Kepatuhan PCI dan WooCommerce – Semua yang perlu Anda ketahui
Diterbitkan: 2021-06-15Baik Anda sedang membangun, memelihara, atau mengoperasikan situs web eCommerce, Anda harus menyadari tanggung jawab keamanan Anda. Untungnya, ada standar dan peraturan yang dapat membantu Anda menjaga toko online, seperti yang dibangun dengan WooCommerce, tetap aman dan terlindungi. Yang paling menonjol di antaranya adalah Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS).
Apakah semua situs WooCommerce harus Sesuai PCI?
Tidak, tidak semua situs yang menggunakan WooCommerce harus sesuai dengan PCI-DSS. Peraturan ini berlaku untuk bisnis yang menerima pembayaran online dengan kartu debit dan kredit. PCI-DSS tidak berlaku jika Anda menggunakan WooCommerce untuk menampilkan katalog online, menerima permintaan penawaran, atau mengizinkan pembeli melakukan pemesanan yang tidak melibatkan online pembayaran.
Apa tujuan dari Kepatuhan PCI?
PCI-DSS hadir untuk membantu memastikan bahwa ketika pembeli WooCommerce Anda membayar dengan kartu pembayaran seperti kartu Visa, Mastercard, American Express, atau Discover, informasi yang dikirimkan tidak sampai ke tangan penjahat. Baca lebih lanjut tentang Apa itu kepatuhan terhadap peraturan & bagaimana pengaruhnya terhadap keamanan WordPress.
Siapa yang bertanggung jawab untuk menjadi PCI Compliant?
Standar PCI ini berlaku untuk setiap dan semua organisasi yang menerima, mengirimkan, dan/atau menyimpan data pemegang kartu. Ini termasuk pedagang, pengolah, pengakuisisi, penerbit, dan penyedia layanan. Intinya, setiap organisasi yang menyentuh data pemegang kartu atau data autentikasi sensitif harus mematuhi aturan ini.
Pedagang WooCommerce, tentu saja, bergantung pada vendor untuk memenuhi peraturan ini. Itu mencakup semuanya, mulai dari hosting yang sesuai dengan PCI, hingga gateway pembayaran dan prosesor yang aman. Vendor semacam itu memungkinkan bahkan bisnis kecil dan pemula untuk memenuhi persyaratan keamanan ini.
Apa yang membuat situs web WooCommerce PCI Compliant?
Seperti kebanyakan keamanan, kepatuhan PCI yang tersisa mengharuskan pedagang untuk mengambil berbagai langkah secara berkelanjutan. Versi terbaru dari dokumen Prosedur Penilaian Persyaratan dan Keamanan PCI-DSS adalah 139 halaman. Untungnya, banyak dari itu akan berlaku untuk vendor seperti pemroses pembayaran, dan bukan untuk pemilik situs web itu sendiri.
Pada akhirnya, langkah-langkah di bawah ini akan membantu memastikan bahwa ketika Anda mengisi PCI Self Assessment Questionnaire (SAQ) dan memindai situs web Anda untuk menentukan apakah memenuhi persyaratan PCI, Anda akan lebih mudah melewatinya. Mereka juga akan membantu menjaga situs web Anda aman dari sebagian besar serangan.
Hal-hal penting yang perlu diingat
- Perbarui perangkat lunak WordPress Anda.
- Perbarui WooCommerce dan Plugin dan/atau Ekstensi WordPress lainnya.
- Lingkungan hosting web Anda harus menjalankan perangkat lunak terbaru, termasuk patch keamanan terbaru.
- Konfigurasi dan pertahankan firewall, atau pilih host yang akan melakukan ini untuk Anda. Host web WooCommerce sering bekerja dengan penyedia Web Application Firewall (WAF) seperti Cloudflare dan Sucuri untuk menawarkan solusi firewall yang dipantau 24/7.
- Mengirimkan data secara aman melalui HTTPS dengan memanfaatkan sertifikat SSL.
