Conformitatea PCI și WooCommerce – Tot ce trebuie să știți
Publicat: 2021-06-15Indiferent dacă construiți, întrețineți sau operați un site web de comerț electronic, trebuie să fiți conștient de responsabilitățile dvs. de securitate. Din fericire, există standarde și reglementări care vă pot ajuta să păstrați magazinele online, cum ar fi cele construite cu WooCommerce, în siguranță și în siguranță. Cel mai notabil dintre acestea este Standardul de securitate a datelor din industria cardurilor de plată (PCI-DSS).
Toate site-urile WooCommerce trebuie să fie conforme cu PCI?
Nu, nu toate site-urile care folosesc WooCommerce trebuie să fie conforme cu PCI-DSS. Aceste reglementări se aplică companiilor care acceptă plăți online cu carduri de debit și de credit. PCI-DSS nu se aplică dacă utilizați WooCommerce pentru a afișa un catalog online, pentru a accepta cereri de ofertă sau pentru a permite cumpărătorilor să plaseze comenzi care nu implică online. plăți.
Care este scopul conformității PCI?
PCI-DSS este aici pentru a vă asigura că, atunci când cumpărătorii dvs. WooCommerce plătesc cu un card de plată, cum ar fi un card Visa, Mastercard, American Express sau Discover, informațiile trimise nu ajung în mâinile infractorilor. Citiți mai multe despre Ce este conformitatea cu reglementările și cum afectează aceasta securitatea WordPress.
Cine este responsabil pentru conformitatea cu PCI?
Aceste standarde PCI se aplică oricărei organizații care acceptă, transmit și/sau stochează datele deținătorilor de carduri. Aceasta include comercianții, procesatorii, achizitorii, emitenții și furnizorii de servicii. În esență, orice organizație care atinge datele deținătorului de card sau date sensibile de autentificare trebuie să respecte aceste reguli.
Comercianții WooCommerce se bazează, desigur, pe vânzători pentru a respecta aceste reglementări. Aceasta include totul, de la găzduire conformă PCI până la gateway-uri și procesoare de plată securizate. Astfel de furnizori fac posibil chiar și întreprinderilor mici și startup-urilor să îndeplinească aceste cerințe de securitate.
Ce face ca un site web WooCommerce să fie compatibil PCI?
Ca și în cazul majorității securității, pentru a rămâne conform PCI, comercianții trebuie să facă o varietate de pași în mod continuu. Cea mai recentă versiune a documentului privind cerințele și procedurile de evaluare a securității PCI-DSS are 139 de pagini. Din fericire, multe dintre acestea se vor aplica vânzătorilor, cum ar fi procesatorii de plăți, și nu proprietarilor de site-uri web înșiși.
În cele din urmă, acești pași de mai jos vă vor ajuta să vă asigurați că, atunci când completați un chestionar de autoevaluare PCI (SAQ) și vă scanați site-ul web pentru a determina dacă îndeplinește cerințele PCI, veți avea mult mai ușor să treceți. De asemenea, vă vor ajuta să vă păstrați site-ul în siguranță de majoritatea atacurilor.
Elemente importante de reținut
- Țineți software-ul WordPress actualizat.
- Actualizați WooCommerce și orice alte pluginuri și/sau extensii WordPress.
- Mediul dvs. de găzduire web trebuie să ruleze software actualizat, inclusiv cele mai recente corecții de securitate.
- Configurați și mențineți un firewall sau selectați o gazdă care va face acest lucru pentru dvs. Gazdele web WooCommerce lucrează adesea cu furnizori Web Application Firewall (WAF) precum Cloudflare și Sucuri pentru a oferi soluții de firewall care sunt monitorizate 24/7.
- Transmiteți în siguranță date prin HTTPS utilizând certificate SSL.
- Rulați scanere malware sau selectați o gazdă care face acest lucru în mod continuu. Asigurați-vă că cineva vede rapoartele de securitate în fiecare zi, dacă nu în timp real.
- Respectați principiile accesului cel mai puțin privilegiat, partajând accesul doar cu cei care au absolut nevoie de el. Aceasta poate include pași de bază, cum ar fi ca administratorul WordPress să fie accesibil numai adreselor IP incluse în lista albă.
- Utilizați ID-uri de utilizator unice și parole puternice. Păstrați-le în siguranță și actualizați parolele cel puțin la fiecare 90 de zile.
- Asigurați-vă că fiecare administrator are propriile acreditări de conectare - nu partajați acreditările.
- Păstrați toate sistemele care interacționează cu site-ul dvs. în siguranță. Aceasta include rularea software-ului antivirus actualizat pe computerele pe care le utilizați pentru a vă accesa administratorul WordPress.
- Găzduiește alte aplicații separat. Aceasta include găzduirea separată a altor site-uri web și utilizarea separată a găzduirii de e-mail. În plus, orice copii vechi ale site-ului dvs., precum și copiile de dezvoltare sau de punere în scenă ale site-ului dvs. nu ar trebui să fie în mediul dvs. de găzduire de producție (live).
- Implementați sisteme de detectare a intruziunilor (IDS) pentru a detecta încălcările de securitate din timp, minimizând consecințele.
- Continuați să vă revizuiți securitatea, luând în considerare modificările aduse site-ului, personalului și furnizorilor dvs.
- Ori de câte ori este posibil, utilizați autentificarea cu mai mulți factori. Luați în considerare adăugarea unei extensii WordPress de autentificare cu doi factori (2FA) pentru a îngreuna accesul hackerilor la backend-ul magazinului dvs. WooCommerce.
- Stocați corect jurnalele și copiile de rezervă. Acest lucru este extrem de important în cazul în care sunt necesare ca parte a unei investigații a încălcării.
