In che modo Nexcess aiuta il tuo negozio a rimanere conforme allo standard PCI

Pubblicato: 2022-06-30

Avere un negozio conforme a PCI richiede gli sforzi sostenuti sia da te che dal tuo provider di hosting. Sebbene non ci siano scorciatoie, la scelta di un provider di hosting web credibile è un punto di partenza efficace. Anche così, la maggior parte dei requisiti PCI può essere soddisfatta solo da te, il commerciante. Continua a leggere per saperne di più sulla linea di demarcazione tra host e commerciante e perché può valere la pena andare oltre PCI per i tuoi clienti.

Stai cercando un hosting conforme PCI? Visita la nostra pagina sulla conformità PCI per saperne di più.

Cos'è il PCI?

cassaforte chiusa a chiave Nell'e-commerce, PCI è l'abbreviazione di Payment Card Industry Data Security Standards (PCI DSS). Creato nel 2004, PCI DSS mira a proteggere i consumatori e prevenire le frodi con carte di credito. È richiesto per qualsiasi organizzazione che riceve, elabora o archivia i dati delle carte di credito di uno qualsiasi dei cinque membri del PCI Security Council : VISA, MasterCard, American Express, Discover e JCB.

L'elenco dei requisiti è ampio, per usare un eufemismo. I requisiti abbracciano sei categorie e ogni categoria è suddivisa in diverse centinaia di requisiti specifici. Alcuni rientrano esclusivamente nel dominio di commercianti o provider di hosting, mentre altri si estendono a entrambi. Anche la conformità PCI non è un requisito una tantum, poiché il Consiglio di sicurezza effettua adeguamenti periodici per affrontare le nuove minacce per i consumatori.

La conformità non è un evento "unico". Richiede attività giornaliere, settimanali, mensili e annuali per mantenere la conformità. Ci sono 12 requisiti generali suddivisi in sei categorie. A scopo illustrativo, abbiamo elencato queste stesse categorie, ma incluso anche requisiti più specifici all'interno di PCI DSS.

6 Categorie chiave per la conformità PCI

Costruisci e mantieni una rete sicura. Installa e mantieni un firewall. Utilizza password univoche ad alta sicurezza con particolare attenzione per sostituire le password predefinite.

Proteggi i dati dei titolari di carta. Quando possibile, non memorizzare i dati dei titolari di carta. Se è necessario per l'azienda archiviare i dati dei titolari di carta, è necessario proteggere questi dati. Cripta tutti i dati passati attraverso le reti pubbliche, inclusi i dati passati tra il tuo carrello, il tuo provider di hosting Web e i tuoi clienti.

Mantenere un programma di gestione delle vulnerabilità. Usa un software antivirus e tienilo aggiornato. Sviluppare e mantenere sistemi operativi e applicazioni di pagamento sicuri. Assicurati che le tue applicazioni software antivirus siano conformi alle compagnie di carte scelte.

Implementare forti misure di controllo degli accessi. L'accesso ai dati dei titolari di carta, sia elettronici che fisici, dovrebbe essere basato sulla necessità di conoscere. Assicurati che le persone con accesso elettronico abbiano un ID e una password univoci. Non consentire alle persone di condividere le credenziali di accesso. Informa te stesso e i tuoi dipendenti sulla sicurezza dei dati, e in particolare sul PCI Data Security Standard (DSS).

Monitorare e testare regolarmente le reti. Tieni traccia e monitora tutti gli accessi alle reti e ai dati dei titolari di carta. Mantenere un programma di test regolare per i sistemi e i processi di sicurezza, inclusi: firewall, patch, server Web, server di posta elettronica e antivirus.

Mantenere una politica di sicurezza delle informazioni. Stabilire una politica di sicurezza dei dati organizzativa chiara e completa. Diffondere e aggiornare regolarmente questa politica.

La non conformità PCI può comportare multe comprese tra $ 5000 e $ 100.000 al mese, a seconda delle dimensioni dell'organizzazione incriminata, della sua gravità e di altri fattori. La non conformità può anche comportare azioni legali, violazioni della sicurezza e mancato guadagno.

Requisiti PCI per i provider di hosting

necessario monitoraggio È praticamente impossibile per il tipico commerciante essere conforme allo standard PCI senza avvalersi dei servizi di un provider di hosting conforme. I commercianti che ospitano i propri siti Web devono soddisfare i requisiti del provider di hosting oltre a soddisfare quelli per i commercianti. Un tale modello funziona per grandi aziende come Amazon e WalMart, ma poche altre.