- Jalankan pemindai malware, atau pilih host yang melakukannya secara berkelanjutan. Pastikan seseorang melihat laporan keamanan setiap hari – jika tidak secara real-time.
- Patuhi prinsip akses yang paling tidak memiliki hak istimewa, hanya berbagi akses dengan mereka yang benar-benar membutuhkannya. Ini dapat mencakup langkah-langkah dasar, seperti membuat admin WordPress Anda hanya dapat diakses oleh alamat IP yang masuk daftar putih.
- Gunakan ID pengguna yang unik dan kata sandi yang kuat. Simpan dengan aman, dan perbarui kata sandi setidaknya setiap 90 hari.
- Pastikan bahwa setiap admin memiliki kredensial login mereka sendiri – jangan bagikan kredensial.
- Amankan semua sistem yang berinteraksi dengan situs web Anda. Ini termasuk menjalankan perangkat lunak antivirus terbaru di komputer yang Anda gunakan untuk mengakses admin WordPress Anda.
- Host aplikasi lain secara terpisah. Itu termasuk hosting situs web lain secara terpisah dan menggunakan hosting email terpisah. Selain itu, semua salinan lama situs web Anda serta salinan pengembangan atau pementasan situs Anda tidak boleh berada di lingkungan hosting produksi (langsung) Anda.
- Terapkan sistem deteksi intrusi (IDS) untuk menangkap pelanggaran keamanan lebih awal, meminimalkan dampak.
- Lanjutkan untuk meninjau keamanan Anda, memperhitungkan perubahan yang dibuat pada situs web, personel, dan vendor Anda.
- Jika memungkinkan, gunakan otentikasi multi-faktor. Pertimbangkan untuk menambahkan ekstensi otentikasi dua faktor (2FA) WordPress untuk mempersulit peretas mengakses backend toko WooCommerce Anda.
- Menyimpan log dan cadangan dengan benar. Ini sangat penting jika diperlukan sebagai bagian dari investigasi pelanggaran.
Bagaimana cara mendapatkan Sertifikasi Kepatuhan PCI?
Ada vendor tertentu yang menyediakan layanan ini. Sering kali merupakan ide yang baik untuk memeriksa dengan pemroses pembayaran dan penyedia hosting web Anda untuk melihat apakah mereka menawarkan, menyertakan, atau merekomendasikan layanan semacam itu. Namun, ada daftar panjang vendor pemindaian yang disetujui yang tersedia dari Dewan Standar Keamanan PCI. Ingatlah, bahwa ini bukan prosedur satu kali, jadi Anda dapat berharap untuk bekerja dengan vendor ini selama bertahun-tahun yang akan datang.
Apakah lulus PCI Scan menjamin situs WooCommerce saya aman dan terlindungi?
Penilaian Kepatuhan PCI membahas kebijakan dan kelemahan keamanan yang dapat diamati dan fokus pada upaya keamanan minimum yang diperlukan oleh pedagang. Sangat penting untuk menjaga keamanan Anda setelah situs Anda awalnya telah disertifikasi sesuai dengan PCI. Misalnya, Anda masih harus menginstal patch keamanan baru dalam waktu 30 hari setelah rilis.
Selain itu, sangat disarankan untuk mengambil pendekatan proaktif terhadap keamanan. Selalu ada peristiwa zero-day – kejadian di mana kerentanan keamanan baru dieksploitasi. Dalam kasus seperti itu, tambalan belum ada. Taruhan terbaik Anda adalah memanfaatkan alat keamanan dasar, seperti sistem deteksi intrusi (IDS). Ini bertindak sebagai alarm, memberi Anda kesempatan untuk mengatasi contoh peretasan dengan cepat, meminimalkan apa yang bisa menjadi insiden yang jauh lebih buruk. Secara umum, kami dapat mengatakan bahwa ada banyak alasan Mengapa solusi e-commerce WordPress Anda harus aman.
Apakah menggunakan penyedia PA-DSS membuat situs PCI Compliant?
