Как Nexcess помогает вашему магазину соответствовать стандарту PCI

Опубликовано: 2022-06-30

Наличие магазина, совместимого с PCI, требует постоянных усилий как от вас, так и от вашего хостинг-провайдера. Хотя ярлыков нет, выбор надежного провайдера веб-хостинга — эффективное место для начала. Тем не менее, большинство требований PCI может быть выполнено только вами, продавцом. Читайте дальше, чтобы узнать больше о разделительной линии между хостом и продавцом, а также о том, почему стоит выйти за пределы PCI для ваших клиентов.

Вы ищете PCI-совместимый хостинг? Посетите нашу страницу соответствия PCI, чтобы узнать больше.

Что такое PCI?

сейф с замком В электронной коммерции PCI является сокращением от Стандартов безопасности данных индустрии платежных карт (PCI DSS). Стандарт PCI DSS, созданный в 2004 году, направлен на защиту потребителей и предотвращение мошенничества с кредитными картами. Это необходимо для любой организации, которая получает, обрабатывает или хранит данные кредитных карт любого из пяти членов Совета безопасности PCI : VISA, MasterCard, American Express, Discover и JCB.

Список требований, мягко говоря, обширен. Требования охватывают шесть категорий, и каждая категория разделена на несколько сотен конкретных требований. Некоторые относятся исключительно к сфере деятельности либо продавцов, либо хостинг-провайдеров, а некоторые распространяются и на тех, и на других. Соответствие PCI также не является разовым требованием, поскольку Совет Безопасности периодически вносит коррективы для устранения новых угроз для потребителей.

Комплаенс не является разовым мероприятием. Для поддержания соответствия требуются ежедневные, еженедельные, ежемесячные и ежегодные задачи. Существует 12 общих требований, разделенных на шесть категорий. В иллюстративных целях мы перечислили те же категории, но также включили более конкретные требования из PCI DSS.

6 ключевых категорий для соответствия требованиям PCI

Создайте и поддерживайте безопасную сеть. Установите и поддерживайте брандмауэр. Используйте уникальные пароли с высокой степенью защиты с особой осторожностью, чтобы заменить пароли по умолчанию.

Защитите данные держателя карты. По возможности не сохраняйте данные держателя карты. Если для бизнеса необходимо хранить данные о держателях карт, вы должны защитить эти данные. Шифруйте любые данные, передаваемые через общедоступные сети, в том числе данные, передаваемые между вашей корзиной покупок, вашим провайдером веб-хостинга и вашими клиентами.

Поддерживать программу управления уязвимостями. Используйте антивирусное программное обеспечение и регулярно обновляйте его. Разрабатывать и поддерживать безопасные операционные системы и платежные приложения. Убедитесь, что ваши антивирусные приложения совместимы с выбранными вами компаниями-эмитентами карт.

Внедрите строгие меры контроля доступа. Доступ к данным о держателях карт, как электронным, так и физическим, должен осуществляться по мере необходимости. Убедитесь, что у людей с электронным доступом есть уникальный идентификатор и пароль. Не позволяйте людям делиться учетными данными для входа. Обучите себя и своих сотрудников безопасности данных и, в частности, PCI Data Security Standard (DSS).

Регулярно контролируйте и тестируйте сети. Отслеживайте и контролируйте весь доступ к сетям и данным держателей карт. Соблюдайте график регулярного тестирования систем и процессов безопасности, в том числе брандмауэров, исправлений, веб-серверов, почтовых серверов и антивируса.

Поддерживать политику информационной безопасности. Установите четкую и тщательную политику безопасности данных в организации. Регулярно распространяйте и обновляйте эту политику.

Несоблюдение PCI может привести к штрафам в размере от 5000 до 100 000 долларов США в месяц, в зависимости от размера организации-нарушителя, степени его серьезности и других факторов. Несоблюдение может также привести к судебным искам, нарушениям безопасности и потере дохода.

Требования PCI для хостинг-провайдеров

контроль над необходимостью Для типичного продавца практически невозможно соответствовать требованиям PCI, не заручившись услугами совместимого хостинг-провайдера. Продавцы, размещающие собственные веб-сайты, должны соответствовать требованиям хостинг-провайдера в дополнение к требованиям продавцов. Такая модель работает для крупных предприятий, таких как Amazon и WalMart, но не для многих других.

