Apa itu kepatuhan terhadap peraturan & bagaimana pengaruhnya terhadap keamanan WordPress?
Diterbitkan: 2019-07-24Untuk menjalankan bisnis, situs web dan bisnis WordPress Anda harus mematuhi aturan dan regulasi. Aturan dan regulasi ini dapat berbentuk undang-undang (seperti GDPR atau HIPAA). Mereka mungkin juga merupakan persyaratan kepatuhan, seperti PCI DSS atau ISO 27001, dan mungkin berbeda dari satu negara ke negara lain.
Apa itu kepatuhan?
Kepatuhan terhadap peraturan, atau sederhananya, kepatuhan menggambarkan keadaan bisnis yang sejalan dengan aturan dan pedoman yang ditetapkan yang ditentukan oleh badan pengatur.
Kepatuhan adalah komponen penting dalam organisasi mana pun yang menghargai transparansi, keamanan, dan akuntabilitas. Bisnis dapat memanfaatkan kepatuhan untuk menjalankan bisnis sesuai dengan persyaratan, undang-undang, dan peraturan dengan sikap yang benar. Dan tentu saja, meningkatkan keamanan operasi bisnis dan situs WordPress mereka.
Setiap bisnis berbeda. Oleh karena itu, tidak ada template pemotong kue yang harus diikuti dalam hal kepatuhan. Itu juga tergantung di mana di dunia bisnis Anda beroperasi, dengan siapa Anda berbisnis, dan data apa yang dikumpulkan situs WordPress Anda dari pengguna akhir.
Meskipun tidak mungkin untuk membuat daftar semua peraturan kepatuhan, berikut adalah beberapa yang umum untuk diperhatikan sebagai pemilik situs web WordPress:
- Peraturan Perlindungan Data Umum (GDPR) adalah undang-undang perlindungan data dan privasi Uni Eropa (UE). Ini membantu menegakkan perlindungan pemrosesan data pribadi warga negara Uni Eropa.
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah standar keamanan informasi untuk organisasi yang menangani data kartu kredit, seperti toko eCommerce. Ruang lingkup PCI DSS adalah untuk meningkatkan kontrol seputar penanganan dan pengelolaan data pemegang kartu, untuk mengurangi penipuan kartu kredit. Jika Anda memiliki solusi eCommerce, atau menjual apa pun secara online, baca panduan PCI DSS kami untuk pemilik situs WordPress.
- ISO 27001 adalah spesifikasi yang menguraikan kerangka kebijakan dan prosedur yang mencakup kontrol hukum, fisik, dan teknis yang terlibat dalam proses manajemen risiko organisasi.
- Health Insurance Portability & Accountability Act (HIPAA) adalah undang-undang Amerika Serikat. Ini membahas privasi data dan keamanan catatan medis pasien.
Mengapa kepatuhan terhadap peraturan ada?
Persyaratan kepatuhan peraturan yang berbeda ada karena alasan yang berbeda. Secara umum, persyaratan kepatuhan ada untuk membantu bisnis mencapai tingkat keamanan tertentu. Bergantung pada persyaratan atau peraturan kepatuhan, beberapa mungkin mengharuskan organisasi untuk diaudit secara berkala. Biasanya, bisnis menghadapi hukuman untuk ketidaksesuaian dalam bentuk denda, atau kehilangan akreditasi.
Kepatuhan memainkan peran besar dalam hal keamanan. Banyak persyaratan kepatuhan menguraikan (dalam berbagai tingkat detail) kontrol keamanan dan proses yang harus ada untuk memenuhi kriteria spesifik dari peraturan kepatuhan tersebut.
Secara alami, regulasi biasanya terjadi untuk menertibkan kekacauan. Contohnya adalah PCI DSS. Itu ikut bermain karena pemroses kartu kredit online tidak mengambil tindakan pencegahan keamanan yang diperlukan untuk menjaga keamanan data pemegang kartu. Baru-baru ini, GDPR berperan untuk mereformasi dan menyelaraskan undang-undang privasi data UE, dan meningkatkan privasi warga negara UE. GDPR memungkinkan legislator untuk menjatuhkan hukuman berat pada organisasi yang tidak mematuhi undang-undang privasi data di UE.
