Osiąganie i utrzymywanie wymagań zgodności PCI

Opublikowany: 2022-06-30

Jeśli Twoja firma Magento 1 obsługuje informacje o kartach kredytowych, być może znasz już ponad 300 wymagań bezpieczeństwa w PCI DSS. Jeśli nie jesteś zaznajomiony, w tym artykule omówimy niektóre podstawowe informacje i zaoferujemy zasoby dotyczące certyfikowania zgodności.

Założona w 2006 roku przez American Express, Discover, JCB International, Mastercard i Visa, Payment Card Industry Data Security Standards (PCI DSS) wyznacza minimalny standard bezpieczeństwa danych w zakresie przetwarzania transakcji kartami kredytowymi. Pomaga ograniczyć oszustwa i naruszenia danych w całym ekosystemie płatniczym i ma zastosowanie do każdej organizacji, która akceptuje lub przetwarza płatności za pomocą kart kredytowych.

Zgodność z PCI DSS

Zgodność z PCI DSS obejmuje trzy główne zasady:

  1. Wrażliwe dane kart kredytowych od konsumentów powinny być gromadzone i przesyłane w bezpieczny sposób
  2. Dane te muszą być bezpiecznie przechowywane dzięki wykorzystaniu szyfrowania, ciągłego monitorowania i testowania bezpieczeństwa dostępu do danych karty
  3. Corocznie sprawdzanie, czy obowiązują wymagane środki kontroli bezpieczeństwa

Wrażliwe dane od konsumentów

Firmy obsługujące dane kart mogą być zobowiązane do spełnienia każdej z ponad 300 kontroli bezpieczeństwa w PCI DSS. Nawet jeśli dane karty podróżują po infrastrukturze firmy tylko przez chwilę, firma musiałaby zakupić, wdrożyć i utrzymywać oprogramowanie i sprzęt zabezpieczający.

Jeśli firma nie musi obsługiwać poufnych danych kart kredytowych, nie powinna. Rozwiązania innych firm (takie jak Stripe) bezpiecznie akceptują i przechowują dane kart kredytowych, eliminując znaczną złożoność, koszty i ryzyko. Jeśli dane karty nigdy nie dotkną serwerów Twojej firmy, wystarczy potwierdzić 22 stosunkowo proste zabezpieczenia, takie jak używanie silnych haseł.

Bezpiecznie przechowuj dane

Jeśli organizacja obsługuje lub przechowuje dane kart kredytowych, musi zdefiniować zakres środowiska danych posiadacza karty (CDE). PCI DSS definiuje CDE jako ludzi, procesy i technologie, które przechowują, przetwarzają lub przesyłają dane kart kredytowych — lub dowolny system z nimi połączony.

Ponieważ wszystkie ponad 300 wymagań bezpieczeństwa w PCI DSS dotyczą CDE, ważne jest, aby odpowiednio oddzielić środowisko płatności od reszty firmy, aby ograniczyć zakres walidacji PCI. Jeśli organizacja nie jest w stanie objąć zakresu CDE, kontrole bezpieczeństwa PCI zostaną zastosowane do każdego systemu, laptopa i urządzenia w sieci firmowej. Nikt nie ma na to czasu.

Coroczny przegląd wymaganych środków kontroli bezpieczeństwa

Niezależnie od tego, w jaki sposób dane kart są akceptowane, organizacje obsługujące płatności kartą kredytową są zobowiązane do corocznego wypełniania formularza weryfikacji PCI w celu zachowania zgodności.

12 Główne wymagania dotyczące PCI DSS

Najnowsze standardy bezpieczeństwa, PCI DSS w wersji 3.2.1, zawierają 12 głównych wymagań z ponad 300 podwymaganiami, które odzwierciedlają najlepsze praktyki bezpieczeństwa.

Te 12 głównych wymagań to:

  1. Zainstaluj i utrzymuj konfigurację zapory sieciowej, aby chronić informacje o posiadaczu karty
  2. Nigdy nie używaj dostarczonych przez dostawcę wartości domyślnych haseł systemowych i innych parametrów bezpieczeństwa
  3. Chroń przechowywane dane posiadaczy kart
  4. Szyfruj transmisję danych posiadaczy kart w sieciach otwartych lub publicznych
  5. Chroń wszystkie systemy przed złośliwym oprogramowaniem i regularnie aktualizuj oprogramowanie antywirusowe
  6. Twórz i utrzymuj bezpieczne systemy i aplikacje
  7. Ogranicz dostęp do danych posiadacza karty
  8. Identyfikuj i uwierzytelniaj dostęp do komponentów systemu
  9. Ogranicz fizyczny dostęp do danych posiadacza karty
  10. Śledź i monitoruj cały dostęp do zasobów sieciowych i danych posiadaczy kart
  11. Regularnie testuj systemy i procesy bezpieczeństwa
  12. Utrzymuj politykę dotyczącą bezpieczeństwa informacji dla wszystkich pracowników

