วิธีที่ Nexcess ช่วยให้ร้านค้าของคุณเป็นไปตามมาตรฐาน PCI

เผยแพร่แล้ว: 2022-06-30

การมีร้านค้าที่สอดคล้องกับ PCI ต้องใช้ความพยายามอย่างต่อเนื่องทั้งตัวคุณเองและผู้ให้บริการโฮสติ้งของคุณ แม้ว่าจะไม่มีทางลัด แต่การเลือกผู้ให้บริการเว็บโฮสติ้งที่น่าเชื่อถือก็เป็นจุดเริ่มต้นที่มีประสิทธิภาพ ถึงกระนั้น ผู้ค้าเท่านั้นที่สามารถปฏิบัติตามข้อกำหนด PCI ส่วนใหญ่ได้ อ่านต่อไปเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับเส้นแบ่งระหว่างโฮสต์และผู้ค้า และเหตุใดจึงคุ้มค่าที่จะไปไกลกว่า PCI สำหรับลูกค้าของคุณ

คุณกำลังมองหาโฮสติ้งที่สอดคล้องกับ PCI หรือไม่? เยี่ยมชมหน้าการปฏิบัติตามข้อกำหนด PCI ของเราเพื่อเรียนรู้เพิ่มเติม

PCI คืออะไร?

ล็อคเกินปลอดภัย ในอีคอมเมิร์ซ PCI เป็นชวเลขสำหรับมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) สร้างขึ้นในปี 2547 PCI DSS มุ่งหวังที่จะช่วยปกป้องผู้บริโภคและป้องกันการฉ้อโกงบัตรเครดิต จำเป็นสำหรับองค์กรใดๆ ที่รับ ประมวลผล หรือจัดเก็บข้อมูลบัตรเครดิตของสมาชิก PCI Security Council ทั้งห้าราย ได้แก่ VISA, MasterCard, American Express, Discover และ JCB

รายการข้อกำหนดมีมากมาย ข้อกำหนดครอบคลุมหกหมวดหมู่ และแต่ละหมวดหมู่แบ่งออกเป็นข้อกำหนดเฉพาะหลายร้อยรายการ บางส่วนอยู่ภายใต้โดเมนของผู้ค้าหรือผู้ให้บริการโฮสติ้งเท่านั้น ในขณะที่บางรายขยายไปถึงทั้งสองอย่าง การปฏิบัติตาม PCI นั้นไม่ใช่ข้อกำหนดแบบครั้งเดียวเช่นกัน เนื่องจากคณะมนตรีความมั่นคงได้ทำการปรับปรุงเป็นระยะเพื่อจัดการกับภัยคุกคามใหม่ๆ ต่อผู้บริโภค

การปฏิบัติตามข้อกำหนดไม่ใช่เหตุการณ์ "ครั้งเดียวแล้วเสร็จ" ต้องมีงานรายวัน รายสัปดาห์ รายเดือน และรายปีเพื่อรักษาความสอดคล้อง มีข้อกำหนดทั่วไป 12 ข้อ แบ่งออกเป็น 6 ประเภท เพื่อจุดประสงค์ในการอธิบาย เราได้ระบุหมวดหมู่เดียวกันเหล่านี้ แต่ยังรวมข้อกำหนดเฉพาะเพิ่มเติมจากภายใน PCI DSS ด้วย

6 หมวดหมู่หลักสำหรับการปฏิบัติตามมาตรฐาน PCI

สร้างและดูแลเครือข่ายที่ปลอดภัย ติดตั้งและบำรุงรักษาไฟร์วอลล์ ใช้รหัสผ่านที่ไม่ซ้ำกันและมีความปลอดภัยสูงด้วยความระมัดระวังเป็นพิเศษเพื่อแทนที่รหัสผ่านเริ่มต้น

ปกป้องข้อมูลผู้ถือบัตร ห้ามเก็บข้อมูลผู้ถือบัตรเมื่อใดก็ตามที่เป็นไปได้ หากมีความจำเป็นทางธุรกิจในการจัดเก็บข้อมูลผู้ถือบัตร คุณจะต้องปกป้องข้อมูลนี้ เข้ารหัสข้อมูลใดๆ ที่ส่งผ่านเครือข่ายสาธารณะ รวมถึงข้อมูลที่ส่งผ่านระหว่างรถเข็นช็อปปิ้ง ผู้ให้บริการเว็บโฮสติ้ง และลูกค้าของคุณ

