Jak Nexcess pomaga Twojemu sklepowi zachować zgodność z PCI

Opublikowany: 2022-06-30

Posiadanie sklepu zgodnego z PCI wymaga ciągłych wysiłków zarówno Ciebie, jak i Twojego dostawcy usług hostingowych. Chociaż nie ma skrótów, wybór wiarygodnego dostawcy usług hostingowych jest skutecznym miejscem do rozpoczęcia. Mimo to większość wymagań PCI może być spełniona tylko przez Ciebie, sprzedawcę. Czytaj dalej, aby dowiedzieć się więcej o linii podziału między hostem a sprzedawcą i dlaczego warto wyjść poza PCI dla swoich klientów.

Szukasz hostingu zgodnego z PCI? Odwiedź naszą stronę zgodności PCI, aby dowiedzieć się więcej.

Co to jest PCI?

koniecznie zamknięty sejf W e-commerce, PCI to skrót od Payment Card Industry Data Security Standards (PCI DSS). Utworzony w 2004 roku, PCI DSS ma na celu ochronę konsumentów i zapobieganie oszustwom związanym z kartami kredytowymi. Jest wymagany dla każdej organizacji, która otrzymuje, przetwarza lub przechowuje dane kart kredytowych któregokolwiek z pięciu członków Rady Bezpieczeństwa PCI : VISA, MasterCard, American Express, Discover i JCB.

Lista wymagań jest, delikatnie mówiąc, obszerna. Wymagania obejmują sześć kategorii, a każda kategoria jest podzielona na kilkaset szczegółowych wymagań. Niektóre należą wyłącznie do domeny sprzedawców lub dostawców usług hostingowych, podczas gdy inne obejmują obie. Zgodność z PCI również nie jest jednorazowym wymogiem, ponieważ Rada Bezpieczeństwa dokonuje okresowych korekt w celu przeciwdziałania nowym zagrożeniom dla konsumentów.

Zgodność nie jest jednorazowym wydarzeniem. Wymaga codziennych, tygodniowych, miesięcznych i rocznych zadań, aby zachować zgodność. Istnieje 12 ogólnych wymagań podzielonych na sześć kategorii. W celach ilustracyjnych wymieniliśmy te same kategorie, ale uwzględniliśmy również bardziej szczegółowe wymagania z PCI DSS.

6 kluczowych kategorii zgodności z PCI

Zbuduj i utrzymuj bezpieczną sieć. Zainstaluj i konserwuj zaporę. Używaj unikalnych haseł o wysokim poziomie bezpieczeństwa, zwracając szczególną uwagę na zastępowanie haseł domyślnych.

Chroń dane posiadaczy kart. Jeśli to możliwe, nie przechowuj danych posiadacza karty. Jeśli istnieje potrzeba biznesowa przechowywania danych posiadacza karty, musisz chronić te dane. Szyfruj wszelkie dane przesyłane w sieciach publicznych, w tym dane przesyłane między koszykiem zakupów, dostawcą usług hostingowych i klientami.

Utrzymuj program zarządzania podatnościami. Korzystaj z oprogramowania antywirusowego i aktualizuj je. Twórz i utrzymuj bezpieczne systemy operacyjne i aplikacje płatnicze. Upewnij się, że Twoje aplikacje antywirusowe są zgodne z wybranymi firmami obsługującymi karty.

Wdróż silne środki kontroli dostępu. Dostęp do danych posiadacza karty, zarówno w formie elektronicznej, jak i fizycznej, powinien odbywać się na zasadzie konieczności posiadania wiedzy. Upewnij się, że osoby z dostępem elektronicznym mają unikalny identyfikator i hasło. Nie zezwalaj innym na udostępnianie danych logowania. Kształć siebie i swoich pracowników w zakresie bezpieczeństwa danych, a w szczególności standardu bezpieczeństwa danych PCI (DSS).

Regularnie monitoruj i testuj sieci. Śledź i monitoruj cały dostęp do sieci i danych posiadaczy kart. Utrzymuj harmonogram regularnych testów systemów i procesów bezpieczeństwa, w tym: zapór, łatek, serwerów WWW, serwerów poczty e-mail i programów antywirusowych.

