PCI 규정 준수 및 WooCommerce – 알아야 할 모든 것
게시 됨: 2021-06-15전자 상거래 웹 사이트를 구축, 유지 관리 또는 운영할 때 보안 책임을 알고 있어야 합니다. 운 좋게도 WooCommerce로 구축된 상점과 같은 온라인 상점을 안전하고 안전하게 유지하는 데 도움이 되는 표준과 규정이 있습니다. 그 중 가장 눈에 띄는 것은 PCI-DSS(Payment Card Industry Data Security Standard)입니다.
모든 WooCommerce 사이트는 PCI를 준수해야 합니까?
아니요, WooCommerce를 사용하는 모든 사이트가 PCI-DSS를 준수해야 하는 것은 아닙니다. 이 규정은 직불 및 신용 카드로 온라인 결제를 허용하는 비즈니스에 적용됩니다. WooCommerce를 사용하여 온라인 카탈로그를 표시하거나 견적 요청을 수락하거나 쇼핑객이 온라인과 관련이 없는 주문을 하도록 허용하는 경우 PCI-DSS가 적용되지 않습니다. 지불.
PCI 규정 준수의 목적은 무엇입니까?
PCI-DSS는 WooCommerce 쇼핑객이 Visa, Mastercard, American Express 또는 Discover 카드와 같은 지불 카드로 결제할 때 제출된 정보가 범죄자의 손에 넘어가지 않도록 하기 위해 존재합니다. 규정 준수란 무엇이며 WordPress 보안에 미치는 영향에 대해 자세히 알아보세요.
누가 PCI를 준수해야 합니까?
이러한 PCI 표준은 카드 소지자 데이터를 수락, 전송 및/또는 저장하는 모든 조직에 적용됩니다. 여기에는 판매자, 프로세서, 취득자, 발급자 및 서비스 제공자가 포함됩니다. 본질적으로 카드 소지자 데이터 또는 민감한 인증 데이터를 만지는 모든 조직은 이러한 규칙을 준수해야 합니다.
물론 WooCommerce 판매자는 이러한 규정을 충족하기 위해 공급업체에 의존합니다. 여기에는 PCI 호환 호스팅에서 안전한 지불 게이트웨이 및 프로세서에 이르기까지 모든 것이 포함됩니다. 이러한 공급업체를 통해 소규모 비즈니스 및 신생 기업도 이러한 보안 요구 사항을 충족할 수 있습니다.
WooCommerce 웹사이트를 PCI 규격으로 만드는 것은 무엇입니까?
대부분의 보안과 마찬가지로 PCI를 준수하려면 가맹점이 지속적으로 다양한 조치를 취해야 합니다. PCI-DSS 요구 사항 및 보안 평가 절차 문서의 최신 버전은 139페이지입니다. 운 좋게도 그 중 많은 부분이 웹사이트 소유자가 아니라 결제 프로세서와 같은 공급업체에 적용됩니다.
궁극적으로 아래 단계는 PCI SAQ(자체 평가 설문지)를 작성하고 웹 사이트가 PCI 요구 사항을 충족하는지 확인하기 위해 스캔할 때 훨씬 쉽게 통과할 수 있도록 도와줍니다. 또한 대부분의 공격으로부터 웹사이트를 안전하게 유지하는 데 도움이 됩니다.
명심해야 할 중요 항목
- WordPress 소프트웨어를 최신 상태로 유지하십시오.
- WooCommerce 및 기타 WordPress 플러그인 및/또는 확장 프로그램을 업데이트합니다.
- 웹 호스팅 환경은 최신 보안 패치를 포함한 최신 소프트웨어를 실행해야 합니다.
- 방화벽을 구성 및 유지 관리하거나 이를 수행할 호스트를 선택하십시오. WooCommerce 웹 호스트는 종종 Cloudflare 및 Sucuri와 같은 WAF(웹 애플리케이션 방화벽) 제공업체와 협력하여 연중무휴 모니터링되는 방화벽 솔루션을 제공합니다.
