Zgodność z PCI i WooCommerce — wszystko, co musisz wiedzieć
Opublikowany: 2021-06-15Niezależnie od tego, czy tworzysz, utrzymujesz, czy prowadzisz witrynę eCommerce, musisz być świadomy swoich obowiązków związanych z bezpieczeństwem. Na szczęście istnieją standardy i przepisy, które mogą pomóc w utrzymaniu bezpieczeństwa sklepów internetowych, takich jak te zbudowane przy użyciu WooCommerce. Najważniejszym z nich jest standard bezpieczeństwa danych kart płatniczych (PCI-DSS).
Czy wszystkie witryny WooCommerce muszą być zgodne z PCI?
Nie, nie wszystkie witryny korzystające z WooCommerce muszą być zgodne z PCI-DSS. Te przepisy dotyczą firm, które akceptują płatności online kartami debetowymi i kredytowymi. PCI-DSS nie ma zastosowania, jeśli używasz WooCommerce do wyświetlania katalogu online, przyjmowania zapytań o wycenę lub umożliwienia kupującym składania zamówień, które nie obejmują online płatności.
Jaki jest cel zgodności z PCI?
PCI-DSS pomaga upewnić się, że gdy Twoi klienci WooCommerce płacą kartą płatniczą, taką jak Visa, Mastercard, American Express lub Discover, przesyłane informacje nie trafią w ręce przestępców. Przeczytaj więcej o Czym jest zgodność z przepisami i jak wpływa na bezpieczeństwo WordPress.
Kto odpowiada za zgodność z PCI?
Te standardy PCI mają zastosowanie do wszystkich organizacji, które akceptują, przesyłają i/lub przechowują dane posiadaczy kart. Dotyczy to sprzedawców, procesorów, agentów rozliczeniowych, wydawców i dostawców usług. Zasadniczo każda organizacja, która dotyka danych posiadacza karty lub poufnych danych uwierzytelniających, musi przestrzegać tych zasad.
Sprzedawcy WooCommerce są oczywiście uzależnieni od dostawców, którzy spełniają te przepisy. Obejmuje to wszystko, od hostingu zgodnego z PCI po bezpieczne bramki płatnicze i procesory. Tacy dostawcy umożliwiają nawet małym firmom i start-upom spełnienie tych wymagań bezpieczeństwa.
Co sprawia, że witryna WooCommerce jest zgodna z PCI?
Podobnie jak w przypadku większości zabezpieczeń, zachowanie zgodności z PCI wymaga od sprzedawców ciągłego podejmowania różnych kroków. Najnowsza wersja dokumentu Wymagania PCI-DSS i procedury oceny bezpieczeństwa ma 139 stron. Na szczęście wiele z nich będzie dotyczyć dostawców, takich jak podmioty przetwarzające płatności, a nie samych właścicieli witryn.
Ostatecznie poniższe kroki pomogą zapewnić, że po wypełnieniu kwestionariusza samooceny PCI (SAQ) i zeskanowaniu witryny w celu ustalenia, czy spełnia ona wymagania PCI, będzie ci znacznie łatwiej. Pomogą również chronić Twoją witrynę przed większością ataków.
Ważne rzeczy, o których należy pamiętać
- Aktualizuj swoje oprogramowanie WordPress.
- Zaktualizuj WooCommerce i wszelkie inne wtyczki i/lub rozszerzenia WordPress.
- Twoje środowisko hostingu musi mieć aktualne oprogramowanie, w tym najnowsze poprawki bezpieczeństwa.
- Skonfiguruj i utrzymuj zaporę sieciową lub wybierz hosta, który zrobi to za Ciebie. Hosty internetowe WooCommerce często współpracują z dostawcami zapory aplikacji internetowych (WAF), takimi jak Cloudflare i Sucuri, aby oferować rozwiązania zapory ogniowej, które są monitorowane 24 godziny na dobę, 7 dni w tygodniu.
- Bezpiecznie przesyłaj dane przez HTTPS, wykorzystując certyfikaty SSL.
- Uruchom skanery złośliwego oprogramowania lub wybierz hosta, który robi to na bieżąco. Upewnij się, że ktoś codziennie widzi raporty bezpieczeństwa – jeśli nie w czasie rzeczywistym.
