Realizarea și menținerea cerințelor de conformitate PCI

Publicat: 2022-06-30

Dacă afacerea dvs. Magento 1 gestionează informații despre cardul de credit, este posibil să fiți deja la curent cu cele peste 300 de cerințe de securitate din PCI DSS. Dacă nu sunteți familiarizat, acest articol va acoperi câteva dintre elementele de bază și va oferi resurse pentru certificarea conformității.

Fondată în 2006 de American Express, Discover, JCB International, Mastercard și Visa, Standardele de securitate a datelor din industria cardurilor de plată (PCI DSS) stabilesc standardul minim pentru securitatea datelor în jurul procesării tranzacțiilor cu cardul de credit. Ajută la reducerea fraudei și a încălcării datelor în ecosistemul de plăți și se aplică oricărei organizații care acceptă sau procesează plăți prin carduri de credit.

Conformitate PCI DSS

Conformitatea PCI DSS implică trei reguli principale:

  1. Datele sensibile ale cardurilor de credit de la consumatori ar trebui colectate și transmise în siguranță
  2. Aceste date trebuie stocate în siguranță prin utilizarea criptării, monitorizării continue și testării de securitate a accesului la datele cardului.
  3. Pe o bază anuală, validarea faptului că controalele de securitate necesare sunt în vigoare

Date sensibile de la consumatori

Companiile care manipulează datele cardurilor pot fi obligate să îndeplinească fiecare dintre cele peste 300 de controale de securitate din PCI DSS. Chiar dacă datele cardului traversează infrastructura unei afaceri doar pentru un moment, compania ar trebui să achiziționeze, să implementeze și să întrețină software și hardware de securitate.

Dacă o companie nu trebuie să gestioneze datele sensibile ale cardului de credit, nu ar trebui. Soluțiile de la terțe părți (cum ar fi Stripe) acceptă și stochează în siguranță datele cardului de credit, eliminând complexitatea, costurile și riscurile considerabile. Dacă datele cardului nu ating niciodată serverele companiei dvs., ar trebui să confirmați doar 22 de controale de securitate relativ simple, cum ar fi folosirea parolelor puternice.

Stocați datele în siguranță

Dacă o organizație manipulează sau stochează datele cardului de credit, trebuie să definească domeniul de aplicare al mediului său de date deținătorului de card (CDE). PCI DSS definește CDE ca fiind oamenii, procesele și tehnologiile care stochează, procesează sau transmit datele cardului de credit sau orice sistem conectat la acesta.

Deoarece toate cele peste 300 de cerințe de securitate din PCI DSS se aplică pentru CDE, este important să segmentați în mod corespunzător mediul de plată față de restul afacerii, pentru a limita domeniul de aplicare al validării PCI. Dacă o organizație nu poate conține domeniul de aplicare CDE, controalele de securitate PCI s-ar aplica pentru fiecare sistem, laptop și dispozitiv din rețeaua sa corporativă. Nimeni nu are timp pentru asta.

O revizuire anuală a controalelor de securitate necesare

Indiferent de modul în care sunt acceptate datele cardului, organizațiile care gestionează plățile cu cardul de credit trebuie să completeze anual un formular de validare PCI pentru a menține conformitatea.

12 Cerințe principale pentru PCI DSS

Cele mai recente standarde de securitate, PCI DSS versiunea 3.2.1, includ 12 cerințe principale cu peste 300 de sub-cerințe care reflectă cele mai bune practici de securitate.

Aceste 12 cerințe principale sunt:

  1. Instalați și mențineți o configurație de firewall pentru a proteja informațiile deținătorului cardului
  2. Nu utilizați niciodată valorile prestabilite furnizate de furnizor pentru parolele de sistem și alți parametri de securitate
  3. Protejați datele stocate ale titularului de card
  4. Criptați transmisia datelor deținătorului cardului prin rețele publice sau deschise
  5. Protejați toate sistemele împotriva programelor malware și actualizați regulat software-ul antivirus
  6. Dezvoltați și mențineți sisteme și aplicații securizate
  7. Restricționați accesul la datele deținătorului cardului
  8. Identificați și autentificați accesul la componentele sistemului
  9. Restricționați accesul fizic la datele deținătorului cardului
  10. Urmăriți și monitorizați întregul acces la resursele de rețea și datele deținătorilor de card
  11. Testați în mod regulat sistemele și procesele de securitate
  12. Mențineți o politică care abordează securitatea informațiilor pentru toți angajații

