Como o Nexcess ajuda sua loja a ficar em conformidade com PCI

Publicados: 2022-06-30

Ter uma loja compatível com PCI requer esforços contínuos tanto de você quanto de seu provedor de hospedagem. Embora não existam atalhos, escolher um provedor de hospedagem na web confiável é um ponto de partida eficaz. Mesmo assim, a maioria dos requisitos PCI só podem ser atendidos por você, o comerciante. Continue lendo para saber mais sobre a linha divisória entre host e comerciante e por que pode valer a pena ir além do PCI para seus clientes.

Você está procurando por hospedagem compatível com PCI? Visite nossa página de conformidade com PCI para saber mais.

O que é PCI?

próximo cofre trancado No comércio eletrônico, PCI é uma abreviação de Payment Card Industry Data Security Standards (PCI DSS). Criado em 2004, o PCI DSS visa ajudar a proteger os consumidores e prevenir fraudes de cartão de crédito. É necessário para qualquer organização que receba, processe ou armazene dados de cartão de crédito de qualquer um dos cinco membros do PCI Security Council : VISA, MasterCard, American Express, Discover e JCB.

A lista de requisitos é extensa, para dizer o mínimo. Os requisitos abrangem seis categorias e cada categoria é dividida em várias centenas de requisitos específicos. Alguns caem exclusivamente sob o domínio de comerciantes ou provedores de hospedagem, enquanto alguns se estendem a ambos. A conformidade com o PCI também não é um requisito único, pois o Conselho de Segurança faz ajustes periódicos para lidar com novas ameaças aos consumidores.

A conformidade não é um evento “concluído”. Requer tarefas diárias, semanais, mensais e anuais para manter a conformidade. Existem 12 requisitos gerais divididos em seis categorias. Para fins ilustrativos, listamos essas mesmas categorias, mas também incluímos requisitos mais específicos do PCI DSS.

6 categorias-chave para conformidade com PCI

Construir e manter uma rede segura. Instale e mantenha um firewall. Use senhas exclusivas e de alta segurança com cuidado especial para substituir as senhas padrão.

Proteja os dados do titular do cartão. Sempre que possível, não armazene os dados do titular do cartão. Se houver uma necessidade comercial de armazenar dados do titular do cartão, você deverá proteger esses dados. Criptografe todos os dados transmitidos por redes públicas, incluindo dados transmitidos entre seu carrinho de compras, seu provedor de hospedagem na Web e seus clientes.

Manter um programa de gerenciamento de vulnerabilidades. Use um software antivírus e mantenha-o atualizado. Desenvolver e manter sistemas operacionais e aplicativos de pagamento seguros. Certifique-se de que seus aplicativos de software antivírus sejam compatíveis com as empresas de cartão escolhidas.

Implemente medidas fortes de controle de acesso. O acesso aos dados do titular do cartão, tanto eletrônicos quanto físicos, deve ser feito de acordo com a necessidade. Certifique-se de que as pessoas com acesso eletrônico tenham um ID e senha exclusivos. Não permita que as pessoas compartilhem credenciais de login. Eduque você e seus funcionários sobre segurança de dados e, especificamente, sobre o PCI Data Security Standard (DSS).

Monitore e teste regularmente as redes. Acompanhe e monitore todo o acesso a redes e dados do titular do cartão. Mantenha um cronograma regular de testes para sistemas e processos de segurança, incluindo: firewalls, patches, servidores web, servidores de e-mail e antivírus.

Manter uma política de segurança da informação. Estabeleça uma política de segurança de dados organizacional clara e completa. Divulgue e atualize esta política regularmente.

A não conformidade com o PCI pode resultar em multas que variam de US$ 5.000 a US$ 100.000 por mês, dependendo do tamanho da organização infratora, sua gravidade e outros fatores. A não conformidade também pode resultar em ações legais, violações de segurança e perda de receita.

Requisitos PCI para provedores de hospedagem

monitoramento de excesso É praticamente impossível para o comerciante típico ser compatível com PCI sem contratar os serviços de um provedor de hospedagem compatível. Os comerciantes que hospedam seus próprios sites devem atender aos requisitos do provedor de hospedagem, além de atender aos requisitos dos comerciantes. Esse modelo funciona para grandes empresas como Amazon e WalMart, mas poucas outras.