รักษาโปรแกรมการจัดการช่องโหว่ ใช้ซอฟต์แวร์ป้องกันไวรัสและอัปเดตอยู่เสมอ พัฒนาและบำรุงรักษาระบบปฏิบัติการและแอปพลิเคชันการชำระเงินที่ปลอดภัย ตรวจสอบให้แน่ใจว่าแอปพลิเคชั่นซอฟต์แวร์ป้องกันไวรัสของคุณสอดคล้องกับบริษัทการ์ดที่คุณเลือก

ใช้มาตรการควบคุมการเข้าออกที่เข้มงวด การเข้าถึงข้อมูลผู้ถือบัตรทั้งทางอิเล็กทรอนิกส์และทางกายภาพควรเป็นสิ่งที่จำเป็นต้องรู้ ตรวจสอบให้แน่ใจว่าผู้ที่มีการเข้าถึงทางอิเล็กทรอนิกส์มี ID และรหัสผ่านที่ไม่ซ้ำกัน ไม่อนุญาตให้ผู้อื่นแชร์ข้อมูลรับรองการเข้าสู่ระบบ ให้ความรู้กับตัวเองและพนักงานของคุณเกี่ยวกับความปลอดภัยของข้อมูล และโดยเฉพาะ PCI Data Security Standard (DSS)

ตรวจสอบและทดสอบเครือข่ายอย่างสม่ำเสมอ ติดตามและตรวจสอบการเข้าถึงเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด รักษาตารางการทดสอบปกติสำหรับระบบและกระบวนการรักษาความปลอดภัย ซึ่งรวมถึง: ไฟร์วอลล์ แพตช์ เว็บเซิร์ฟเวอร์ เซิร์ฟเวอร์อีเมล และโปรแกรมป้องกันไวรัส

รักษานโยบายการรักษาความปลอดภัยของข้อมูล กำหนดนโยบายการรักษาความปลอดภัยของข้อมูลองค์กรที่ชัดเจนและทั่วถึง เผยแพร่และปรับปรุงนโยบายนี้อย่างสม่ำเสมอ

การไม่ปฏิบัติตาม PCI อาจส่งผลให้ถูกปรับตั้งแต่ $5,000 ถึง $100,000 ต่อเดือน ขึ้นอยู่กับขนาดขององค์กรที่กระทำผิด ความรุนแรง และปัจจัยอื่นๆ การไม่ปฏิบัติตามอาจส่งผลให้เกิดการดำเนินการทางกฎหมาย การละเมิดความปลอดภัย และการสูญเสียรายได้

ข้อกำหนด PCI สำหรับผู้ให้บริการโฮสติ้ง

การตรวจสอบส่วนเกิน แทบจะเป็นไปไม่ได้เลยที่ผู้ค้าทั่วไปจะปฏิบัติตาม PCI โดยไม่ต้องสมัครใช้บริการของผู้ให้บริการโฮสติ้งที่ปฏิบัติตามข้อกำหนด ผู้ค้าที่โฮสต์เว็บไซต์ของตนเองต้องปฏิบัติตามข้อกำหนดของผู้ให้บริการโฮสต์นอกเหนือจากการปฏิบัติตามข้อกำหนดสำหรับผู้ค้า โมเดลดังกล่าวใช้ได้กับองค์กรขนาดใหญ่ เช่น Amazon และ WalMart แต่มีเพียงไม่กี่แห่งเท่านั้น

ต่อไปนี้คือไฮไลต์บางส่วนของระบบและนโยบายของเราที่ช่วยรักษาสถานะของเราในฐานะผู้ให้บริการโฮสติ้งที่สอดคล้องกับ PCI คำว่า "สภาพแวดล้อมของข้อมูลผู้ถือบัตร" หมายถึงระบบใดๆ ที่จัดเก็บ ประมวลผล หรือส่งข้อมูลบัตรเครดิต ตลอดจนระบบใดๆ ที่เข้าถึงสภาพแวดล้อมข้อมูลของผู้ถือบัตรเอง

