Cum vă ajută Nexcess magazinul să rămână compatibil PCI

Publicat: 2022-06-30

A avea un magazin compatibil PCI necesită eforturi susținute atât ale dvs., cât și ale furnizorului dvs. de găzduire. Deși nu există comenzi rapide, alegerea unui furnizor de găzduire web credibil este un loc eficient de început. Chiar și așa, majoritatea cerințelor PCI pot fi îndeplinite numai de dvs., comerciantul. Citiți mai departe pentru a afla mai multe despre linia de demarcație dintre gazdă și comerciant și de ce poate merita să mergeți dincolo de PCI pentru clienții dvs.

Căutați găzduire conformă PCI? Vizitați pagina noastră de conformitate PCI pentru a afla mai multe.

Ce este PCI?

seif încuiat excesiv În comerțul electronic, PCI este prescurtarea pentru Standardele de securitate a datelor din industria cardurilor de plată (PCI DSS). Creat în 2004, PCI DSS își propune să ajute la protejarea consumatorilor și la prevenirea fraudei cu cardul de credit. Este necesar pentru orice organizație care primește, procesează sau stochează datele cardului de credit ale oricăruia dintre cei cinci membri ai Consiliului de Securitate PCI : VISA, MasterCard, American Express, Discover și JCB.

Lista de cerințe este extinsă, ca să spunem ușor. Cerințele se întind pe șase categorii, iar fiecare categorie este împărțită în câteva sute de cerințe specifice. Unele intră exclusiv în domeniul fie al comercianților, fie al furnizorilor de găzduire, în timp ce unele se extind la ambii. Conformitatea PCI nu este, de asemenea, o cerință unică, deoarece Consiliul de Securitate face ajustări periodice pentru a aborda noile amenințări la adresa consumatorilor.

Conformitatea nu este un eveniment „unic și gata”. Este nevoie de sarcini zilnice, săptămânale, lunare și anuale pentru a menține conformitatea. Există 12 cerințe generale împărțite în șase categorii. Pentru scopuri ilustrative, am enumerat aceleași categorii, dar am inclus și cerințe mai specifice din PCI DSS.

6 categorii cheie pentru conformitatea PCI

Construiți și mențineți o rețea sigură. Instalați și mențineți un firewall. Folosiți parole unice, de înaltă securitate, cu grijă deosebită pentru a înlocui parolele implicite.

Protejați datele deținătorului cardului. Ori de câte ori este posibil, nu stocați datele deținătorului cardului. Dacă există o nevoie de afaceri pentru a stoca datele deținătorului cardului, atunci trebuie să protejați aceste date. Criptați orice date transmise prin rețelele publice, inclusiv datele transmise între coșul de cumpărături, furnizorul dvs. de găzduire web și clienții dvs.

Menține un program de management al vulnerabilităților. Folosiți software antivirus și păstrați-l la zi. Dezvoltați și mențineți sisteme de operare și aplicații de plată securizate. Asigurați-vă că aplicațiile software antivirus sunt conforme cu companiile de card alese.

Implementați măsuri puternice de control al accesului. Accesul la datele deținătorului de card, atât electronice, cât și fizice, ar trebui să se facă pe baza necesității de a cunoaște. Asigurați-vă că acele persoane cu acces electronic au un ID și o parolă unice. Nu permiteți oamenilor să partajeze acreditările de conectare. Educați-vă pe dumneavoastră și pe angajații dumneavoastră cu privire la securitatea datelor și, în special, a standardului de securitate a datelor PCI (DSS).

Monitorizați și testați în mod regulat rețelele. Urmăriți și monitorizați toate accesul la rețele și datele deținătorilor de card. Mențineți un program regulat de testare pentru sistemele și procesele de securitate, inclusiv: firewall-uri, corecții, servere web, servere de e-mail și antivirus.

Menține o politică de securitate a informațiilor. Stabiliți o politică organizațională clară și amănunțită de securitate a datelor. Difuzați și actualizați regulat această politică.

Nerespectarea PCI poate duce la amenzi cuprinse între 5.000 USD și 100.000 USD pe lună, în funcție de dimensiunea organizației care infracționalitatea, gravitatea acesteia și de alți factori. Nerespectarea poate duce, de asemenea, la acțiuni legale, încălcări de securitate și pierderi de venituri.

Cerințe PCI pentru furnizorii de găzduire

monitorizarea necesară Este practic imposibil ca comerciantul obișnuit să respecte PCI fără să apeleze la serviciile unui furnizor de găzduire care respectă. Comercianții care găzduiesc propriile site-uri web trebuie să îndeplinească cerințele furnizorului de găzduire, pe lângă cele pentru comercianți. Un astfel de model funcționează pentru întreprinderi masive precum Amazon și WalMart, dar puține altele.