A seguir estão alguns dos destaques de nossos sistemas e políticas que sustentam nosso status como um provedor de hospedagem compatível com PCI. O termo “ambiente de dados do titular do cartão” refere-se a qualquer sistema que armazene, processe ou transmita dados do cartão de crédito, bem como qualquer sistema que tenha acesso ao próprio ambiente de dados do titular do cartão.

Mantemos um firewall de aplicação web (WAF), que monitora todas as conexões entre o ambiente de dados do titular do cartão e outras redes. O ModSec proíbe o acesso público a áreas sensíveis, identifica conexões não confiáveis ​​e oculta endereços IP e informações de roteamento de partes não autorizadas.

Aplicamos padrões de configuração aceitos pelo setor para todos os componentes do sistema que abordam todas as vulnerabilidades de segurança conhecidas . Isso se estende à nossa rede interna e externa, nossos sistemas operacionais e hardware necessário para hospedar serviços da web.

Aplicamos protocolos de criptografia e segurança que criptografam e protegem os dados do titular do cartão, mesmo quando transmitidos em redes públicas. Certificados SSL e outras chaves de segurança confiáveis ​​são aplicadas unilateralmente. Somente cifras TLS modernas são permitidas.

Restringimos o acesso físico ao nosso data center com políticas de segurança 24 horas e equipe treinada para implementá-las. Isso inclui, mas não se limita a:

  • Vigilância por vídeo com histórico de filmagem de 90 dias
  • Entrada segura com pelo menos autenticação de dois fatores (PIN, cartão de acesso) na maioria das áreas e autenticação de três fatores (PIN, cartão de acesso, impressão digital) nas áreas que abrigam o ambiente de dados do titular do cartão
  • Identificação visível em todos os membros da equipe
  • Política de visitantes que impede o acesso público não autorizado; indivíduos externos autorizados têm acesso apenas às áreas necessárias e são escoltados em todos os momentos
  • Os membros da equipe têm acesso ao ambiente de dados do titular do cartão somente se sua função exigir
  • Acesso restrito a tomadas de rede, pontos de acesso sem fio, gateways, redes e outras linhas de comunicação

Nós rastreamos e monitoramos o acesso a recursos de rede e dados do titular do cartão , embora caiba aos clientes manter os logs e monitorar os logins de seus próprios aplicativos (Magento, WordPress e assim por diante).

Testamos regularmente nossos sistemas e processos de segurança e realizamos testes de penetração internos em intervalos regulares, bem como após qualquer atualização significativa da infraestrutura.

Requisitos PCI para comerciantes

Loja segura com Nexcess Devidamente implementado, a conformidade com PCI ajuda os comerciantes a aderir às melhores práticas comumente aceitas de segurança de dados. Hospedar com um provedor compatível com PCI é um primeiro passo sólido, mas tornar-se compatível ainda requer ação de sua parte.

Se sua loja aceita cartões de crédito como pagamento, ela deve ser compatível com PCI, quer você armazene esses dados ou não. Escolher um host compatível com PCI é apenas o primeiro passo. Os hosts da web mais confiáveis ​​podem fornecer aos comerciantes materiais descrevendo suas respectivas responsabilidades mediante solicitação, mas, em última análise, cabe aos comerciantes entender e atender a esses requisitos.

Lamentavelmente, não existe uma lista de verificação “tamanho único”. Suas responsabilidades específicas variam de acordo com seu nível de comerciante (1 a 4, sendo 1 o mais alto), que geralmente é determinado pelo número de transações de cartão de crédito que sua loja processa anualmente.

O processo geral para a maioria dos comerciantes é:

  1. Identifique, entenda e implemente os requisitos apropriados do PCI DSS.
  2. Preencha um Questionário de Autoavaliação (SAQ). O SAQ é uma lista de verificação que descreve os requisitos. Dependendo do seu nível, alguns ou todos eles se aplicarão a você. Os comerciantes de nível 1 têm mais requisitos; nível 4, o mínimo.
    Resista à tentação de simplesmente “marcar todas as caixas” no SAQ. Fazer isso coloca seus clientes em risco e expõe sua empresa a responsabilidades. O PCI pode perder dinheiro com violações e, em resposta, pode investigar seu SAQ e AOC.
  3. Submeta-se a uma verificação trimestral por um Fornecedor de Verificação Aprovado (ASV) , uma autoridade independente e qualificada que realiza verificações de vulnerabilidades externas em seus sistemas.
  4. Preencha o Atestado de Conformidade (AOC), um documento afirmando que você é elegível para realizar e de fato executou o SAQ da melhor maneira possível.
  5. Se classificado como um comerciante de nível 1, você deve realizar etapas adicionais, incluindo uma avaliação no local.