Ниже приведены некоторые из основных моментов наших систем и политик, поддерживающих наш статус хостинг-провайдера, соответствующего стандарту PCI. Термин «среда данных о держателях карт» относится к любой системе, которая хранит, обрабатывает или передает данные кредитных карт, а также к любой системе, которая имеет доступ к самой среде данных о держателях карт.

Мы поддерживаем брандмауэр веб-приложений (WAF), который отслеживает все соединения между средой данных держателей карт и другими сетями. ModSec запрещает публичный доступ к конфиденциальным областям, выявляет ненадежные соединения и скрывает IP-адреса и информацию о маршрутизации от неавторизованных сторон.

Мы применяем принятые в отрасли стандарты конфигурации для всех компонентов системы, которые устраняют все известные уязвимости безопасности . Это распространяется на нашу внутреннюю и внешнюю сеть, наши операционные системы и оборудование, необходимое для размещения веб-служб.

Мы применяем криптографию и протоколы безопасности, которые шифруют и защищают данные держателей карт даже при передаче по общедоступным сетям. SSL-сертификаты и другие доверенные ключи безопасности применяются в одностороннем порядке. Разрешены только современные шифры TLS.

Мы ограничиваем физический доступ к нашему центру обработки данных с помощью 24-часовых политик безопасности и команды, обученной их реализации. Это включает, но не ограничивается:

  • Видеонаблюдение с историей отснятого материала за 90 дней
  • Защищенный вход как минимум с двухфакторной аутентификацией (PIN-код, карта доступа) в большинстве областей и трехфакторной аутентификацией (PIN-код, карта доступа, отпечаток пальца) в областях, содержащих среду данных держателей карт.
  • Видимая идентификация на всех членах команды
  • Политика посетителей, предотвращающая несанкционированный публичный доступ; уполномоченные внешние лица имеют доступ только к необходимым зонам и постоянно сопровождаются
  • Членам команды предоставляется доступ к среде данных о держателях карт, только если этого требует их роль.
  • Ограниченный доступ к сетевым разъемам, беспроводным точкам доступа, шлюзам, сетям и другим линиям связи

Мы отслеживаем и контролируем доступ к сетевым ресурсам и данным о держателях карт , хотя клиентам приходится вести журналы и отслеживать входы в свои собственные приложения (Magento, WordPress и т. д.).

Мы регулярно тестируем наши системы и процессы безопасности , а также регулярно проводим внутреннее тестирование на проникновение, а также после любого значительного обновления инфраструктуры.

Требования PCI для продавцов

Безопасный магазин с Nexcess Правильно реализованное соответствие PCI помогает продавцам придерживаться общепринятых передовых методов обеспечения безопасности данных. Хостинг у провайдера, совместимого с PCI, — это хороший первый шаг, но соблюдение требований требует действий с вашей стороны.

Если ваш магазин принимает кредитные карты в качестве оплаты, он должен соответствовать стандарту PCI независимо от того, храните ли вы эти данные или нет. Выбор PCI-совместимого веб-хоста — это только первый шаг. Большинство заслуживающих доверия веб-хостингов могут предоставить продавцам материалы с изложением их соответствующих обязанностей по запросу, но в конечном итоге именно продавцы должны понимать и выполнять эти требования.

К сожалению, не существует универсального контрольного списка. Ваши конкретные обязанности будут варьироваться в зависимости от вашего уровня продавца (от 1 до 4, где 1 является самым высоким), который обычно определяется количеством транзакций по кредитным картам, которые ваш магазин обрабатывает ежегодно.

Общий процесс для большинства продавцов:

  1. Определите, поймите и внедрите соответствующие требования PCI DSS.
  2. Заполните анкету самооценки (SAQ). SAQ представляет собой контрольный список с изложением требований. В зависимости от вашего уровня, некоторые или все из них будут применяться к вам. У торговцев 1-го уровня больше всего требований; 4 уровень, минимум.
    Не поддавайтесь искушению просто «проставить все галочки» в SAQ. Это подвергает опасности ваших клиентов и подвергает ваш бизнес ответственности. PCI может потерять деньги из-за нарушений и в ответ может расследовать ваши SAQ и AOC.
  3. Ежеквартально отправьте заявку на сканирование утвержденному поставщику услуг сканирования (ASV) — независимому квалифицированному органу, который выполняет сканирование внешних уязвимостей в ваших системах.
  4. Заполните Свидетельство о соответствии (AOC), документ, подтверждающий, что вы имеете право выполнять SAQ и фактически выполнили его в меру своих возможностей.
  5. Если вы классифицируетесь как продавец уровня 1, вы должны предпринять дополнительные шаги, включая оценку на месте.