Iată câteva dintre punctele importante ale sistemelor și politicilor noastre care ne susțin statutul de furnizor de găzduire compatibil PCI. Termenul „mediu de date deținătorului de card” se referă la orice sistem care stochează, procesează sau transmite date despre cardul de credit, precum și la orice sistem care are acces la mediul de date deținătorului de card în sine.

Menținem un firewall de aplicație web (WAF), care monitorizează toate conexiunile dintre mediul de date al titularului de card și alte rețele. ModSec interzice accesul public la zonele sensibile, identifică conexiunile nede încredere și ascunde adresele IP și informațiile de rutare de la părți neautorizate.

Aplicăm standarde de configurare acceptate de industrie pentru toate componentele sistemului care abordează toate vulnerabilitățile de securitate cunoscute . Aceasta se extinde la rețeaua noastră internă și externă, sistemele noastre de operare și hardware-ul necesar pentru a găzdui serviciile web.

Aplicăm criptografie și protocoale de securitate care criptează și protejează datele deținătorilor de carduri chiar și atunci când sunt transmise prin rețele publice. Certificatele SSL și alte chei de securitate de încredere sunt aplicate unilateral. Sunt permise doar cifrurile TLS moderne.

Limităm accesul fizic la centrul nostru de date cu politici de securitate 24 de ore din 24 și o echipă instruită să le implementeze. Aceasta include, dar nu se limitează la:

  • Supraveghere video cu istoric de filmare de 90 de zile
  • Intrare securizată cu autentificare cu cel puțin doi factori (PIN, card de acces) în majoritatea zonelor și autentificare cu trei factori (PIN, card de acces, amprentă) în zonele care găzduiesc mediul de date al deținătorului cardului
  • Identificare vizibilă pentru toți membrii echipei
  • Politica privind vizitatorii care împiedică accesul public neautorizat; persoanele externe autorizate au acces numai în zonele necesare și sunt însoțite în orice moment
  • Membrii echipei au acces la mediul de date deținătorului de card numai dacă rolul lor o cere
  • Acces restricționat la mufele de rețea, punctele de acces wireless, gateway-uri, rețele și alte linii de comunicație

Urmărim și monitorizăm accesul la resursele de rețea și la datele deținătorilor de card , deși revine clienților să mențină jurnalele și să monitorizeze conectările pentru propriile aplicații (Magento, WordPress și așa mai departe).

Ne testăm în mod regulat sistemele și procesele de securitate și efectuăm teste interne de penetrare la intervale regulate, precum și după orice actualizare semnificativă a infrastructurii.

Cerințe PCI pentru comercianți

Magazin securizat cu Nexcess Implementată corect, conformitatea PCI îi ajută pe comercianți să adere la cele mai bune practici de securitate a datelor acceptate în mod obișnuit. Găzduirea cu un furnizor compatibil PCI este un prim pas solid, dar a deveni conform necesită încă acțiuni din partea dvs.

Dacă magazinul dvs. acceptă carduri de credit ca plată, trebuie să fie compatibil PCI indiferent dacă stocați datele respective sau nu. Alegerea unei gazde web compatibile PCI este doar primul pas. Majoritatea gazdelor web credibile le pot oferi comercianților materiale care le subliniază responsabilitățile respective, la cerere, dar în cele din urmă revine comercianților să înțeleagă și să îndeplinească aceste cerințe.

Din păcate, nu există o listă de verificare „unică pentru toate”. Responsabilitățile dvs. specifice vor varia în funcție de nivelul de comerciant (1–4, cu 1 fiind cel mai mare), care este în general determinat de numărul de tranzacții cu cardul de credit procesate anual de magazinul dvs.

Procesul general pentru majoritatea comercianților este:

  1. Identificați, înțelegeți și implementați cerințele PCI DSS corespunzătoare.
  2. Completați un chestionar de autoevaluare (SAQ). SAQ este o listă de verificare care prezintă cerințele. În funcție de nivelul tău, unele sau toate se vor aplica în cazul tău. Comercianții de nivelul 1 au cele mai multe cerințe; nivelul 4, cel mai mic.
    Rezistați tentației de a „bifa fiecare casetă” din SAQ. Acest lucru vă pune în pericol clienții și vă expune afacerea la răspundere. PCI poate pierde bani din încălcări și, ca răspuns, vă poate investiga SAQ și AOC.
  3. Trimiteți-vă unei scanări trimestriale de către un furnizor de scanare aprobat (ASV) , o autoritate independentă, calificată, care efectuează scanări externe de vulnerabilități pe sistemele dvs.
  4. Completați Attestation of Compliance (AOC), un document care afirmă că sunteți eligibili pentru a efectua și că de fapt ați efectuat SAQ cât mai bine.
  5. Dacă sunteți clasificat ca comerciant de nivel 1, trebuie să luați măsuri suplimentare, inclusiv o evaluare la fața locului.