Nowe firmy mogą zweryfikować zgodność PCI za pomocą dziewięciu kwestionariuszy samooceny, z których każdy stanowi podzbiór całego wymogu PCI DSS. Trudność polega na próbie ustalenia, jakie wymagania są niezbędne dla Twojej firmy. Niektóre firmy zatrudniają audytora zatwierdzonego przez Radę PCI, aby zapewnić spełnienie każdego wymogu PCI DSS. I jakby to nie było wystarczająco skomplikowane – Rada PCI dokonuje przeglądu zasad co trzy lata i co roku wydaje aktualizacje. W jaki sposób firmy mogą zabezpieczyć dane swoich kart kredytowych i zachować zgodność z PCI, biorąc pod uwagę te czynniki?

Sposoby zabezpieczenia

Istnieje wiele akceptowanych sposobów zabezpieczenia witryny zgodnie z wymaganiami PCI DSS, od zatrudnienia wykwalifikowanej firmy zajmującej się oceną bezpieczeństwa (QSA), po wykorzystanie 3-etapowego procesu PCI oraz poprzez Nexcess Safe Harbor we współpracy ze Stripe.

1. Kwalifikowany asesor bezpieczeństwa

Qualified Security Assessor to firma zajmująca się bezpieczeństwem danych, która została zakwalifikowana przez Radę PCI do przeprowadzania na miejscu ocen standardów bezpieczeństwa danych PCI. Asesor zweryfikuje wszystkie informacje techniczne podane przez sprzedawcę lub usługodawcę i zastosuje niezależny osąd w celu potwierdzenia spełnienia standardu. Listę firm zajmujących się kwalifikowaną oceną bezpieczeństwa (QSA) można znaleźć tutaj.

2. 3-etapowy proces PCI

  1. Ocenia Identyfikację danych posiadaczy kart, inwentaryzację zasobów IT i procesów biznesowych do przetwarzania kart płatniczych oraz analizę ich pod kątem podatności.
  2. Naprawa Naprawianie luk w zabezpieczeniach i eliminowanie przechowywania danych posiadaczy kart, chyba że jest to absolutnie konieczne.
  3. Raportowanie Kompilowanie i przesyłanie wymaganych raportów do odpowiednich banków przejmujących i marek kart.

3. Bezpieczna przystań

Magento 1 został wycofany z eksploatacji w czerwcu 2020 r., umieszczając tysiące witryn e-commerce w szarej strefie zgodności, gdy firma Adobe przestała wydawać oficjalne aktualizacje zabezpieczeń.

Chociaż sama aplikacja e-commerce stanowi tylko niewielką część tego, co naprawdę oznacza zgodność z PCI, dla sprzedawców nadal prowadzących swoje witryny e-commerce na Magento 1 ważne jest, aby pamiętać, że nie będzie już wydawanych poprawek bezpieczeństwa i aktualizacji dla platformy. Działają na własną rękę, chyba że zainwestowali w rozwiązanie takie jak Nexcess Safe Harbor. Zdecydowanie zalecamy zapoznanie się ze Stripe, który zobowiązuje się do utrzymywania swojego modułu Magento 1 dla swoich klientów.

Naszywka

Stripe pozostaje zaangażowany w umożliwienie użytkownikom bezpiecznego korzystania z produktów Stripe w ramach Magento 1. W tym celu Nexcess zachęca do zainstalowania oficjalnego modułu Stripe Magento 1, który używa Stripe.js i Elements, aby uprościć zgodność Twojej witryny z PCI. Stripe będzie nadal publikować poprawki błędów i aktualizacje zabezpieczeń dla modułu Stripe Magento 1, aby zapewnić, że to rozwiązanie jest zgodne ze standardami bezpieczeństwa danych branży kart płatniczych (PCI DSS).

Wniosek

Jak widać, osiągnięcie i utrzymanie zgodności z PCI to nie lada wyczyn. Ale dzięki odpowiednim informacjom, pomocy specjalisty ds. zgodności i Nexcess Safe Harbor firmy nadal działające na Magento 1 mogą zapewnić bezpieczeństwo danych kart kredytowych swoich klientów.