NexcessがストアのPCI準拠を維持するのにどのように役立つか

公開: 2022-06-30

PCI準拠のストアを作成するには、自分自身とホスティングプロバイダーの両方の継続的な努力が必要です。 近道はありませんが、信頼できるウェブホスティングプロバイダーを選択することから始めるのが効果的です。 それでも、ほとんどのPCI要件は、販売者であるあなただけが満たすことができます。 ホストとマーチャントの境界線と、顧客にとってPCIを超える価値がある理由について詳しく知るために読んでください。

PCI準拠のホスティングをお探しですか? 詳細については、PCIコンプライアンスのページをご覧ください。

PCIとは何ですか?

過剰にロックされた安全 eコマースでは、PCIはPayment Card Industry Data Security Standards(PCI DSS)の省略形です。 2004年に作成されたPCIDSSは、消費者の保護とクレジットカード詐欺の防止を目的としています。 これは、 PCI Security Councilの5つのメンバー( VISA、MasterCard、American Express、Discover、およびJCB)のいずれかのクレジットカードデータを受信、処理、または保存する組織に必要です

要件のリストは、控えめに言っても広範囲に渡っています。 要件は6つのカテゴリにまたがり、各カテゴリは数百の特定の要件に分けられます。 マーチャントまたはホスティングプロバイダーのいずれかのドメインにのみ該当するものもあれば、両方に拡張されるものもあります。 安全保障理事会は消費者への新たな脅威に対処するために定期的な調整を行うため、PCIコンプライアンスも1回限りの要件ではありません。

コンプライアンスは「1回限りの」イベントではありません。 コンプライアンスを維持するには、日次、週次、月次、および年次のタスクが必要です。 6つのカテゴリに分けられた12の一般的な要件があります。 説明のために、これらの同じカテゴリをリストしましたが、PCIDSS内からのより具体的な要件も含まれています。

PCIコンプライアンスの6つの主要カテゴリ

安全なネットワークを構築して維持します。 ファイアウォールをインストールして維持します。 デフォルトのパスワードを置き換えるには、特別な注意を払って一意の高セキュリティパスワードを使用してください。

カード会員データを保護します。 可能な限り、カード会員データを保存しないでください。 カード会員データを保存するビジネス上のニーズがある場合は、このデータを保護する必要があります。 ショッピングカート、Webホスティングプロバイダー、および顧客の間で渡されるデータを含む、パブリックネットワークを介して渡されるすべてのデータを暗号化します。

脆弱性管理プログラムを維持します。 ウイルス対策ソフトウェアを使用して、最新の状態に保ちます。 安全なオペレーティングシステムと支払いアプリケーションを開発および維持します。 ウイルス対策ソフトウェアアプリケーションが、選択したカード会社に準拠していることを確認してください。

強力なアクセス制御手段を実装します。 カード会員データへのアクセスは、電子的および物理的の両方で、知る必要があります。 電子アクセス権を持つ人々が一意のIDとパスワードを持っていることを確認してください。 ユーザーがログイン資格情報を共有することを許可しないでください。 あなた自身とあなたの従業員にデータセキュリティ、特にPCIデータセキュリティ標準(DSS)について教育してください。

ネットワークを定期的に監視およびテストします。 ネットワークとカード会員データへのすべてのアクセスを追跡および監視します。 ファイアウォール、パッチ、Webサーバー、電子メールサーバー、ウイルス対策など、セキュリティシステムとプロセスの定期的なテストスケジュールを維持します。

情報セキュリティポリシーを維持します。 明確で徹底的な組織のデータセキュリティポリシーを確立します。 このポリシーを定期的に配布および更新してください。

PCIに準拠していない場合、問題のある組織の規模、その重大度、およびその他の要因に応じて、月額5000ドルから100,000ドルの罰金が科せられる可能性があります。 コンプライアンス違反は、法的措置、セキュリティ違反、および収益の損失につながる可能性もあります。

ホスティングプロバイダーのPCI要件

過剰な監視 準拠したホスティングプロバイダーのサービスを利用せずに、一般的な加盟店がPCIに準拠することは事実上不可能です。 独自のWebサイトをホストするマーチャントは、マーチャントの要件を満たすだけでなく、ホスティングプロバイダーの要件も満たす必要があります。 このようなモデルは、AmazonやWalMartのような大企業で機能しますが、他のほとんどの企業では機能しません。

