Raggiungere e mantenere i requisiti di conformità PCI

Pubblicato: 2022-06-30

Se la tua azienda Magento 1 gestisce le informazioni sulla carta di credito, potresti già essere a conoscenza degli oltre 300 requisiti di sicurezza in PCI DSS. Se non hai familiarità, questo articolo tratterà alcune nozioni di base e offrirà risorse per certificare la conformità.

Fondato nel 2006 da American Express, Discover, JCB International, Mastercard e Visa, il Payment Card Industry Data Security Standards (PCI DSS) definisce lo standard minimo per la sicurezza dei dati relativi all'elaborazione delle transazioni con carta di credito. Aiuta a ridurre le frodi e le violazioni dei dati nell'ecosistema dei pagamenti e si applica a qualsiasi organizzazione che accetta o elabora pagamenti tramite carte di credito.

Conformità PCI DSS

La conformità PCI DSS prevede tre regole principali:

  1. I dati sensibili delle carte di credito dei consumatori dovrebbero essere raccolti e trasmessi in modo sicuro
  2. Tali dati devono essere archiviati in modo sicuro utilizzando la crittografia, il monitoraggio continuo e i test di sicurezza dell'accesso ai dati delle carte
  3. Su base annuale, convalidando che i controlli di sicurezza richiesti siano in atto

Dati sensibili dei consumatori

Alle aziende che gestiscono i dati delle carte potrebbe essere richiesto di soddisfare ciascuno degli oltre 300 controlli di sicurezza in PCI DSS. Anche se i dati delle carte viaggiano nell'infrastruttura di un'azienda solo per un momento, l'azienda dovrebbe acquistare, implementare e mantenere software e hardware di sicurezza.

Se un'azienda non ha bisogno di gestire i dati sensibili delle carte di credito, non dovrebbe. Le soluzioni di terze parti (come Stripe) accettano e archiviano in modo sicuro i dati delle carte di credito, eliminando notevoli complessità, costi e rischi. Se i dati della carta non toccano mai i server della tua azienda, dovrai solo confermare 22 controlli di sicurezza relativamente semplici, come l'utilizzo di password complesse.

Archivia i dati in modo sicuro

Se un'organizzazione gestisce o archivia i dati della carta di credito, deve definire l'ambito del proprio ambiente dei dati dei titolari di carta (CDE). PCI DSS definisce CDE come le persone, i processi e le tecnologie che archiviano, elaborano o trasmettono i dati delle carte di credito o qualsiasi sistema ad essi connesso.

Poiché tutti gli oltre 300 requisiti di sicurezza in PCI DSS si applicano a CDE, è importante segmentare correttamente l'ambiente di pagamento dal resto dell'azienda in modo da limitare l'ambito della convalida PCI. Se un'organizzazione non è in grado di contenere l'ambito CDE, i controlli di sicurezza PCI si applicheranno a tutti i sistemi, laptop e dispositivi della rete aziendale. Nessuno ha tempo per quello.

Una revisione annuale dei controlli di sicurezza richiesti

Indipendentemente da come vengono accettati i dati delle carte, le organizzazioni che gestiscono i pagamenti con carta di credito sono tenute a compilare annualmente un modulo di convalida PCI per mantenere la conformità.

12 Requisiti principali per PCI DSS

Gli standard di sicurezza più recenti, PCI DSS versione 3.2.1, includono 12 requisiti principali con oltre 300 sottorequisiti che rispecchiano le migliori pratiche di sicurezza.