Se escalar o obstáculo considerável da conformidade com o PCI não lhe agrada, você não está sozinho. Seu provedor de hospedagem pode responder a perguntas relacionadas à responsabilidade sobreposta, e os Avaliadores de Segurança Qualificados (QSAs) de terceiros podem ajudar as empresas a executar o desafio PCI (por um preço).

Mesmo as empresas que oferecem apenas PayPal, Auth.net e outros serviços de pagamento como opções de pagamento devem ser compatíveis com PCI porque essas empresas ainda devem transmitir dados de cartão de crédito.

Um componente universal é a necessidade de confirmar que todos os seus provedores de serviços são compatíveis com PCI. Isso inclui seu provedor de hospedagem, mas também se estende a processadores de pagamento, gateways de pagamento, provedores de PDV e quaisquer outras entidades que toquem nos dados do titular do cartão de seus clientes.

Alguns fundamentos do PCI para comerciantes

  • Manter a conformidade com PCI. A conformidade requer conscientização contínua e aplicação diária. As tarefas variam entre diárias e anuais, mas todas são recorrentes.
  • Não marque apenas “Sim” para todas as perguntas do SAQ . A due diligence protege sua empresa e seus clientes.
  • Conheça seu código ou use um desenvolvedor que faça . Implemente as melhores práticas de implantação usando sites de teste e desenvolvimento sem exceção.
  • Estabeleça uma política de senha segura. Use senhas complexas e exclusivas e nunca permita que sua equipe compartilhe credenciais de login ou use senhas padrão.
  • Habilite a autenticação de dois fatores para todos os seus usuários internos e considere fornecê-la como uma opção para os clientes que fizerem login no seu site.
  • Use um firewall de aplicativo da Web (WAF) . Na Nexcess, fornecemos um para todos os clientes e está habilitado por padrão.
  • Não acredite apenas na palavra do seu provedor de hospedagem. Confirme se eles são compatíveis com PCI e são competentes solicitando (e obtendo) seu Atestado de Conformidade (AOC).
  • Mantenha seus aplicativos e extensões atualizados com a versão estável mais recente e monitore ativamente novas ameaças e versões .

Além do PCI

Se a conformidade com o PCI fosse suficiente, as violações de organizações de alto perfil seriam muito menos comuns. Complacente não deve significar complacente.

Na realidade, a conformidade com o PCI é “Segurança de dados do titular do cartão 101”. É o padrão mínimo aceitável e uma introdução razoável, mas o PCI está longe de ser infalível. As empresas de cartão de crédito exigem conformidade. Os comerciantes que aderem aos padrões PCI serão mais eficazes na proteção dos consumidores do que as empresas que apenas lhes prestam serviços da boca para fora, mas a conformidade com o PCI é apenas o primeiro passo.

A própria natureza do PCI — um documento grande e com curadoria, atualizado apenas periodicamente — o torna vulnerável. Padrões considerados suficientes na versão “atual” são frequentemente expostos como inadequados. Pode levar meses ou até anos para o PCI “acompanhar”, e os maus atores estão bem cientes de suas limitações.

A melhor proteção é o conhecimento. Na Nexcess, temos membros da equipe especializados em segurança da Web que se mantêm bem informados sobre as mais recentes ameaças, violações e contramedidas. Muitos comerciantes podem relutar em contratar os serviços de um especialista em segurança. No mínimo, recomendamos assinar as notificações de segurança para seu aplicativo de comércio eletrônico e seguir pelo menos uma fonte confiável de notícias de segurança da Web. Ambas as fontes reagem muito mais rápido do que o PCI, e segui-las ajudará você a “encontrar a fumaça” antes que ela se torne um incêndio.

Estamos na Lista!

Não se esqueça, estamos “na lista” de fornecedores compatíveis com PCI reconhecidos oficialmente pelo Visa Global Registry. Isso significa que mostramos um compromisso contínuo em revisar e melhorar nossas políticas de segurança para atender e superar os requisitos de conformidade com PCI. Se você está procurando um provedor compatível com PCI, hospedar com Nexcess significa que você está hospedando com um provedor aprovado e reconhecido. Saiba mais sobre a hospedagem compatível com PCI com Nexcess.

Para obter orientação sobre conformidade com PCI, entre em contato com nossa equipe de vendas entre 9h e 17h, horário do leste, de segunda a sexta-feira.