- SSL 인증서를 활용하여 HTTPS를 통해 데이터를 안전하게 전송합니다.
- 맬웨어 스캐너를 실행하거나 지속적으로 실행하는 호스트를 선택하십시오. 누군가가 매일 보안 보고서를 보고 있는지 확인하십시오. 실시간은 아닐지라도.
- 절대적으로 필요한 사람들과만 액세스를 공유하고 최소 권한 액세스 원칙을 준수하십시오. 여기에는 WordPress 관리자가 허용된 IP 주소에만 액세스할 수 있도록 하는 것과 같은 기본 단계가 포함될 수 있습니다.
- 고유한 사용자 ID와 강력한 암호를 사용하십시오. 안전하게 보관하고 최소 90일마다 비밀번호를 업데이트하십시오.
- 각 관리자에게 고유한 로그인 자격 증명이 있는지 확인하고 자격 증명을 공유하지 마십시오.
- 웹 사이트와 상호 작용하는 모든 시스템을 안전하게 유지하십시오. 여기에는 WordPress 관리자에 액세스하는 데 사용하는 컴퓨터에서 최신 바이러스 백신 소프트웨어를 실행하는 것이 포함됩니다.
- 다른 애플리케이션을 별도로 호스팅합니다. 여기에는 다른 웹사이트를 별도로 호스팅하고 별도의 이메일 호스팅을 사용하는 것이 포함됩니다. 또한 웹사이트의 이전 사본과 사이트의 개발 또는 스테이징 사본이 프로덕션(라이브) 호스팅 환경에 있어서는 안 됩니다.
- 침입 탐지 시스템(IDS)을 배포하여 보안 침해를 조기에 포착하여 여파를 최소화합니다.
- 웹사이트, 직원 및 공급업체의 변경 사항을 고려하여 보안을 계속 검토하십시오.
- 가능하면 다단계 인증을 사용하십시오. 해커가 WooCommerce 스토어의 백엔드에 액세스하는 것을 더 어렵게 만들려면 WordPress 2FA(2단계 인증) 확장을 추가하는 것이 좋습니다.
- 로그 및 백업을 올바르게 저장합니다. 이는 침해 조사의 일부로 필요한 경우에 매우 중요합니다.
PCI 규정 준수 인증을 받으려면 어떻게 해야 합니까?
이 서비스를 제공하는 특정 공급업체가 있습니다. 지불 처리자 및 웹 호스팅 제공업체에 확인하여 그러한 서비스를 제공, 포함 또는 추천하는지 확인하는 것이 좋습니다. 그러나 PCI 보안 표준 위원회에서 사용할 수 있는 승인된 스캔 공급업체 목록이 많이 있습니다. 이것은 일회성 절차가 아니므로 앞으로 수년 동안 이 공급업체와 협력할 수 있다는 점을 기억하십시오.
PCI 스캔을 통과하면 WooCommerce 사이트가 안전하고 안전합니까?
PCI 규정 준수 평가는 관찰 가능한 보안 정책 및 약점을 해결하고 판매자가 요구하는 최소한의 보안 노력에 중점을 둡니다. 사이트가 처음에 PCI 호환 인증을 받은 후 보안을 유지하는 것이 중요합니다. 예를 들어 새 보안 패치는 릴리스 후 30일 이내에 설치해야 합니다.
또한 보안에 대해 사전 예방적 접근 방식을 취하는 것이 좋습니다. 항상 새로운 보안 취약점이 악용되는 제로 데이 이벤트가 있습니다. 이러한 경우에는 패치가 아직 존재하지 않습니다. 가장 좋은 방법은 침입 탐지 시스템(IDS)과 같은 기본 보안 도구를 활용하는 것입니다. 이는 경보 역할을 하여 해킹 사례를 신속하게 해결할 수 있는 기회를 제공하여 훨씬 더 심각한 사고를 최소화할 수 있습니다. 일반적으로 WordPress 전자 상거래 솔루션이 안전해야 하는 데에는 여러 가지 이유가 있다고 말할 수 있습니다.
