บรรลุและคงไว้ซึ่งข้อกำหนดการปฏิบัติตาม PCI

หากธุรกิจ Magento 1 ของคุณจัดการข้อมูลบัตรเครดิต คุณอาจทราบข้อกำหนดด้านความปลอดภัยมากกว่า 300 รายการใน PCI DSS แล้ว หากคุณไม่คุ้นเคย บทความนี้จะครอบคลุมข้อมูลพื้นฐานบางส่วนและนำเสนอแหล่งข้อมูลสำหรับการรับรองการปฏิบัติตามข้อกำหนด

ก่อตั้งขึ้นในปี 2549 โดย American Express, Discover, JCB International, Mastercard และ Visa มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดมาตรฐานขั้นต่ำสำหรับการรักษาความปลอดภัยข้อมูลในการประมวลผลธุรกรรมบัตรเครดิต ช่วยลดการฉ้อโกงและการละเมิดข้อมูลในระบบนิเวศการชำระเงิน และนำไปใช้กับองค์กรใดๆ ที่รับหรือประมวลผลการชำระเงินผ่านบัตรเครดิต

การปฏิบัติตาม PCI DSS

การปฏิบัติตาม PCI DSS เกี่ยวข้องกับกฎหลักสามข้อ:

1. ข้อมูลบัตรเครดิตที่ละเอียดอ่อนจากผู้บริโภคควรได้รับการรวบรวมและส่งอย่างปลอดภัย
2. ข้อมูลนั้นต้องถูกจัดเก็บอย่างปลอดภัยโดยใช้การเข้ารหัส การตรวจสอบอย่างต่อเนื่อง และการทดสอบความปลอดภัยในการเข้าถึงข้อมูลการ์ด
3. เป็นประจำทุกปี ตรวจสอบว่ามีการควบคุมความปลอดภัยที่จำเป็นหรือไม่

ข้อมูลที่ละเอียดอ่อนจากผู้บริโภค

บริษัทที่จัดการข้อมูลบัตรอาจจำเป็นต้องปฏิบัติตามการควบคุมความปลอดภัย 300+ รายการใน PCI DSS แม้ว่าข้อมูลบัตรจะเดินทางเฉพาะโครงสร้างพื้นฐานของธุรกิจชั่วขณะหนึ่ง บริษัทก็จำเป็นต้องซื้อ ปรับใช้ และบำรุงรักษาซอฟต์แวร์และฮาร์ดแวร์ความปลอดภัย

หากบริษัท ไม่ จำเป็นต้องจัดการกับข้อมูลบัตรเครดิตที่มีความละเอียดอ่อน ก็ไม่ควรทำเช่นนั้น โซลูชันของบริษัทอื่น (เช่น Stripe) ยอมรับและจัดเก็บข้อมูลบัตรเครดิตอย่างปลอดภัย ขจัดความซับซ้อน ต้นทุน และความเสี่ยงอย่างมาก หากข้อมูลการ์ดไม่แตะต้องเซิร์ฟเวอร์ของธุรกิจของคุณ คุณจะต้องยืนยันการควบคุมความปลอดภัยที่ค่อนข้างตรงไปตรงมา 22 รายการเท่านั้น เช่น การใช้รหัสผ่านที่รัดกุม

จัดเก็บข้อมูลอย่างปลอดภัย

หากองค์กรจัดการหรือจัดเก็บข้อมูลบัตรเครดิต องค์กรจะต้องกำหนดขอบเขตของสภาพแวดล้อมข้อมูลผู้ถือบัตร (CDE) PCI DSS กำหนด CDE ว่าเป็นบุคคล กระบวนการ และเทคโนโลยีที่จัดเก็บ ประมวลผล หรือส่งข้อมูลบัตรเครดิต—หรือระบบใดๆ ที่เชื่อมต่ออยู่