Mengapa regulasi dan kepatuhan merupakan hal yang baik?
Kepatuhan dan peraturan terkait dengan undang-undang, batasan, audit, dan hukuman. Sehingga mereka sering mendapatkan reputasi yang buruk. Namun, ini diperlukan untuk membantu organisasi memahami pentingnya mematuhi undang-undang dan beroperasi secara etis.
Namun, kepatuhan juga merupakan kejahatan yang diperlukan. Ini meningkatkan kompleksitas bisnis, pengeluaran, dan menghabiskan banyak waktu jika tidak dihabiskan untuk mengembangkan bisnis.
Karena itu, pro untuk membuat upaya sadar untuk mematuhi aturan secara signifikan lebih besar daripada kontra. Organisasi memiliki kesempatan untuk meningkatkan transparansi; membangun kepercayaan pelanggan dan memperluas ke pasar baru yang diatur untuk menarik pelanggan yang lebih besar.
Apakah kepatuhan cukup untuk memastikan keamanan?
Sayangnya, kepatuhan biasanya disalahartikan sebagai keamanan. Sebuah organisasi mungkin patuh, tetapi tidak aman dengan benar. Di sisi lain, jarang ditemukan organisasi yang aman tetapi tidak sesuai.
Kepatuhan adalah penilaian tepat waktu, satu ukuran untuk semua yang menunjukkan bahwa organisasi memenuhi persyaratan keamanan minimum. Standar peraturan seperti PCI DSS dan HIPAA misalnya, memiliki daftar persyaratan keamanan tersebut.
Pertahanan keamanan di sisi lain, memberikan langkah-langkah teknis untuk melindungi terhadap hal-hal buruk yang terjadi, seperti membocorkan informasi sensitif pelanggan. Dengan kata lain, sementara kebijakan perusahaan mungkin cukup untuk kontrol kepatuhan, itu tidak berarti secara teknis tidak mungkin. Contoh sederhananya adalah NSA. Meskipun jelas melarang penyalinan dan pendistribusian dokumen rahasia, tidak ada yang benar-benar menghentikan Edward Snowden untuk melakukannya.
Di mana Anda mulai dengan kepatuhan WordPress?
Kepatuhan dapat mengintimidasi, dan terdengar seperti tugas yang mustahil untuk dicapai. Namun, tidak. Untungnya, banyak dokumentasi dan bantuan tersedia untuk pemilik situs WordPress, seperti panduan PCI DSS kami untuk pemilik situs WordPress. Anda dapat memulai dengan mengikuti daftar petunjuk yang telah kami siapkan untuk Anda:
- Cari tahu persyaratan kepatuhan yang harus Anda patuhi — undang-undang dan peraturan sangat bervariasi dari satu negara ke negara lain. Bergantung pada ukuran, jenis, dan kompleksitas bisnis online dan toko eCommerce Anda, Anda mungkin ingin memeriksa ulang dengan otoritas setempat. Anda juga dapat mencari bantuan profesional di bidang ini jika diperlukan.
- Tingkatkan keamanan Anda — praktik keamanan yang baik tidak hanya penting dan diwajibkan oleh peraturan, tetapi juga membuat hidup Anda jauh lebih mudah. Misalnya Anda dapat memulai dengan melakukan hal berikut:
- menyimpan catatan perubahan situs di log aktivitas WordPress,
- menegakkan kebijakan kata sandi WordPress yang kuat,
- pindai situs WordPress Anda untuk perubahan file,
- siapkan solusi cadangan yang solid,
- gunakan firewall online seperti Sucuri atau instal solusi keamanan WordPress lokal.
- Rangkullah keamanan dan kepatuhan - mungkin tampak seperti pil pahit untuk ditelan pada awalnya. Namun, semakin cepat Anda merangkul keamanan dan kepatuhan sebagai fungsi bisnis yang penting, semakin sedikit gesekan yang akan ditimbulkan dalam jangka panjang, dan semakin sedikit masalah keamanan WordPress yang akan Anda alami.