以下は、PCI準拠のホスティングプロバイダーとしてのステータスを維持するシステムとポリシーのハイライトの一部です。 「カード会員データ環境」という用語は、クレジットカードデータを保存、処理、または送信するシステム、およびカード会員データ環境自体にアクセスできるシステムを指します。

カード会員データ環境と他のネットワーク間のすべての接続を監視するWebアプリケーションファイアウォール(WAF)を維持しています。 ModSecは、機密エリアへのパブリックアクセスを禁止し、信頼できない接続を識別し、IPアドレスとルーティング情報を許可されていない第三者から隠します。

既知のすべてのセキュリティ脆弱性に対処するすべてのシステムコンポーネントに、業界で認められた構成標準を適用します これは、内部および外部ネットワーク、オペレーティングシステム、およびWebサービスをホストするために必要なハードウェアにまで及びます。

パブリックネットワークを介して送信される場合でも、カード会員データを暗号化および保護する暗号化およびセキュリティプロトコルを適用します。 SSL証明書およびその他の信頼できるセキュリティキーは一方的に適用されます。 最新のTLS暗号のみが許可されます。

データセンターへの物理的なアクセスは、24時間のセキュリティポリシーと、それらを実装するためのトレーニングを受けたチームによって制限されています。 これには以下が含まれますが、これらに限定されません。

  • 90日間の映像履歴によるビデオ監視
  • ほとんどのエリアで少なくとも2要素認証(PIN、アクセスカード)、およびカード会員データ環境を収容するエリアで3要素認証(PIN、アクセスカード、指紋)を使用した安全なエントリ
  • すべてのチームメンバーの目に見える識別
  • 不正なパブリックアクセスを防止する訪問者ポリシー。 許可された外部の個人は、必要なエリアにのみアクセスでき、常に付き添われています
  • チームメンバーは、役割で必要な場合にのみ、カード会員データ環境にアクセスできます。
  • ネットワークジャック、ワイヤレスアクセスポイント、ゲートウェイ、ネットワーク、およびその他の通信回線へのアクセスの制限

ネットワークリソースとカード会員データへのアクセスを追跡および監視しますが、ログを維持し、独自のアプリケーション(Magento、WordPressなど)のログインを監視するのはクライアントの責任です。

私たちは定期的にセキュリティシステムとプロセスをテストし、定期的に、また重要なインフラストラクチャのアップグレード後に内部侵入テストを実行します。

加盟店のPCI要件

Nexcessで安全な店舗 適切に実装されたPCIコンプライアンスは、加盟店がデータセキュリティの一般的に受け入れられているベストプラクティスを順守するのに役立ちます。 PCI準拠のプロバイダーを使用したホスティングは確実な最初のステップですが、準拠するためにはユーザー側でのアクションが必要です。

ストアがクレジットカードを支払いとして受け入れる場合、そのデータを保存するかどうかに関係なく、PCIに準拠している必要があります。 PCI準拠のWebホストを選択することは、最初のステップにすぎません。 ほとんどの信頼できるウェブホストは、リクエストに応じてそれぞれの責任を概説する資料をマーチャントに提供できますが、最終的にはマーチャントがこれらの要件を理解して満たす必要があります。

残念ながら、「1つのサイズですべてに対応」するチェックリストはありません。 特定の責任は、マーチャントレベル(1〜4、1が最高)によって異なります。これは通常、ストアが年間に処理するクレジットカード取引の数によって決まります。

ほとんどの商人の一般的なプロセスは次のとおりです。

  1. 適切なPCIDSS要件を特定、理解、および実装します。
  2. 自己問診(SAQ)に回答します。 SAQは、要件の概要を示すチェックリストです。 レベルに応じて、それらの一部またはすべてが適用されます。 レベル1の商人が最も多くの要件を持っています。 レベル4、最低。
    SAQの「すべてのチェックボックスをオンにする」という誘惑に抵抗してください。 そうすることはあなたの顧客を危険にさらし、あなたのビジネスを責任にさらします。 PCIは違反により金銭を失うことになり、それに応じてSAQとAOCを調査する場合があります。
  3. システムで外部の脆弱性スキャンを実行する独立した資格のある機関であるApprovedScanningVendor(ASV)による四半期ごとのスキャンに送信します。
  4. コンプライアンスの証明(AOC)を完了します。これは、実行する資格があり、実際にSAQを最大限に実行したことを証明する文書です。
  5. レベル1の販売者として分類されている場合は、オンサイト評価を含む追加の手順を実行する必要があります。