Cum obțin certificarea mea de conformitate PCI?
Există furnizori specifici care oferă acest serviciu. Este adesea o idee bună să vă consultați cu procesorul dvs. de plăți și furnizorul de găzduire web pentru a vedea dacă oferă, includ sau recomandă orice astfel de servicii. Cu toate acestea, există o listă lungă de furnizori aprobați de scanare disponibile de la PCI Security Standards Council. Amintiți-vă că aceasta nu este o procedură unică, așa că puteți spera să lucrați cu acest furnizor pentru mulți ani de acum înainte.
Trecerea unei scanări PCI garantează că site-ul meu WooCommerce este sigur și securizat?
Evaluările de conformitate PCI abordează politicile și punctele slabe de securitate observabile și se concentrează pe eforturile minime de securitate cerute de comercianți. Este esențial să vă mențineți securitatea după ce site-ul dvs. a fost inițial certificat conform PCI. De exemplu, încă vi se cere să instalați noi corecții de securitate în decurs de 30 de zile de la lansarea lor.
În plus, este foarte recomandabil să adoptați o abordare proactivă a securității. Există întotdeauna evenimente zero-day – cazuri în care o nouă vulnerabilitate de securitate este exploatată. În astfel de cazuri, patch-urile nu există încă. Cel mai bun pariu este să utilizați instrumentele de securitate de bază, cum ar fi un sistem de detectare a intruziunilor (IDS). Aceasta acționează ca o alarmă, oferindu-vă posibilitatea de a aborda rapid un caz de hacking, minimizând ceea ce altfel ar putea fi un incident mult mai grav. În general, putem spune că există multe motive pentru care soluția ta de comerț electronic WordPress trebuie să fie sigură.
Folosirea unui furnizor PA-DSS face un site conform PCI?
Procesatorii de plăți care aderă la Standardul de securitate a datelor aplicației de plată (PA-DSS) nu fac automat site-ul dvs. compatibil PCI. Nici gazdele web. Chiar dacă utilizați un procesor de plăți care duce cumpărătorii în afara site-ului pentru a-și finaliza tranzacțiile, aveți în continuare obligații. De exemplu, dacă nu vă corecționați software-ul și site-ul dvs. WordPress este piratat, hoții ar putea schimba contul dvs. de casă cu propriul formular pentru a elimina datele cardului de credit. În timp ce unele gateway-uri de plată vă pot reduce riscurile de încălcare, ele nu vă pot absolvi de toate responsabilitățile de securitate.
Care sunt riscurile de a nu menține site-ul dvs. WooCommerce conform PCI?
Dacă site-ul dvs. WooCommerce acceptă carduri de plată și nu este compatibil PCI, există o mulțime de riscuri. Ați putea fi forțat să plătiți taxe sau amenzi sau să găsiți procesatori de plăți care refuză să vă deservească contul, reducându-vă capacitatea de a accepta plăți online. De aceea, conformitatea PCI DSS pentru site-urile de comerț electronic și de afaceri WordPress este extrem de importantă.
Se înrăutățește dacă aveți o încălcare a datelor în timp ce nu respectați reglementările PCI-DSS. Există tot felul de amenzi și costuri, inclusiv potențiale acțiuni în justiție. Acest lucru depășește reputația dvs. deteriorată și costurile de investigare și atenuare a unei încălcări, care poate cauza, de asemenea, timpi de nefuncționare și o pierdere de venituri pentru magazinul dvs. WooCommerce.
După o încălcare, s-ar putea să vi se pară mult mai greu și/sau mai costisitor să acceptați carduri de plată, dacă puteți găsi un furnizor care este dispus să vă dea service. Depinde într-adevăr de detalii, dar dacă se constată că aveți un risc ridicat, deoarece nu ați respectat standardele de securitate de bază, poate avea consecințe grave asupra afacerii dvs.
Există furnizori specializați în asistența comercianților WooCommerce cu respectarea PCI?
Da! De exemplu, în loc să solicite cumpărătorilor să trimită informații despre cardul de plată pe care le păstrați, există o mare varietate de gateway-uri de plată care pot transmite în siguranță informațiile despre cardul de credit. Acestea includ furnizori de soluții precum Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe și multe altele!
Există, de asemenea, mai multe gateway-uri de plată unice care oferă opțiuni unice cumpărătorilor, cum ar fi Affirm, Bread, Katapult, Klarna, Sezzle și ViaBill, care oferă consumatorilor opțiuni de cumpărare acum-plătiți mai târziu și Bolt, care înlocuiește finalizarea WooCommerce cu o experiență de plată foarte optimizată. Există chiar și soluții de plată B2B precum PayStand și Apruve.
În mod similar, există gazde web care sunt specializate în menținerea în siguranță a mediului dvs. de găzduire de comerț electronic. În timp ce multe platforme menționează conformitatea PCI, veți dori să fiți atenți la scanarea programelor malware, firewall-ul aplicațiilor web, detectarea intruziunilor, monitorizarea 24/7 și alți factori pe care este posibil să aveți nevoie de un furnizor de încredere să-i gestioneze pentru dvs.
Concluzie
Este relativ ușor să construiești un magazin WooCommerce, dar fără practicile de securitate adecvate, acel magazin nu va fi securizat împotriva hackerilor. Dacă magazinul acceptă carduri de plată, proprietarii site-ului web sunt responsabili pentru respectarea PCI și trebuie să aleagă și furnizori care respectă. Din fericire, există o mulțime de furnizori grozavi din care să aleagă pentru a face respectarea reglementărilor PCI-DSS destul de nedureroasă.