Di seguito sono riportati alcuni dei punti salienti dei nostri sistemi e delle nostre politiche che confermano il nostro status di provider di hosting conforme allo standard PCI. Il termine "ambiente dei dati dei titolari di carta" si riferisce a qualsiasi sistema che archivia, elabora o trasmette i dati delle carte di credito, nonché qualsiasi sistema che ha accesso all'ambiente dei dati dei titolari di carta stesso.

Manteniamo un Web Application Firewall (WAF), che monitora tutte le connessioni tra l'ambiente dei dati dei titolari di carta e altre reti. ModSec vieta l'accesso pubblico ad aree sensibili, identifica le connessioni non affidabili e nasconde gli indirizzi IP e le informazioni di routing da parti non autorizzate.

Applichiamo standard di configurazione accettati dal settore per tutti i componenti di sistema che affrontano tutte le vulnerabilità di sicurezza note . Ciò si estende alla nostra rete interna ed esterna, ai nostri sistemi operativi e all'hardware necessario per ospitare i servizi web.

Applichiamo crittografia e protocolli di sicurezza che crittografano e proteggono i dati dei titolari di carta anche se trasmessi su reti pubbliche. I certificati SSL e altre chiavi di sicurezza affidabili vengono applicati unilateralmente. Sono consentiti solo i codici TLS moderni.

Limitiamo l'accesso fisico al nostro data center con politiche di sicurezza 24 ore su 24 e un team formato per implementarle. Ciò include, ma non è limitato a:

  • Videosorveglianza con cronologia dei filmati di 90 giorni
  • Ingresso protetto con autenticazione almeno a due fattori (PIN, carta di accesso) nella maggior parte delle aree e autenticazione a tre fattori (PIN, carta di accesso, identificazione personale) nelle aree che ospitano l'ambiente dei dati dei titolari di carta
  • Identificazione visibile su tutti i membri del team
  • Politica dei visitatori che impedisce l'accesso pubblico non autorizzato; le persone esterne autorizzate hanno accesso solo alle aree richieste e sono scortate in ogni momento
  • I membri del team hanno accesso all'ambiente dei dati dei titolari di carta solo se il loro ruolo lo richiede
  • Accesso limitato a prese di rete, punti di accesso wireless, gateway, reti e altre linee di comunicazione

Tracciamo e monitoriamo l'accesso alle risorse di rete e ai dati dei titolari di carta , anche se spetta ai clienti mantenere i registri e monitorare gli accessi per le proprie applicazioni (Magento, WordPress e così via).

Testiamo regolarmente i nostri sistemi e processi di sicurezza ed eseguiamo test di penetrazione interni a intervalli regolari e dopo qualsiasi aggiornamento significativo dell'infrastruttura.

Requisiti PCI per i commercianti

Archiviazione sicura con Nexcess Se implementata correttamente, la conformità PCI aiuta i commercianti ad aderire alle migliori pratiche comunemente accettate per la sicurezza dei dati. L'hosting con un provider conforme a PCI è un solido primo passo, ma diventare conforme richiede comunque un'azione da parte tua.

Se il tuo negozio accetta carte di credito come pagamento, deve essere conforme allo standard PCI indipendentemente dal fatto che memorizzi o meno tali dati. La scelta di un host web conforme allo standard PCI è solo il primo passo. Gli host web più credibili possono fornire ai commercianti materiali che descrivono le rispettive responsabilità su richiesta, ma alla fine spetta ai commercianti comprendere e soddisfare questi requisiti.

Purtroppo, non esiste una lista di controllo "taglia unica". Le tue responsabilità specifiche varieranno in base al tuo livello di commerciante (1–4, dove 1 è il più alto), che è generalmente determinato dal numero di transazioni con carta di credito che il tuo negozio elabora ogni anno.

Il processo generale per la maggior parte dei commercianti è:

  1. Identificare, comprendere e implementare i requisiti PCI DSS appropriati.
  2. Completa un questionario di autovalutazione (SAQ). Il SAQ è una lista di controllo che delinea i requisiti. A seconda del tuo livello, alcuni o tutti si applicheranno a te. I commercianti di livello 1 hanno il maggior numero di requisiti; livello 4, il minimo.
    Resisti alla tentazione di "selezionare ogni casella" nel SAQ. Ciò mette in pericolo i tuoi clienti ed espone la tua azienda a responsabilità. Il PCI rischia di perdere denaro a causa delle violazioni e, in risposta, potrebbe indagare sul tuo SAQ e AOC.
  3. Invia a una scansione trimestrale da parte di un fornitore di scansione approvato (ASV) , un'autorità qualificata indipendente che esegue scansioni di vulnerabilità esterne sui tuoi sistemi.
  4. Completa l'Attestation of Compliance (AOC), un documento in cui si afferma che sei idoneo a svolgere e di fatto hai eseguito il SAQ al meglio delle tue capacità.
  5. Se classificato come commerciante di livello 1, devi eseguire ulteriori passaggi, inclusa una valutazione in loco.