Pemroses pembayaran yang mematuhi Standar Keamanan Data Aplikasi Pembayaran (PA-DSS) tidak secara otomatis membuat situs Anda sesuai dengan PCI. Host web juga tidak. Bahkan jika Anda menggunakan pemroses pembayaran yang membawa pembeli keluar dari lokasi untuk menyelesaikan transaksi mereka, Anda masih memiliki kewajiban. Misalnya, jika Anda tidak menambal perangkat lunak Anda, dan situs WordPress Anda diretas, pencuri dapat menukar pembayaran Anda dengan formulir mereka sendiri untuk menyedot data kartu kredit. Meskipun beberapa gateway pembayaran dapat menurunkan risiko pelanggaran, mereka tidak dapat membebaskan Anda dari semua tanggung jawab keamanan Anda.
Apa risiko dari tidak menjaga kepatuhan PCI situs WooCommerce Anda?
Jika situs WooCommerce Anda menerima kartu pembayaran dan tidak sesuai dengan PCI, ada banyak risiko. Anda dapat dipaksa untuk membayar biaya atau denda atau menemukan pemroses pembayaran yang menolak untuk melayani akun Anda – memotong kemampuan Anda untuk menerima pembayaran online. Itulah mengapa Kepatuhan PCI DSS untuk situs e-commerce & bisnis WordPress sangat penting.
Lebih buruk lagi jika Anda memiliki pelanggaran data sementara tidak mematuhi peraturan PCI-DSS. Ada berbagai macam denda dan biaya, termasuk kemungkinan tindakan hukum. Itu di luar reputasi Anda yang rusak, dan biaya untuk menyelidiki dan mengurangi pelanggaran, yang juga dapat menyebabkan waktu henti dan hilangnya pendapatan untuk toko WooCommerce Anda.
Setelah pelanggaran, Anda mungkin merasa jauh lebih sulit dan/atau lebih mahal untuk menerima kartu pembayaran, jika Anda dapat menemukan vendor yang bersedia melayani Anda. Itu benar-benar tergantung pada detailnya, tetapi jika Anda ternyata berisiko tinggi karena Anda tidak mematuhi standar keamanan dasar, itu dapat memiliki konsekuensi serius pada bisnis Anda.
Apakah ada vendor yang berspesialisasi dalam membantu pedagang WooCommerce dengan Kepatuhan PCI?
Ya! Misalnya, daripada meminta pembeli mengirimkan informasi kartu pembayaran yang Anda simpan, ada berbagai macam gateway pembayaran yang dapat mengirimkan informasi kartu kredit dengan aman. Ini termasuk penyedia solusi seperti Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Pembayaran Global, Heartland, PayPal, Square, Stripe, dan banyak lagi!
Ada juga gateway pembayaran yang lebih unik yang menawarkan opsi unik kepada pembeli, seperti Affirm, Bread, Katapult, Klarna, Sezzle, dan ViaBill yang menawarkan opsi beli sekarang bayar nanti kepada konsumen, dan Bolt, yang menggantikan checkout WooCommerce dengan pengalaman checkout yang sangat optimal. Bahkan ada solusi pembayaran B2B seperti PayStand dan Apruve.
Demikian pula, ada host web yang berspesialisasi dalam menjaga keamanan lingkungan hosting eCommerce Anda. Meskipun banyak platform menyebutkan Kepatuhan PCI, Anda harus waspada terhadap pemindaian malware, firewall aplikasi web, deteksi intrusi, pemantauan 24/7, dan faktor lain yang mungkin memerlukan vendor tepercaya untuk mengelolanya untuk Anda.
Kesimpulan
Membangun toko WooCommerce relatif mudah, tetapi tanpa praktik keamanan berkelanjutan yang tepat, toko itu tidak akan aman dari peretas. Jika toko menerima kartu pembayaran, pemilik situs web bertanggung jawab untuk mematuhi PCI, dan mereka juga perlu memilih vendor yang sesuai. Untungnya, ada banyak vendor hebat yang dapat dipilih untuk membantu mematuhi peraturan PCI-DSS dengan cukup mudah.