- Przestrzegaj zasad najmniej uprzywilejowanego dostępu, udostępniając dostęp tylko tym, którzy absolutnie go potrzebują. Może to obejmować podstawowe kroki, takie jak udostępnienie administratora WordPressa tylko adresom IP umieszczonym na białej liście.
- Używaj unikalnych identyfikatorów użytkowników i silnych haseł. Przechowuj je bezpiecznie i aktualizuj hasła co najmniej co 90 dni.
- Upewnij się, że każdy administrator ma własne dane logowania — nie udostępniaj danych uwierzytelniających.
- Dbaj o bezpieczeństwo wszystkich systemów, które wchodzą w interakcję z Twoją witryną. Obejmuje to uruchamianie aktualnego oprogramowania antywirusowego na komputerach używanych do uzyskiwania dostępu do administratora WordPress.
- Hostuj inne aplikacje oddzielnie. Obejmuje to oddzielne hostowanie innych witryn internetowych i korzystanie z oddzielnego hostingu poczty e-mail. Ponadto wszelkie stare kopie witryny, a także kopie programistyczne lub tymczasowe witryny nie powinny znajdować się w środowisku hostingu produkcyjnego (na żywo).
- Wdróż systemy wykrywania włamań (IDS), aby wcześnie wykrywać naruszenia bezpieczeństwa, minimalizując skutki.
- Kontynuuj przegląd swoich zabezpieczeń, rozliczanie zmian wprowadzonych w witrynie, personelu i dostawców.
- W miarę możliwości używaj uwierzytelniania wieloskładnikowego. Rozważ dodanie rozszerzenia uwierzytelniania dwuskładnikowego WordPress (2FA), aby utrudnić hakerom dostęp do zaplecza Twojego sklepu WooCommerce.
- Prawidłowo przechowuj dzienniki i kopie zapasowe. Jest to niezwykle ważne w przypadku, gdy są one potrzebne w ramach dochodzenia w sprawie naruszenia.
Jak uzyskać certyfikat zgodności PCI?
Istnieją konkretni dostawcy, którzy świadczą tę usługę. Często dobrym pomysłem jest skontaktowanie się z operatorem płatności i dostawcą usług hostingowych, aby sprawdzić, czy oferują, zawierają lub polecają takie usługi. Istnieje jednak długa lista zatwierdzonych dostawców usług skanowania dostępnych w ramach Rady Standardów Bezpieczeństwa PCI. Pamiętaj, że nie jest to jednorazowa procedura, więc możesz mieć nadzieję na współpracę z tym dostawcą przez wiele lat.
Czy przejście skanowania PCI gwarantuje, że moja witryna WooCommerce jest bezpieczna i bezpieczna?
Oceny zgodności PCI dotyczą obserwowalnych zasad bezpieczeństwa i słabych punktów oraz koncentrują się na minimalnych nakładach na bezpieczeństwo wymaganych przez sprzedawców. Utrzymanie bezpieczeństwa po uzyskaniu przez witrynę wstępnego certyfikatu zgodności ze standardem PCI ma kluczowe znaczenie. Na przykład nadal musisz zainstalować nowe poprawki bezpieczeństwa w ciągu 30 dni od ich wydania.
Dodatkowo bardzo wskazane jest aktywne podejście do bezpieczeństwa. Zawsze zdarzają się zdarzenia zero-day — przypadki, w których wykorzystywana jest nowa luka w zabezpieczeniach. W takich przypadkach poprawki jeszcze nie istnieją. Najlepszym rozwiązaniem jest wykorzystanie podstawowych narzędzi bezpieczeństwa, takich jak system wykrywania włamań (IDS). Działa to jak alarm, dając ci możliwość szybkiego zareagowania na przypadek włamania, minimalizując to, co w przeciwnym razie mogłoby być znacznie gorszym incydentem. Ogólnie rzecz biorąc, możemy powiedzieć, że istnieje wiele powodów, dla których Twoje rozwiązanie e-commerce WordPress musi być bezpieczne.
Czy korzystanie z dostawcy PA-DSS powoduje, że witryna jest zgodna ze standardem PCI?