PCIコンプライアンスのかなりのハードルを乗り越えても魅力がない場合は、あなただけではありません。 ホスティングプロバイダーは、重複する責任に関連する質問に答えることができ、サードパーティのQualified Security Assessors(QSA)は、企業がPCIガントレットを(有料で)実行するのを支援できます。

PayPal、Auth.net、およびその他の支払いサービスのみを支払いオプションとして提供している企業でさえ、クレジットカードデータを送信する必要があるため、PCIに準拠している必要があります。

ユニバーサルコンポーネントの1つは、すべてのサービスプロバイダーがPCIに準拠していることを確認する必要があることです。 これにはホスティングプロバイダーが含まれますが、支払い処理業者、支払いゲートウェイ、POSプロバイダー、および顧客のカード会員データにアクセスするその他のエンティティにも適用されます。

加盟店向けのPCIEssentials

  • PCIコンプライアンスを維持します。 コンプライアンスには、継続的な認識と日々の適用が必要です。 タスクは毎日から毎年の範囲ですが、すべてが繰り返し発生します。
  • SAQのすべての質問に対して「はい」をチェックするだけではいけません デューデリジェンスはあなたのビジネスとあなたの顧客を保護します。
  • コードを知っているか、そうする開発者を使用してください 例外なくステージングサイトと開発サイトを使用して、展開のベストプラクティスを実装します。
  • 安全なパスワードポリシーを確立します。 複雑で一意のパスワードを使用し、スタッフがログイン資格情報を共有したり、デフォルトのパスワードを使用したりしないようにしてください。
  • すべての内部ユーザーに対して2要素認証を有効にし、サイトにログインする顧客向けのオプションとして提供することを検討してください。
  • Webアプリケーションファイアウォール(WAF)を使用します。 Nexcessでは、すべてのクライアントに1つ提供しており、デフォルトで有効になっています。
  • ホスティングプロバイダーの言葉をそのまま受け入れるのではありません。 コンプライアンス証明書(AOC)を要求(および取得)して、PCIに準拠していて有能であることを確認します。
  • アプリケーションと拡張機能を最新の安定したリリースに保ち、新しい脅威とバージョンを積極的に監視します

PCIを超えて

PCIコンプライアンスが十分であれば、著名な組織の侵害ははるかに一般的ではありません。 準拠とは、自己満足を意味するものではありません。

実際には、PCIコンプライアンスは「CardholderDataSecurity101」です。 これは最低限の許容基準であり、合理的な導入ですが、PCIは絶対的なものではありません。 クレジットカード会社はコンプライアンスを要求します。 PCI規格に準拠している加盟店は、単にリップサービスを支払う企業よりも消費者を保護するのに効果的ですが、PCIコンプライアンスは最初のステップにすぎません。

PCIの本質(定期的にのみ更新される大規模で精選されたドキュメント)により、PCIは脆弱になります。 「現在の」バージョンで十分であると見なされる標準は、不十分であると公開されることがよくあります。 PCIが「追いつく」には数か月から数年かかる場合があり、悪意のある人物はその制限を十分に認識しています。

最善の保護は知識です。 Nexcessには、最新の脅威、侵害、および対策に精通したWebセキュリティを専門とするチームメンバーがいます。 多くの商人は、セキュリティ専門家のサービスを利用することを躊躇するかもしれません。 少なくとも、eコマースアプリケーションのセキュリティ通知を購読し、少なくとも1つの信頼できるWebセキュリティニュースソースをフォローすることをお勧めします。 どちらのソースもPCIよりもはるかに速く反応し、それらに従うと、火災になる前に「煙を見つける」のに役立ちます。

私たちはリストに載っています!

Visaグローバルレジストリによって公式に認められたPCI準拠プロバイダーの「リストに載っている」ことを忘れないでください。 つまり、PCIコンプライアンス要件に一致し、それを超えるようにセキュリティポリシーを確認および改善するという継続的な取り組みを示しています。 PCI準拠のプロバイダーを探している場合、Nexcessでホスティングするということは、承認され承認されたプロバイダーでホスティングしているということです。 Nexcessを使用したPCI準拠のホスティングの詳細をご覧ください。

PCIコンプライアンスのガイダンスについては、月曜日から金曜日の東部標準時の午前9時から午後5時の間に営業チームにお問い合わせください