Utrzymuj politykę bezpieczeństwa informacji. Ustal przejrzystą i dokładną politykę bezpieczeństwa danych w organizacji. Regularnie rozpowszechniaj i aktualizuj niniejszą politykę.

Niezgodność z PCI może skutkować karami w wysokości od 5000 do 100 000 USD miesięcznie, w zależności od wielkości organizacji, która wykroczyła, jej wagi i innych czynników. Niezgodność może również skutkować podjęciem kroków prawnych, naruszeniem bezpieczeństwa i utratą dochodów.

Wymagania PCI dla dostawców usług hostingowych

konieczne monitorowanie Jest praktycznie niemożliwe, aby typowy sprzedawca był zgodny z PCI bez korzystania z usług zgodnego dostawcy hostingu. Sprzedawcy, którzy hostują własne witryny, oprócz spełnienia wymagań sprzedawców, muszą spełniać wymagania dostawcy usług hostingowych. Taki model działa w przypadku ogromnych przedsiębiorstw, takich jak Amazon i WalMart, ale kilku innych.

Poniżej przedstawiamy niektóre z najważniejszych cech naszych systemów i zasad, które podtrzymują nasz status dostawcy hostingu zgodnego z PCI. Termin „środowisko danych posiadacza karty” odnosi się do dowolnego systemu, który przechowuje, przetwarza lub przesyła dane karty kredytowej, a także do każdego systemu, który ma dostęp do samego środowiska danych posiadacza karty.

Utrzymujemy zaporę sieciową aplikacji internetowej (WAF), która monitoruje wszystkie połączenia między środowiskiem danych posiadacza karty a innymi sieciami. ModSec zabrania publicznego dostępu do wrażliwych obszarów, identyfikuje niezaufane połączenia oraz ukrywa adresy IP i informacje o routingu przed nieautoryzowanymi stronami.

Stosujemy uznane w branży standardy konfiguracji dla wszystkich składników systemu, które usuwają wszystkie znane luki w zabezpieczeniach . Dotyczy to naszej sieci wewnętrznej i zewnętrznej, naszych systemów operacyjnych i sprzętu wymaganego do hostowania usług internetowych.

Stosujemy protokoły kryptograficzne i bezpieczeństwa, które szyfrują i chronią dane posiadaczy kart, nawet gdy są przesyłane przez sieci publiczne. Certyfikaty SSL i inne zaufane klucze bezpieczeństwa są wymuszane jednostronnie. Dozwolone są tylko nowoczesne szyfry TLS.

Ograniczamy fizyczny dostęp do naszego centrum danych za pomocą 24-godzinnych zasad bezpieczeństwa i zespołu przeszkolonego w ich wdrażaniu. Obejmuje to między innymi:

  • Nadzór wideo z 90-dniową historią nagrań
  • Bezpieczny wpis z uwierzytelnianiem co najmniej dwuskładnikowym (PIN, karta dostępu) w większości obszarów i uwierzytelnianiem trójskładnikowym (PIN, karta dostępu, odcisk palca) w obszarach, w których znajduje się środowisko danych posiadacza karty
  • Widoczna identyfikacja na wszystkich członkach zespołu
  • Zasady dotyczące odwiedzających, które zapobiegają nieautoryzowanemu dostępowi publicznemu; upoważnione osoby zewnętrzne mają dostęp tylko do wymaganych obszarów i są przez cały czas eskortowane
  • Członkowie zespołu mają dostęp do środowiska danych posiadacza karty tylko wtedy, gdy wymaga tego ich rola
  • Ograniczony dostęp do gniazd sieciowych, punktów dostępu bezprzewodowego, bram, sieci i innych linii komunikacyjnych

Śledzimy i monitorujemy dostęp do zasobów sieciowych i danych posiadaczy kart , chociaż to do klientów należy prowadzenie dzienników i monitorowanie logowania do własnych aplikacji (Magento, WordPress itd.).