เนื่องจากข้อกำหนดด้านความปลอดภัยมากกว่า 300 รายการใน PCI DSS ใช้กับ CDE จึงต้องแบ่งกลุ่มสภาพแวดล้อมการชำระเงินอย่างเหมาะสมจากส่วนที่เหลือของธุรกิจเพื่อจำกัดขอบเขตของการตรวจสอบความถูกต้องของ PCI หากองค์กรไม่สามารถมีขอบเขต CDE ได้ การควบคุมความปลอดภัย PCI ก็จะนำไปใช้กับทุกระบบ แล็ปท็อป และอุปกรณ์ในเครือข่ายขององค์กร ไม่มีใครมีเวลาสำหรับสิ่งนั้น

การตรวจสอบประจำปีของการควบคุมความปลอดภัยที่จำเป็น

ไม่ว่าข้อมูลบัตรจะได้รับการยอมรับอย่างไร องค์กรที่จัดการการชำระเงินด้วยบัตรเครดิตจะต้องกรอกแบบฟอร์มการตรวจสอบ PCI ทุกปีเพื่อรักษาความสอดคล้อง

ข้อกำหนดหลัก 12 ข้อสำหรับ PCI DSS

มาตรฐานความปลอดภัยล่าสุด PCI DSS เวอร์ชัน 3.2.1 ประกอบด้วยข้อกำหนดหลัก 12 ข้อพร้อมข้อกำหนดย่อยมากกว่า 300 รายการซึ่งสะท้อนแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด

ข้อกำหนดหลัก 12 ข้อนั้นคือ:

1. ติดตั้งและบำรุงรักษาการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลผู้ถือบัตร
2. ห้ามใช้ค่าเริ่มต้นที่ผู้ขายจัดหาให้สำหรับรหัสผ่านระบบและพารามิเตอร์ความปลอดภัยอื่นๆ
3. ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้
4. เข้ารหัสการส่งข้อมูลผู้ถือบัตรผ่านเครือข่ายเปิดหรือเครือข่ายสาธารณะ
5. ปกป้องระบบทั้งหมดจากมัลแวร์และอัปเดตซอฟต์แวร์ป้องกันไวรัสเป็นประจำ
6. พัฒนาและบำรุงรักษาระบบและแอพพลิเคชั่นที่ปลอดภัย
7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตร
8. ระบุและตรวจสอบสิทธิ์การเข้าถึงส่วนประกอบของระบบ
9. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตร
10. ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด
11. ทดสอบระบบและกระบวนการรักษาความปลอดภัยเป็นประจำ
12. รักษานโยบายที่เน้นการรักษาความปลอดภัยของข้อมูลสำหรับพนักงานทุกคน

ธุรกิจใหม่สามารถตรวจสอบการปฏิบัติตาม PCI ผ่านแบบสอบถามการประเมินตนเอง 9 แบบ ซึ่งแต่ละข้อเป็นส่วนย่อยของข้อกำหนด PCI DSS ทั้งหมด ปัญหามาจากการพยายามคิดว่าข้อกำหนดใดที่จำเป็นสำหรับธุรกิจ ของคุณ ธุรกิจบางแห่งจะจ้างผู้ตรวจสอบที่ได้รับอนุมัติจากสภา PCI เพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนด PCI DSS แต่ละข้อ และราวกับว่านั่นไม่ซับซ้อนเพียงพอ – PCI Council จะแก้ไขกฎทุก ๆ สามปีและเผยแพร่การอัปเดตตลอดทั้งปี ธุรกิจจะรักษาความปลอดภัยข้อมูลบัตรเครดิตและรักษาการปฏิบัติตาม PCI ได้อย่างไรโดยพิจารณาจากปัจจัยเหล่านี้

วิธีการรักษาความปลอดภัย

มีหลายวิธีที่ได้รับการยอมรับในการรักษาความปลอดภัยเว็บไซต์ของคุณด้วยข้อกำหนด PCI DSS ตั้งแต่การว่าจ้างบริษัทผู้ประเมินความปลอดภัย (QSA) ที่ผ่านการรับรอง ไปจนถึงการใช้กระบวนการ PCI 3-Step และผ่าน Nexcess Safe Harbor ร่วมกับ Stripe