Se superare il notevole ostacolo della conformità PCI non ti piace, non sei il solo. Il tuo provider di hosting può rispondere a domande relative alla sovrapposizione di responsabilità e i valutatori di sicurezza qualificati (QSA) di terze parti possono aiutare le aziende a eseguire il guanto PCI (a pagamento).

Anche le aziende che offrono solo PayPal, Auth.net e altri servizi di pagamento come opzioni di pagamento devono essere conformi allo standard PCI perché tali aziende devono comunque trasmettere i dati delle carte di credito.

Un componente universale è la necessità di confermare che tutti i fornitori di servizi siano conformi allo standard PCI. Ciò include il tuo provider di hosting, ma si estende anche a processori di pagamento, gateway di pagamento, fornitori di POS e qualsiasi altra entità che tocca i dati dei titolari di carta dei tuoi clienti.

Alcuni elementi essenziali PCI per i commercianti

  • Mantenere la conformità PCI. La conformità richiede una consapevolezza continua e un'applicazione quotidiana. Le attività variano tra giornaliere e annuali, ma tutte sono ricorrenti.
  • Non limitarti a selezionare "Sì" per ogni domanda nel SAQ . La due diligence tutela la tua attività e i tuoi clienti.
  • Conosci il tuo codice o usa uno sviluppatore che fa . Implementa le migliori pratiche di distribuzione utilizzando siti di staging e di sviluppo senza eccezioni.
  • Stabilire una politica di password sicura. Utilizza password complesse e univoche e non consentire mai al tuo personale di condividere le credenziali di accesso o di utilizzare password predefinite.
  • Abilita l'autenticazione a due fattori per tutti i tuoi utenti interni e considera di fornirla come opzione per i clienti che accedono al tuo sito.
  • Utilizzare un firewall per applicazioni Web (WAF) . In Nexcess, ne forniamo uno per tutti i client ed è abilitato per impostazione predefinita.
  • Non limitarti a credere sulla parola del tuo provider di hosting. Conferma che sono conformi allo standard PCI e sono competenti richiedendo (e ottenendo) il loro Attestato di conformità (AOC).
  • Mantieni le tue applicazioni e le estensioni aggiornate all'ultima versione stabile e monitora attivamente le nuove minacce e versioni .

Oltre il PCI

Se la conformità PCI fosse sufficiente, le violazioni di organizzazioni di alto profilo sarebbero molto meno comuni. Conforme non dovrebbe significare compiacente.

In realtà, la conformità PCI è "Cardholder Data Security 101". È lo standard minimo accettabile e un'introduzione ragionevole, ma PCI è tutt'altro che infallibile. Le società di carte di credito richiedono la conformità. I commercianti che aderiscono agli standard PCI saranno più efficaci nel proteggere i consumatori rispetto alle aziende che li pagano solo a parole, ma la conformità PCI è solo il primo passo.

La natura stessa del PCI - un documento ampio e curato aggiornato solo periodicamente - lo rende vulnerabile. Gli standard ritenuti sufficienti nella versione “attuale” vengono spesso denunciati come inadeguati. Possono volerci mesi o addirittura anni prima che il PCI "recuperi" e i cattivi attori sono ben consapevoli dei suoi limiti.

La migliore protezione è la conoscenza. In Nexcess, disponiamo di membri del team specializzati in sicurezza web che sono ben informati sulle più recenti minacce, violazioni e contromisure. Molti commercianti potrebbero essere riluttanti ad avvalersi dei servizi di un esperto di sicurezza. Per lo meno, ti consigliamo di iscriverti alle notifiche di sicurezza per la tua applicazione di e-commerce e di seguire almeno una fonte di notizie sulla sicurezza web credibile. Entrambe le fonti reagiscono molto più velocemente del PCI e seguirle ti aiuterà a "individuare il fumo" prima che diventi un incendio.

Siamo in Lista!

Non dimenticare che siamo "On the List" di fornitori conformi allo standard PCI ufficialmente riconosciuti dal Visa Global Registry. Ciò significa che abbiamo dimostrato un impegno costante nel rivedere e migliorare le nostre politiche di sicurezza per soddisfare e superare i requisiti di conformità PCI. Se stai cercando un provider conforme a PCI, l'hosting con Nexcess significa che stai ospitando con un provider approvato e riconosciuto. Scopri di più sull'hosting conforme a PCI con Nexcess.

Per indicazioni sulla conformità PCI, contatta il nostro team di vendita dalle 9:00 alle 17:00 ora orientale, dal lunedì al venerdì.