Regularnie testujemy nasze systemy i procesy bezpieczeństwa oraz przeprowadzamy wewnętrzne testy penetracyjne w regularnych odstępach czasu, a także po każdej znaczącej modernizacji infrastruktury.

Wymagania PCI dla handlowców

Bezpieczny sklep z Nexcess Prawidłowo wdrożona zgodność z PCI pomaga sprzedawcom przestrzegać powszechnie akceptowanych najlepszych praktyk w zakresie bezpieczeństwa danych. Hosting u dostawcy zgodnego z PCI to solidny pierwszy krok, ale uzyskanie zgodności nadal wymaga działania z Twojej strony.

Jeśli Twój sklep akceptuje karty kredytowe jako płatności, musi być zgodny z PCI, niezależnie od tego, czy przechowujesz te dane, czy nie. Wybór hosta sieciowego zgodnego ze standardem PCI to dopiero pierwszy krok. Większość wiarygodnych hostów internetowych może na żądanie dostarczyć sprzedawcom materiały opisujące ich obowiązki, ale ostatecznie to sprzedawcy muszą zrozumieć i spełnić te wymagania.

Niestety, nie ma listy kontrolnej „jeden rozmiar dla wszystkich”. Twoje konkretne obowiązki będą się różnić w zależności od poziomu sprzedawcy (1-4, gdzie 1 to najwyższy), który jest zazwyczaj określany przez liczbę transakcji kartą kredytową, które Twój sklep przetwarza rocznie.

Ogólny proces dla większości sprzedawców to:

  1. Zidentyfikuj, zrozum i zaimplementuj odpowiednie wymagania PCI DSS.
  2. Wypełnij kwestionariusz samooceny (SAQ). SAQ to lista kontrolna określająca wymagania. W zależności od poziomu, niektóre lub wszystkie z nich będą dotyczyć Ciebie. Najwięcej wymagań mają kupcy poziomu 1; poziom 4, najmniej.
    Oprzyj się pokusie, aby po prostu „zaznaczyć każde pole” w kwestionariuszu samooceny. Takie postępowanie zagraża Twoim klientom i naraża Twoją firmę na odpowiedzialność. PCI może stracić pieniądze z powodu naruszeń iw odpowiedzi może zbadać twoje SAQ i AOC.
  3. Poddaj się skanowaniu kwartalnemu przez Zatwierdzonego Dostawcę Skanowania (ASV) , niezależny, wykwalifikowany urząd, który przeprowadza zewnętrzne skanowanie pod kątem luk w Twoich systemach.
  4. Wypełnij Atest Zgodności (AOC), dokument potwierdzający, że zarówno jesteś uprawniony do wykonania, jak i faktycznie wykonałeś SAQ najlepiej jak potrafisz.
  5. Jeśli zostaniesz sklasyfikowany jako sprzedawca poziomu 1, musisz podjąć dodatkowe kroki, w tym ocenę na miejscu.

Jeśli pokonywanie znacznej przeszkody w zakresie zgodności z PCI nie przemawia do Ciebie, nie jesteś sam. Twój dostawca usług hostingowych może odpowiedzieć na pytania związane z nakładaniem się odpowiedzialności, a zewnętrzni kwalifikowani specjaliści ds. oceny bezpieczeństwa (QSA) mogą pomóc firmom w przeprowadzeniu rękawicy PCI (za opłatą).

Nawet firmy oferujące tylko PayPal, Auth.net i inne usługi płatnicze jako opcje płatności muszą być zgodne z PCI, ponieważ firmy te nadal muszą przesyłać dane karty kredytowej.

Jednym z uniwersalnych elementów jest konieczność potwierdzenia, że ​​wszyscy dostawcy usług spełniają wymagania PCI. Obejmuje to dostawcę usług hostingowych, ale obejmuje również podmioty przetwarzające płatności, bramki płatnicze, dostawców POS i wszelkie inne podmioty, które mają kontakt z danymi posiadaczy kart Twoich klientów.