Dacă trecerea peste obstacolul considerabil al conformității PCI nu te atrage, nu ești singur. Furnizorul dvs. de găzduire poate răspunde la întrebări legate de suprapunerea responsabilității, iar Evaluatorii de securitate calificați (QSA) terți pot ajuta companiile să execute mănușa PCI (pentru un preț).

Chiar și companiile care oferă doar PayPal, Auth.net și alte servicii de plată ca opțiuni de plată trebuie să fie conforme cu PCI, deoarece acele companii trebuie să transmită în continuare datele cardului de credit.

O componentă universală este necesitatea de a confirma că toți furnizorii dvs. de servicii sunt conforme cu PCI. Aceasta include furnizorul dvs. de găzduire, dar se extinde și la procesatorii de plăți, gateway-urile de plată, furnizorii POS și orice alte entități care ating datele deținătorului cardului clienților dvs.

Câteva elemente esențiale PCI pentru comercianți

  • Menține conformitatea PCI. Conformitatea necesită o conștientizare continuă și aplicare zilnică. Sarcinile variază între zilnic și anual, dar toate sunt recurente.
  • Nu bifați „Da” la fiecare întrebare din SAQ . Due diligence vă protejează afacerea și clienții.
  • Cunoaște-ți codul sau folosește un dezvoltator care face . Implementați cele mai bune practici de implementare folosind site-uri de realizare și dezvoltare fără excepție.
  • Stabiliți o politică de parole sigure. Utilizați parole complexe și unice și nu permiteți niciodată personalului dvs. să partajeze acreditările de conectare sau să utilizeze parole implicite.
  • Activați autentificarea cu doi factori pentru toți utilizatorii dvs. interni și luați în considerare oferirea acesteia ca opțiune pentru clienții care se conectează la site-ul dvs.
  • Utilizați un firewall pentru aplicații web (WAF) . La Nexcess, oferim unul pentru toți clienții și este activat implicit.
  • Nu credeți doar furnizorul dvs. de găzduire pe cuvânt. Confirmați că sunt conforme cu PCI și sunt competente solicitând (și obținând) Atestarea de conformitate (AOC).
  • Păstrați aplicațiile și extensiile la curent cu cea mai recentă versiune stabilă și monitorizați activ pentru noi amenințări și versiuni .

Dincolo de PCI

Dacă respectarea PCI ar fi suficientă, încălcările organizațiilor de profil înalt ar fi mult mai puțin frecvente. Conform nu trebuie să însemne mulțumire.

În realitate, conformitatea PCI este „Cardholder Data Security 101”. Este standardul minim acceptabil și o introducere rezonabilă, dar PCI este departe de a fi infailibil. Companiile de carduri de credit solicită conformitatea. Comercianții care aderă la standardele PCI vor fi mai eficienți în protejarea consumatorilor decât companiile care le plătesc doar pe gura, dar conformitatea PCI este doar primul pas.

Însăși natura PCI – un document mare, îngrijit, actualizat doar periodic – îl face vulnerabil. Standardele considerate suficiente în versiunea „actuală” sunt adesea expuse ca inadecvate. Poate dura luni sau chiar ani pentru ca PCI să „atingă din urmă”, iar actorii răi sunt bine conștienți de limitările sale.

Cea mai bună protecție este cunoașterea. La Nexcess, avem membri ai echipei care sunt specializați în securitatea web, care sunt familiarizați cu cele mai noi amenințări, încălcări și contramăsuri. Mulți comercianți pot fi reticenți în a apela la serviciile unui expert în securitate. Cel puțin, vă recomandăm să vă abonați la notificări de securitate pentru aplicația dvs. de comerț electronic și să urmăriți cel puțin o sursă credibilă de știri de securitate web. Ambele surse reacţionează mult mai repede decât PCI, iar urmărirea lor vă va ajuta să „descoperiţi fumul” înainte ca acesta să devină un incendiu.

Suntem pe Lista!

Nu uitați, suntem „Pe Lista” furnizorilor conformi PCI recunoscuți oficial de Visa Global Registry. Aceasta înseamnă că am demonstrat un angajament continuu de a revizui și îmbunătăți politicile noastre de securitate pentru a se potrivi și a depăși cerințele de conformitate PCI. Dacă sunteți în căutarea unui furnizor compatibil PCI, găzduirea cu Nexcess înseamnă că găzduiți cu un furnizor aprobat și recunoscut. Aflați mai multe despre găzduirea conformă PCI cu Nexcess.

Pentru îndrumări privind conformitatea PCI, contactați echipa noastră de vânzări între orele 9:00 și 17:00, ora estică, de luni până vineri.