. Pedagang level 1 memiliki persyaratan paling banyak; tingkat 4, paling tidak.
    Tahan godaan untuk sekadar “memeriksa setiap kotak” di SAQ. Melakukan hal itu membahayakan pelanggan Anda dan membuat bisnis Anda bertanggung jawab. PCI berdiri untuk kehilangan uang dari pelanggaran, dan sebagai tanggapan dapat menyelidiki SAQ dan AOC Anda.
  3. Kirim ke pemindaian triwulanan oleh Vendor Pemindaian yang Disetujui (ASV) , otoritas independen berkualifikasi yang melakukan pemindaian kerentanan eksternal pada sistem Anda.
  4. Lengkapi Pengesahan Kepatuhan (Attestation of Compliance (AOC), sebuah dokumen yang menyatakan bahwa Anda berdua memenuhi syarat untuk melakukan dan sebenarnya telah melakukan SAQ dengan kemampuan terbaik Anda.
  5. Jika diklasifikasikan sebagai pedagang level 1, Anda harus mengambil langkah tambahan, termasuk penilaian di tempat.

Jika mendaki rintangan besar kepatuhan PCI tidak menarik bagi Anda, Anda tidak sendirian. Penyedia hosting Anda dapat menjawab pertanyaan terkait tanggung jawab yang tumpang tindih, dan Qualified Security Assesor (QSA) pihak ketiga dapat membantu bisnis menjalankan tantangan PCI (dengan harga tertentu).

Bahkan bisnis yang hanya menawarkan PayPal, Auth.net, dan layanan pembayaran lainnya sebagai opsi pembayaran harus sesuai dengan PCI karena bisnis tersebut masih harus mengirimkan data kartu kredit.

Salah satu komponen universal adalah kebutuhan untuk mengonfirmasi bahwa semua penyedia layanan Anda sesuai dengan PCI. Ini termasuk penyedia hosting Anda, tetapi juga meluas ke pemroses pembayaran, gateway pembayaran, penyedia POS, dan entitas lain yang menyentuh data pemegang kartu pelanggan Anda.

Beberapa Esensi PCI untuk Pedagang

  • Pertahankan kepatuhan PCI. Kepatuhan membutuhkan kesadaran berkelanjutan dan penerapan sehari-hari. Tugas berkisar antara harian dan tahunan, tetapi semuanya berulang.
  • Jangan hanya mencentang “Ya” untuk setiap pertanyaan di SAQ . Uji tuntas melindungi bisnis Anda dan pelanggan Anda.
  • Ketahui kode Anda, atau gunakan pengembang yang melakukan . Terapkan praktik terbaik penerapan menggunakan situs pementasan dan pengembangan tanpa kecuali.
  • Tetapkan kebijakan kata sandi yang aman. Gunakan kata sandi yang rumit dan unik dan jangan pernah izinkan staf Anda membagikan kredensial masuk atau menggunakan kata sandi default.
  • Aktifkan autentikasi dua faktor untuk semua pengguna internal Anda , dan pertimbangkan untuk menyediakannya sebagai opsi bagi pelanggan yang masuk ke situs Anda.
  • Gunakan firewall aplikasi web (WAF) . Di Nexcess, kami menyediakan satu untuk semua klien dan diaktifkan secara default.
  • Jangan hanya mengambil kata penyedia hosting Anda untuk itu. Konfirmasikan bahwa mereka Kepatuhan PCI dan kompeten dengan meminta (dan mendapatkan) Pengesahan Kepatuhan (AOC).
  • Selalu perbarui aplikasi dan ekstensi Anda ke rilis stabil terbaru, dan pantau secara aktif ancaman dan versi baru .

Di luar PCI

Jika kepatuhan PCI sudah cukup, pelanggaran organisasi profil tinggi akan jauh lebih jarang terjadi. Patuh bukan berarti berpuas diri.

Kenyataannya, kepatuhan PCI adalah “Keamanan Data Pemegang Kartu 101.” Ini adalah standar minimum yang dapat diterima dan pengenalan yang masuk akal, tetapi PCI jauh dari sempurna. Perusahaan kartu kredit memerlukan kepatuhan. Pedagang yang mengikuti standar PCI akan lebih efektif dalam melindungi konsumen daripada bisnis yang hanya memberi mereka lip service, tetapi kepatuhan PCI hanyalah langkah pertama.

Sifat PCI — dokumen besar yang dikuratori yang hanya diperbarui secara berkala — membuatnya rentan. Standar yang dianggap cukup dalam versi "saat ini" sering kali dianggap tidak memadai. Diperlukan waktu berbulan-bulan atau bahkan bertahun-tahun bagi PCI untuk “mengejar”, ​​dan aktor jahat sangat menyadari keterbatasannya.

Perlindungan terbaik adalah pengetahuan. Di Nexcess, kami memiliki anggota tim yang berspesialisasi dalam keamanan web yang tetap berpengalaman dalam ancaman, pelanggaran, dan penanggulangan terbaru. Banyak pedagang mungkin enggan untuk meminta jasa ahli keamanan. Paling tidak, kami menyarankan untuk berlangganan pemberitahuan keamanan untuk aplikasi e-niaga Anda dan mengikuti setidaknya satu sumber berita keamanan web yang kredibel. Kedua sumber bereaksi jauh lebih cepat daripada PCI, dan mengikuti mereka akan membantu Anda "menemukan asap" sebelum menjadi api.

Kami ada di Daftar!

Jangan lupa, kami “Dalam Daftar” penyedia yang memenuhi standar PCI yang diakui secara resmi oleh Visa Global Registry. Itu berarti kami telah menunjukkan komitmen berkelanjutan untuk meninjau dan meningkatkan kebijakan keamanan kami agar sesuai dan melampaui persyaratan kepatuhan PCI. Jika Anda mencari penyedia yang sesuai dengan PCI, hosting dengan Nexcess berarti Anda menghosting dengan penyedia yang disetujui dan diakui. Pelajari lebih lanjut tentang hosting yang sesuai dengan PCI dengan Nexcess.

Untuk panduan tentang kepatuhan PCI, hubungi tim penjualan kami antara pukul 09.00 – 17.00 waktu timur, Senin hingga Jumat.