Questi 12 requisiti principali sono:

  1. Installare e mantenere una configurazione del firewall per proteggere le informazioni sui titolari di carta
  2. Non utilizzare mai i valori predefiniti forniti dal fornitore per le password di sistema e altri parametri di sicurezza
  3. Proteggi i dati dei titolari di carta memorizzati
  4. Crittografa la trasmissione dei dati dei titolari di carta su reti aperte o pubbliche
  5. Proteggi tutti i sistemi dal malware e aggiorna regolarmente il software antivirus
  6. Sviluppare e mantenere sistemi e applicazioni sicuri
  7. Limita l'accesso ai dati dei titolari di carta
  8. Identificare e autenticare l'accesso ai componenti del sistema
  9. Limitare l'accesso fisico ai dati dei titolari di carta
  10. Tieni traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta
  11. Testare regolarmente i sistemi e i processi di sicurezza
  12. Mantenere una politica che affronti la sicurezza delle informazioni per tutti i dipendenti

Le nuove aziende possono convalidare la conformità PCI tramite nove questionari di autovalutazione, ciascuno dei quali costituisce un sottoinsieme dell'intero requisito PCI DSS. La difficoltà deriva dal cercare di capire quali requisiti sono necessari per la tua attività. Alcune aziende assumeranno un revisore dei conti approvato dal PCI Council per garantire che ogni requisito PCI DSS sia stato soddisfatto. E come se ciò non fosse già abbastanza complicato: il Consiglio PCI rivede le regole ogni tre anni e rilascia aggiornamenti nel corso dell'anno. In che modo le aziende possono proteggere i dati delle loro carte di credito e mantenere la conformità PCI considerando questi fattori?

Modi per proteggere

Esistono diversi modi accettati per proteggere il tuo sito Web con i requisiti PCI DSS, dall'assunzione di una società di valutazione della sicurezza qualificata (QSA), all'utilizzo del processo PCI in 3 fasi e tramite Nexcess Safe Harbor in collaborazione con Stripe.

1. Un valutatore di sicurezza qualificato

Un Qualified Security Assessor è un'azienda di sicurezza dei dati qualificata dal PCI Council per eseguire valutazioni PCI Data Security Standard in loco. Un valutatore verificherà tutte le informazioni tecniche fornite dal commerciante o dal fornitore di servizi e utilizzerà un giudizio indipendente per confermare che lo standard è stato soddisfatto. Un elenco delle società di Qualified Security Assessor (QSA) è disponibile qui.

2. Il processo PCI in 3 fasi

  1. Asses Identificazione dei dati dei titolari di carta, inventario delle risorse IT e dei processi aziendali per l'elaborazione delle carte di pagamento e analisi delle vulnerabilità.
  2. Rimedio Risolvere le vulnerabilità ed eliminare l'archiviazione dei dati dei titolari di carta a meno che non sia assolutamente necessario.
  3. Report Compilazione e invio dei report richiesti alle banche acquirente appropriate e ai marchi delle carte.

3. Porto sicuro

Magento 1 ha raggiunto la fine del ciclo di vita nel giugno 2020, mettendo migliaia di siti di e-commerce in un'area grigia di conformità quando Adobe ha smesso di rilasciare aggiornamenti di sicurezza ufficiali.

Sebbene la stessa applicazione di e-commerce rappresenti solo una piccola parte di ciò che la conformità PCI comporta, per i commercianti che continuano a eseguire i loro siti di e-commerce su Magento 1, la cosa importante da notare è che non ci saranno più patch di sicurezza e aggiornamenti rilasciati per la piattaforma. Sono da soli a meno che non abbiano investito in una soluzione come Nexcess Safe Harbor. Ti consigliamo vivamente di dare un'occhiata a Stripe, che si impegna a mantenere attivo il proprio modulo Magento 1 per i propri clienti.

Banda

Stripe si impegna a consentire agli utenti di utilizzare in modo sicuro i prodotti Stripe all'interno di Magento 1. A tal fine, Nexcess ti incoraggia a installare il modulo Magento 1 ufficiale di Stripe, che utilizza Stripe.js ed Elements per semplificare la conformità PCI del tuo sito. Stripe continuerà a rilasciare correzioni di bug e aggiornamenti di sicurezza per il modulo Stripe Magento 1 per garantire che questa soluzione segua gli standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS).

Conclusione

Come puoi vedere, raggiungere e mantenere la conformità PCI non è un'impresa da poco. Ma con le giuste informazioni, l'assistenza di un professionista della conformità e Nexcess Safe Harbor, le aziende che ancora operano su Magento 1 possono mantenere i dati delle carte di credito dei propri clienti al sicuro.