Niektóre podstawowe elementy PCI dla sprzedawców

  • Zachowaj zgodność z PCI. Zgodność wymaga ciągłej świadomości i codziennego stosowania. Zadania wahają się od dziennych do rocznych, ale wszystkie się powtarzają.
  • Nie zaznaczaj „Tak” przy każdym pytaniu w kwestionariuszu samooceny . Należyta staranność chroni Twoją firmę i Twoich klientów.
  • Poznaj swój kod lub skorzystaj z usług programisty, który to robi . Implementuj najlepsze praktyki wdrażania przy użyciu witryn testowych i witryn deweloperskich bez wyjątku.
  • Stwórz bezpieczną politykę haseł. Używaj skomplikowanych, unikalnych haseł i nigdy nie pozwalaj swoim pracownikom na udostępnianie danych logowania ani na używanie haseł domyślnych.
  • Włącz uwierzytelnianie dwuskładnikowe dla wszystkich użytkowników wewnętrznych i rozważ udostępnienie go jako opcji dla klientów logujących się w Twojej witrynie.
  • Użyj zapory sieciowej (WAF) . W Nexcess zapewniamy jeden dla wszystkich klientów i jest on domyślnie włączony.
  • Nie wierz tylko na słowo dostawcy usług hostingowych. Potwierdź, że są zgodne z PCI i są kompetentne, prosząc o (i uzyskując) ich zaświadczenie o zgodności (AOC).
  • Aktualizuj swoje aplikacje i rozszerzenia do najnowszej stabilnej wersji oraz aktywnie monitoruj pod kątem nowych zagrożeń i wersji .

Poza PCI

Gdyby zgodność z PCI była wystarczająca, naruszenia głośnych organizacji byłyby znacznie rzadsze. Zgodny nie powinien oznaczać samozadowolenia.

W rzeczywistości zgodność z PCI to „Bezpieczeństwo danych posiadacza karty 101”. Jest to minimalny akceptowalny standard i rozsądne wprowadzenie, ale PCI nie jest nieomylna. Firmy obsługujące karty kredytowe wymagają zgodności. Sprzedawcy stosujący się do standardów PCI będą bardziej skuteczni w ochronie konsumentów niż firmy, które po prostu ich deklarują, ale zgodność z PCI to tylko pierwszy krok.

Sama natura PCI — dużego, wyselekcjonowanego dokumentu aktualizowanego tylko okresowo — sprawia, że ​​jest on podatny na ataki. Normy uznane za wystarczające w „aktualnej” wersji są często przedstawiane jako nieodpowiednie. Może minąć kilka miesięcy, a nawet lat, zanim PCI „nadrobi zaległości”, a źli aktorzy doskonale zdają sobie sprawę z jej ograniczeń.

Najlepszą ochroną jest wiedza. W Nexcess mamy członków zespołu specjalizujących się w bezpieczeństwie sieciowym, którzy dobrze znają najnowsze zagrożenia, naruszenia i środki zaradcze. Wielu sprzedawców niechętnie korzysta z usług eksperta ds. bezpieczeństwa. Zalecamy przynajmniej zasubskrybowanie powiadomień dotyczących bezpieczeństwa dla Twojej aplikacji e-commerce i śledzenie co najmniej jednego wiarygodnego źródła wiadomości o bezpieczeństwie sieciowym. Oba źródła reagują znacznie szybciej niż PCI, a podążanie za nimi pomoże ci „dostrzec dym”, zanim stanie się ogniem.

Jesteśmy na Liście!

Nie zapominaj, że jesteśmy „na liście” dostawców zgodnych z PCI, oficjalnie uznanych przez Visa Global Registry. Oznacza to, że wykazaliśmy się nieustannym zaangażowaniem w przeglądanie i ulepszanie naszych zasad bezpieczeństwa w celu dopasowania i przewyższenia wymagań zgodności PCI. Jeśli szukasz dostawcy zgodnego z PCI, hosting z Nexcess oznacza, że ​​korzystasz z usług zatwierdzonego i uznanego dostawcy. Dowiedz się więcej o hostingu zgodnym z PCI z Nexcess.

Aby uzyskać wskazówki dotyczące zgodności z PCI, skontaktuj się z naszym zespołem sprzedaży w godzinach 9:00–17:00 czasu wschodniego, od poniedziałku do piątku.