PA-DSS 공급자를 사용하면 사이트가 PCI를 준수하게 됩니까?
PA-DSS(Payment Application Data Security Standard)를 준수하는 결제 프로세서는 자동으로 사이트 PCI를 준수하도록 만들지 않습니다. 웹 호스트도 마찬가지입니다. 쇼핑객을 오프사이트로 이동하여 거래를 완료하는 결제 프로세서를 사용하더라도 여전히 책임이 있습니다. 예를 들어 소프트웨어를 패치하지 않고 WordPress 사이트가 해킹된 경우 도둑은 신용 카드 데이터를 빼돌리기 위해 결제를 자신의 양식으로 바꿀 수 있습니다. 일부 지불 게이트웨이는 위반 위험을 낮출 수 있지만 모든 보안 책임을 면제할 수는 없습니다.
WooCommerce 사이트 PCI를 준수하지 않을 경우 어떤 위험이 있습니까?
WooCommerce 사이트가 지불 카드를 허용하고 PCI와 호환되지 않는 경우 많은 위험이 있습니다. 수수료 또는 벌금을 지불해야 하거나 계정 서비스를 거부하는 결제 처리자를 찾아 온라인 결제를 수락할 수 있는 기능이 차단될 수 있습니다. 이것이 WordPress 전자 상거래 및 비즈니스 사이트에 대한 PCI DSS 규정 준수가 매우 중요한 이유입니다.
PCI-DSS 규정을 준수하지 않은 상태에서 데이터 유출이 발생하면 상황은 더욱 악화됩니다. 잠재적인 법적 조치를 포함하여 모든 종류의 벌금과 비용이 있습니다. 이는 손상된 평판과 침해 조사 및 완화 비용을 넘어서며, 이는 WooCommerce 스토어의 가동 중지 시간과 수익 손실을 유발할 수도 있습니다.
위반 후에는 기꺼이 서비스를 제공할 공급업체를 찾을 수 있다면 지불 카드를 받는 것이 훨씬 더 어렵고 비용이 많이 든다는 것을 알게 될 수 있습니다. 세부 사항에 따라 다르지만 기본 보안 표준을 준수하지 않아 위험이 높은 것으로 판명되면 비즈니스에 심각한 결과를 초래할 수 있습니다.
PCI 규정 준수와 관련하여 WooCommerce 판매자를 전문적으로 지원하는 공급업체가 있습니까?
네! 예를 들어, 쇼핑객이 귀하가 보유하고 있는 지불 카드 정보를 제출하도록 하는 대신 신용 카드 정보를 안전하게 전송할 수 있는 다양한 지불 게이트웨이가 있습니다. 여기에는 Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe 등과 같은 솔루션 제공업체가 포함됩니다!
Affirm, Bread, Katapult, Klarna, Sezzle 및 ViaBill과 같이 구매자에게 고유한 옵션을 제공하는 고유한 지불 게이트웨이도 있습니다. 고도로 최적화된 결제 경험. PayStand 및 Apruve와 같은 B2B 결제 솔루션도 있습니다.
마찬가지로 전자 상거래 호스팅 환경을 안전하게 유지하는 것을 전문으로 하는 웹 호스트가 있습니다. 많은 플랫폼에서 PCI 규정 준수를 언급하지만 맬웨어 검사, 웹 응용 프로그램 방화벽, 침입 탐지, 연중무휴 모니터링 및 관리할 신뢰할 수 있는 공급업체가 필요할 수 있는 기타 요소를 주시해야 합니다.
결론
WooCommerce 스토어를 구축하는 것은 비교적 쉽지만 지속적인 보안 관행이 없으면 해당 스토어는 해커로부터 보호되지 않습니다. 상점에서 지불 카드를 허용하는 경우 웹 사이트 소유자는 PCI를 준수할 책임이 있으며 준수하는 공급업체도 선택해야 합니다. 운 좋게도 PCI-DSS 규정을 쉽게 준수할 수 있도록 선택할 수 있는 훌륭한 공급업체가 많이 있습니다.