Noile companii pot valida conformitatea PCI prin intermediul a nouă chestionare de autoevaluare, fiecare dintre ele un subset al întregii cerințe PCI DSS. Dificultatea vine din încercarea de a-ți da seama ce cerințe sunt necesare pentru afacerea ta . Unele companii vor angaja un auditor aprobat de Consiliul PCI pentru a se asigura că fiecare cerință PCI DSS a fost îndeplinită. Și ca și cum acest lucru nu ar fi suficient de complicat – Consiliul PCI revizuiește regulile la fiecare trei ani și lansează actualizări în fiecare an. Cum pot companiile să-și securizeze datele cărților de credit și să mențină conformitatea PCI având în vedere acești factori?

Modalități de asigurare

Există o serie de modalități acceptate de a vă asigura site-ul web cu cerințele PCI DSS, de la angajarea unei companii de evaluator de securitate calificat (QSA), până la utilizarea procesului PCI în 3 etape și prin Nexcess Safe Harbor în parteneriat cu Stripe.

1. Un evaluator de securitate calificat

Un evaluator de securitate calificat este o firmă de securitate a datelor care este calificată de Consiliul PCI pentru a efectua evaluări la fața locului a standardului de securitate a datelor PCI. Un evaluator va verifica toate informațiile tehnice furnizate de comerciant sau furnizorul de servicii și va folosi o judecată independentă pentru a confirma că standardul a fost îndeplinit. O listă a companiilor de evaluator de securitate calificat (QSA) poate fi găsită aici.

2. Procesul PCI în 3 etape

  1. Evaluări Identificarea datelor deținătorilor de carduri, realizarea unui inventar al activelor IT și al proceselor de afaceri pentru procesarea cardurilor de plată și analizarea acestora pentru vulnerabilități.
  2. Remediați Remedierea vulnerabilităților și eliminarea stocării datelor deținătorilor de card, dacă nu este absolut necesar.
  3. Raport Compilarea și transmiterea rapoartelor solicitate către băncile achizitoare și mărcile de carduri corespunzătoare.

3. Port sigur

Magento 1 a ajuns la sfârșitul vieții în iunie 2020, punând mii de site-uri de comerț electronic într-o zonă gri de conformitate atunci când Adobe a încetat să mai emită actualizări oficiale de securitate.

În timp ce aplicația de comerț electronic în sine reprezintă doar o mică parte din ceea ce presupune cu adevărat conformitatea PCI, pentru comercianții care își desfășoară în continuare site-urile de comerț electronic pe Magento 1, lucrul important de reținut este că nu vor mai exista corecții și actualizări de securitate emise pentru platformă. Sunt pe cont propriu, cu excepția cazului în care au investit într-o soluție precum Nexcess Safe Harbor. Vă sugerăm cu tărie să verificați Stripe, care se angajează să-și mențină modulul Magento 1 pentru clienții săi.

Dunga

Stripe își menține angajamentul de a permite utilizatorilor să utilizeze în siguranță produsele Stripe în Magento 1. În acest scop, Nexcess vă încurajează să instalați modulul oficial Magento 1 al Stripe, care utilizează Stripe.js și Elements pentru a simplifica conformitatea site-ului dvs. PCI. Stripe va continua să lanseze remedieri de erori și actualizări de securitate pentru modulul Stripe Magento 1 pentru a se asigura că această soluție respectă standardele de securitate a datelor din industria cardurilor de plată (PCI DSS).

Concluzie

După cum puteți vedea, atingerea și menținerea conformității PCI nu este o sarcină mică. Dar cu informațiile potrivite, asistență din partea unui profesionist în conformitate și Nexcess Safe Harbor, companiile care încă operează pe Magento 1 pot păstra datele cardului de credit ale clienților lor în siguranță și în siguranță.