法令順守とは何ですか?WordPressのセキュリティにどのように影響しますか?
公開: 2019-07-24ビジネスを行うために、あなたのワードプレスのウェブサイトとビジネスは規則と規制に従わなければなりません。 これらの規則や規制は、法律(GDPRやHIPAAなど)の形をとることがあります。 また、PCIDSSやISO27001などのコンプライアンス要件である場合もあり、国によって異なる場合があります。
コンプライアンスとは何ですか?
規制順守、または単にコンプライアンスとは、規制機関によって指定された規則および確立されたガイドラインに準拠しているビジネスの状態を表します。
コンプライアンスは、透明性、セキュリティ、および説明責任を重視する組織にとって不可欠な要素です。 企業はコンプライアンスを活用して、要件、法律、規制に沿って適切な態度でビジネスを遂行できます。 そしてもちろん、彼らの事業運営とWordPressウェブサイトのセキュリティを向上させます。
すべてのビジネスは異なります。 したがって、コンプライアンスに関して従うべきcookie-cutterテンプレートはありません。 それはまた、あなたのビジネスが世界のどこで運営されているか、あなたが誰とビジネスをしているのか、そしてあなたのWordPressサイトがエンドユーザーからどのデータを収集するかにも依存します。
すべてのコンプライアンス規制をリストすることは不可能ですが、WordPressWebサイトの所有者として知っておくべきいくつかの一般的な規制を以下に示します。
- 一般データ保護規則(GDPR)は、欧州連合(EU)のデータ保護およびプライバシーに関する法律です。 これは、EU市民による個人データの処理の保護を強化するのに役立ちます。
- ペイメントカード業界データセキュリティ標準(PCI DSS)は、eコマースストアなどのクレジットカードデータを処理する組織向けの情報セキュリティ標準です。 PCI DSSの範囲は、カード会員データの処理と管理に関する管理を強化し、クレジットカード詐欺を減らすことです。 eコマースソリューションをお持ちの場合、またはオンラインで何かを販売している場合は、WordPressWebサイト所有者向けのPCIDSSガイドをお読みください。
- ISO 27001は、組織のリスク管理プロセスに関連する法的、物理的、および技術的な管理を含むポリシーと手順のフレームワークを概説する仕様です。
- 医療保険の相互運用性と説明責任に関する法律(HIPAA)は、米国の法律です。 これは、データのプライバシーと患者の医療記録のセキュリティに対応しています。
なぜ規制順守が存在するのですか?
さまざまな理由で、さまざまな規制順守要件が存在します。 一般に、コンプライアンス要件は、企業が特定のレベルのセキュリティを達成するのを支援するために存在します。 コンプライアンス要件または規制によっては、組織が定期的な監査を受ける必要がある場合があります。 通常、企業は罰金や認定の喪失という形で不適合に対する罰則に直面します。
セキュリティに関しては、コンプライアンスが大きな役割を果たします。 多くのコンプライアンス要件は、前述のコンプライアンス規制の特定の基準を満たすために実施する必要のあるセキュリティ制御とプロセスを(さまざまな詳細度で)概説しています。
当然のことながら、規制は通常、秩序を混乱させるために発生します。 この例はPCIDSSです。 これは、オンラインクレジットカードプロセッサがカード会員データを安全に保つために必要なセキュリティ対策を講じていなかったために機能しました。 最近では、EUデータプライバシー法を改革および調和させ、EU市民のプライバシーを改善するためにGDPRが登場しました。 GDPRにより、立法者はEU内のデータプライバシー法に準拠していない組織に厳しい罰則を課すことができます。
なぜ規制とコンプライアンスは良いことなのですか?
コンプライアンスと規制は、法律、制約、監査、および罰則に関連しています。 そのため、彼らはしばしば悪い評判を得ます。 ただし、組織が法律を遵守し、倫理的に運営することの重要性を理解できるようにする必要があります。
ただし、コンプライアンスも必要悪です。 それはビジネスの複雑さ、費用を増加させ、さもなければビジネスを成長させるために費やされた多くの時間を浪費します。
そうは言っても、ルールを遵守するために意識的に努力することの長所は、短所を大幅に上回ります。 組織には透明性を強化する機会があります。 顧客の信頼を確立し、新しい規制市場に拡大して、より大きな顧客を引き付けます。
コンプライアンスはセキュリティを確保するのに十分ですか?
残念ながら、コンプライアンスは一般的にセキュリティと間違えられます。 組織は準拠している可能性がありますが、適切に保護されていません。 反対に、安全であるがコンプライアンスに準拠していない組織を見つけることはめったにありません。
コンプライアンスは、組織が最小のセキュリティ要件を満たしていることを示す、特定の時点での万能の評価です。 たとえば、PCI DSSやHIPAAなどの規制基準には、そのようなセキュリティ要件のチェックリストがあります。
一方、セキュリティ防御は、顧客の機密情報の漏洩など、発生する悪いことから保護するための技術的対策を提供します。 言い換えれば、会社の方針はコンプライアンス管理には十分かもしれませんが、それが技術的に不可能であることを意味するわけではありません。 この簡単な例はNSAです。 それは確かに機密文書のコピーと配布を禁じていますが、エドワード・スノーデンがそうすることを実際に止めたものは何もありません。
WordPressへの準拠はどこから始めますか?
コンプライアンスは威圧的であり、達成するのは不可能な作業のように聞こえます。 ただし、そうではありません。 幸いなことに、WordPressサイト所有者向けのPCIDSSガイドなど、WordPressWebサイト所有者は多くのドキュメントとヘルプを利用できます。 あなたは私たちがあなたのために用意したポインタのリストに従うことから始めることができます:
- 対象となるコンプライアンス要件を把握します。法律や規制は国によって大きく異なります。 オンラインビジネスやeコマースストアの規模、種類、複雑さによっては、地方自治体に再確認することをお勧めします。 必要に応じて、この分野で専門家の助けを求めることもできます。
- セキュリティを強化する—優れたセキュリティ慣行は、規制によって中心的かつ要求されているだけでなく、あなたの生活を大幅に楽にします。 たとえば、次のようにすることから始めることができます。
- WordPressのアクティビティログにサイトの変更を記録し、
- 強力なWordPressパスワードポリシーを適用し、
- WordPressサイトをスキャンして、ファイルの変更を確認します。
- 堅実なバックアップソリューションを設定し、
- Sucuriのようなオンラインファイアウォールを使用するか、ローカルのWordPressセキュリティソリューションをインストールします。
- セキュリティとコンプライアンスを受け入れる—最初は飲み込むのは苦い薬のように思えるかもしれません。 ただし、セキュリティとコンプライアンスを重要なビジネス機能として採用するのが早ければ早いほど、長期的にはこれによって生じる摩擦が少なくなり、WordPressのセキュリティの問題が少なくなります。