1. ผู้ประเมินความปลอดภัยที่ผ่านการรับรอง

ผู้ประเมินความปลอดภัยที่ผ่านการรับรองคือบริษัทรักษาความปลอดภัยข้อมูลที่ผ่านการรับรองโดยสภา PCI เพื่อดำเนินการประเมิน PCI Data Security Standard ในสถานที่ ผู้ประเมินจะตรวจสอบข้อมูลทางเทคนิคทั้งหมดที่ได้รับจากร้านค้าหรือผู้ให้บริการ และใช้วิจารณญาณที่เป็นอิสระเพื่อยืนยันว่าเป็นไปตามมาตรฐาน รายชื่อบริษัท Qualified Security Assessor (QSA) สามารถพบได้ที่นี่

2. กระบวนการ PCI 3 ขั้นตอน

1. ประเมิน การระบุข้อมูลผู้ถือบัตร จัดทำรายการสินทรัพย์ไอทีและกระบวนการทางธุรกิจสำหรับการประมวลผลบัตรชำระเงิน และวิเคราะห์หาช่องโหว่
2. แก้ไขช่อง โหว่ และกำจัดการจัดเก็บข้อมูลผู้ถือบัตรเว้นแต่จำเป็นจริงๆ
3. รายงาน รวบรวมและส่งรายงานที่จำเป็นไปยังธนาคารและแบรนด์บัตรที่เหมาะสม

3. ท่าเรือปลอดภัย

Magento 1 หมดอายุการใช้งานในเดือนมิถุนายน 2020 ทำให้ไซต์อีคอมเมิร์ซหลายพันแห่งอยู่ในพื้นที่สีเทาที่ปฏิบัติตามข้อกำหนดเมื่อ Adobe หยุดออกการอัปเดตความปลอดภัยอย่างเป็นทางการ

แม้ว่าแอปพลิเคชันอีคอมเมิร์ซจะเป็นเพียงส่วนเล็ก ๆ ของการปฏิบัติตามข้อกำหนดของ PCI สำหรับผู้ค้าที่ยังคงใช้งานไซต์อีคอมเมิร์ซของตนบน Magento 1 สิ่งสำคัญที่ควรทราบคือจะไม่มีแพตช์ความปลอดภัยและการอัปเดตที่ออกให้กับแพลตฟอร์มอีกต่อไป พวกเขาอยู่คนเดียวเว้นแต่พวกเขาจะลงทุนในโซลูชันเช่น Nexcess Safe Harbor เราขอแนะนำให้คุณลองใช้ Stripe ซึ่งมีความมุ่งมั่นในการรักษาโมดูล Magento 1 ให้กับลูกค้าของตน

ลาย

Stripe ยังคงมุ่งมั่นที่จะให้ผู้ใช้ใช้ผลิตภัณฑ์ของ Stripe ได้อย่างปลอดภัยภายใน Magento 1 ด้วยเหตุนี้ Nexcess จึงสนับสนุนให้คุณติดตั้งโมดูล Magento 1 อย่างเป็นทางการของ Stripe ซึ่งใช้ Stripe.js และ Elements เพื่อทำให้การปฏิบัติตาม PCI ของเว็บไซต์ของคุณง่ายขึ้น Stripe จะยังคงเผยแพร่การแก้ไขข้อผิดพลาดและการอัปเดตความปลอดภัยสำหรับโมดูล Stripe Magento 1 เพื่อให้แน่ใจว่าโซลูชันนี้เป็นไปตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)

บทสรุป

อย่างที่คุณเห็น การบรรลุและคงไว้ซึ่งการปฏิบัติตามข้อกำหนดของ PCI ไม่ใช่เรื่องเล็ก แต่ด้วยข้อมูลที่ถูกต้อง ความช่วยเหลือจากผู้เชี่ยวชาญด้านการปฏิบัติตามกฎระเบียบ และ Nexcess Safe Harbor ธุรกิจต่างๆ ที่ยังคงใช้งาน Magento 1 สามารถรักษาข้อมูลบัตรเครดิตของลูกค้าให้ปลอดภัย