Podmioty przetwarzające płatności zgodne ze standardem Payment Application Data Security Standard (PA-DSS) nie zapewniają automatycznie zgodności Twojej witryny ze standardem PCI. Ani hostingi. Nawet jeśli korzystasz z procesora płatności, który zabiera kupujących poza witrynę w celu sfinalizowania transakcji, nadal masz zobowiązania. Na przykład, jeśli nie łatasz oprogramowania, a Twoja witryna WordPress jest zhakowana, złodzieje mogą zamienić Twój formularz płatności na własny formularz, aby wykraść dane karty kredytowej. Chociaż niektóre bramki płatnicze mogą obniżyć ryzyko naruszenia, nie mogą zwolnić Cię ze wszystkich obowiązków związanych z bezpieczeństwem.
Jakie są zagrożenia związane z brakiem zgodności witryny WooCommerce z PCI?
Jeśli Twoja witryna WooCommerce akceptuje karty płatnicze i nie jest zgodna z PCI, istnieje wiele zagrożeń. Możesz zostać zmuszony do uiszczenia opłat lub grzywien lub znaleźć podmioty przetwarzające płatności, które odmawiają obsługi Twojego konta – odcinając Ci możliwość przyjmowania płatności online. Właśnie dlatego zgodność z PCI DSS dla witryn e-commerce i biznesowych WordPress jest niezwykle ważna.
Gorzej, jeśli dojdzie do naruszenia bezpieczeństwa danych, nie przestrzegając przepisów PCI-DSS. Istnieją różne rodzaje grzywien i kosztów, w tym potencjalne działania prawne. To wykracza poza twoją zepsutą reputację oraz koszty dochodzenia i łagodzenia naruszenia, które mogą również powodować przestoje i utratę przychodów dla Twojego sklepu WooCommerce.
Po naruszeniu może się okazać, że akceptowanie kart płatniczych jest znacznie trudniejsze i/lub bardziej kosztowne, jeśli znajdziesz sprzedawcę, który chce Ci pomóc. To naprawdę zależy od szczegółów, ale jeśli okaże się, że jesteś osobą wysokiego ryzyka, ponieważ nie przestrzegasz podstawowych standardów bezpieczeństwa, może to mieć poważne konsekwencje dla Twojej firmy.
Czy są dostawcy, którzy specjalizują się we wspieraniu sprzedawców WooCommerce w zakresie zgodności z PCI?
Tak! Na przykład, zamiast zlecać klientom przesyłanie danych karty płatniczej, które zachowujesz, istnieje wiele różnych bramek płatniczych, które mogą bezpiecznie przesyłać dane karty kredytowej. Należą do nich dostawcy rozwiązań, tacy jak Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe i nie tylko!
Istnieje również więcej unikalnych bramek płatności, które oferują kupującym unikalne opcje, takie jak Affirm, Bread, Katapult, Klarna, Sezzle i ViaBill, które oferują konsumentom opcje kup teraz, zapłać później, oraz Bolt, który zastępuje kasę WooCommerce wysoce zoptymalizowane doświadczenie w kasie. Istnieją nawet rozwiązania płatnicze B2B, takie jak PayStand i Apruve.
Podobnie istnieją hosty internetowe, które specjalizują się w utrzymywaniu bezpieczeństwa środowiska hostingowego eCommerce. Podczas gdy wiele platform wspomina o zgodności z PCI, warto zwracać uwagę na skanowanie złośliwego oprogramowania, zapory sieciowe aplikacji internetowych, wykrywanie włamań, monitorowanie 24/7 i inne czynniki, którymi możesz potrzebować zaufanego dostawcy do zarządzania.
Wniosek
Zbudowanie sklepu WooCommerce jest stosunkowo łatwe, ale bez odpowiednich bieżących praktyk bezpieczeństwa sklep ten nie będzie zabezpieczony przed hakerami. Jeśli sklep akceptuje karty płatnicze, właściciele witryn są odpowiedzialni za zgodność ze standardem PCI i muszą wybrać również dostawców, którzy są z nimi zgodni. Na szczęście jest wielu świetnych dostawców do wyboru, dzięki którym przestrzeganie przepisów PCI-DSS jest całkiem bezbolesne.