Если преодоление значительного барьера соответствия требованиям PCI вас не привлекает, вы не одиноки. Ваш хостинг-провайдер может ответить на вопросы, связанные с дублированием ответственности, а сторонние квалифицированные оценщики безопасности (QSA) могут помочь предприятиям пройти через перчатку PCI (за определенную плату).

Даже компании, предлагающие только PayPal, Auth.net и другие платежные сервисы в качестве способов оплаты, должны быть совместимы с PCI, поскольку эти компании все равно должны передавать данные кредитных карт.

Одним из универсальных компонентов является необходимость подтверждения того, что все ваши поставщики услуг соответствуют стандарту PCI. Это включает в себя вашего хостинг-провайдера, но также распространяется на платежные системы, платежные шлюзы, POS-провайдеров и любых других лиц, которые касаются данных держателей карт ваших клиентов.

Некоторые основы PCI для продавцов

  • Поддерживайте соответствие PCI. Соответствие требует постоянной осведомленности и ежедневного применения. Задачи варьируются от ежедневных до ежегодных, но все повторяющиеся.
  • Не просто ставьте «Да» на каждый вопрос в SAQ . Должная осмотрительность защищает ваш бизнес и ваших клиентов.
  • Знайте свой код или используйте разработчика, который делает . Внедряйте передовые методы развертывания с использованием промежуточных сайтов и сайтов разработки без исключения.
  • Установите безопасную политику паролей. Используйте сложные, уникальные пароли и никогда не позволяйте своим сотрудникам делиться учетными данными для входа или использовать пароли по умолчанию.
  • Включите двухфакторную аутентификацию для всех ваших внутренних пользователей и рассмотрите возможность предоставления ее клиентам, выполняющим вход на ваш сайт.
  • Используйте брандмауэр веб-приложений (WAF) . В Nexcess мы предоставляем один для всех клиентов, и он включен по умолчанию.
  • Не просто верьте на слово вашему хостинг-провайдеру. Подтвердите, что они соответствуют требованиям PCI и компетентны, запросив (и получив) свидетельство о соответствии (AOC).
  • Держите свои приложения и расширения в актуальном состоянии до последней стабильной версии и активно отслеживайте наличие новых угроз и версий .

Помимо PCI

Если бы соответствия требованиям PCI было достаточно, нарушения конфиденциальности известных организаций были бы гораздо менее распространены. Уступчивый не должен означать самодовольный.

На самом деле соответствие PCI — это «Безопасность данных держателей карт 101». Это минимально приемлемый стандарт и разумное введение, но PCI далеко не безошибочен. Компании-эмитенты кредитных карт требуют соблюдения. Продавцы, придерживающиеся стандартов PCI, будут эффективнее защищать потребителей, чем компании, которые просто платят им на словах, но соблюдение PCI — это только первый шаг.

Сама природа PCI — большой тщательно отобранный документ, обновляемый лишь периодически — делает его уязвимым. Стандарты, считающиеся достаточными в «текущей» версии, часто выставляются как неадекватные. PCI может занять месяцы или даже годы, чтобы «наверстать упущенное», и злоумышленники хорошо знают об его ограничениях.

Лучшая защита - это знания. В Nexcess есть сотрудники, специализирующиеся на веб-безопасности, которые хорошо разбираются в новейших угрозах, нарушениях безопасности и мерах противодействия. Многие продавцы могут не захотеть прибегать к услугам эксперта по безопасности. По крайней мере, мы рекомендуем подписаться на уведомления безопасности для вашего приложения для электронной коммерции и подписаться хотя бы на один надежный источник новостей по веб-безопасности. Оба источника реагируют намного быстрее, чем PCI, и следование им поможет вам «засечь дым» до того, как он превратится в огонь.

Мы в списке!

Не забывайте, что мы входим в «Список» поставщиков услуг PCI, официально признанных Visa Global Registry. Это означает, что мы продемонстрировали постоянную приверженность пересмотру и совершенствованию наших политик безопасности, чтобы они соответствовали требованиям PCI и превосходили их. Если вы ищете провайдера, совместимого с PCI, хостинг с Nexcess означает, что вы размещаетесь у утвержденного и признанного провайдера. Узнайте больше о PCI-совместимом хостинге Nexcess.

Чтобы получить рекомендации по соблюдению требований PCI, свяжитесь с нашим отделом продаж с 9:00 до 17:00 по восточному времени с понедельника по пятницу.