เราดูแลเว็บแอปพลิเคชันไฟร์วอลล์ (WAF) ซึ่งจะตรวจสอบการเชื่อมต่อทั้งหมดระหว่างสภาพแวดล้อมข้อมูลผู้ถือบัตรกับเครือข่ายอื่นๆ ModSec ห้ามมิให้สาธารณชนเข้าถึงพื้นที่ละเอียดอ่อน ระบุการเชื่อมต่อที่ไม่น่าเชื่อถือ และซ่อนที่อยู่ IP และข้อมูลการกำหนดเส้นทางจากบุคคลที่ไม่ได้รับอนุญาต

เราใช้มาตรฐานการกำหนดค่าที่ยอมรับในอุตสาหกรรมสำหรับส่วนประกอบระบบทั้งหมดที่แก้ไขช่องโหว่ด้านความปลอดภัยที่ทราบ ทั้งหมด สิ่งนี้ขยายไปถึงเครือข่ายภายในและภายนอก ระบบปฏิบัติการ และฮาร์ดแวร์ที่จำเป็นสำหรับโฮสต์บริการเว็บ

เราใช้โปรโตคอลการเข้ารหัสและความปลอดภัยที่เข้ารหัสและปกป้องข้อมูลผู้ถือบัตร แม้จะส่งผ่านเครือข่ายสาธารณะก็ตาม ใบรับรอง SSL และคีย์ความปลอดภัยอื่นๆ ที่เชื่อถือได้นั้นบังคับใช้เพียงฝ่ายเดียว อนุญาตเฉพาะรหัส TLS ที่ทันสมัยเท่านั้น

เราจำกัดการเข้าถึงศูนย์ข้อมูลของเราทางกายภาพด้วยนโยบายความปลอดภัยตลอด 24 ชั่วโมงและทีมงานที่ได้รับการฝึกอบรมเพื่อนำไปใช้ ซึ่งรวมถึงแต่ไม่จำกัดเพียง:

  • กล้องวงจรปิดพร้อมประวัติภาพ 90 วัน
  • เข้าได้อย่างปลอดภัยด้วยการตรวจสอบสิทธิ์อย่างน้อยสองปัจจัย (PIN, การ์ดเข้าถึง) ในพื้นที่ส่วนใหญ่ และการตรวจสอบสิทธิ์สามปัจจัย (PIN, การ์ดเข้าใช้, ลายนิ้วมือ) ในพื้นที่ที่อยู่สภาพแวดล้อมข้อมูลผู้ถือบัตร
  • การระบุตัวตนที่มองเห็นได้ของสมาชิกในทีมทุกคน
  • นโยบายผู้เยี่ยมชมที่ป้องกันการเข้าถึงสาธารณะโดยไม่ได้รับอนุญาต บุคคลภายนอกที่ได้รับอนุญาตจะเข้าถึงได้เฉพาะพื้นที่ที่จำเป็นและถูกพาไปตลอดเวลา
  • สมาชิกในทีมจะได้รับสิทธิ์เข้าถึงสภาพแวดล้อมข้อมูลผู้ถือบัตรก็ต่อเมื่อบทบาทของพวกเขาต้องการ
  • การจำกัดการเข้าถึงแจ็คเครือข่าย จุดเชื่อมต่อไร้สาย เกตเวย์ เครือข่าย และสายการสื่อสารอื่นๆ

เราติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตร แม้ว่าลูกค้าจะดูแลบันทึกและตรวจสอบการเข้าสู่ระบบสำหรับแอปพลิเคชันของตนเอง (Magento, WordPress และอื่นๆ)

เราทดสอบระบบและกระบวนการรักษาความปลอดภัยของเราเป็นประจำ และทำการทดสอบการเจาะระบบภายในตามช่วงเวลาปกติ เช่นเดียวกับหลังจากการอัปเกรดโครงสร้างพื้นฐานที่สำคัญใดๆ

ข้อกำหนด PCI สำหรับผู้ค้า

ร้านค้าที่ปลอดภัยด้วย Nexcess การปฏิบัติตาม PCI อย่างถูกต้องช่วยให้ผู้ค้าปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของข้อมูลที่เป็นที่ยอมรับโดยทั่วไป การโฮสต์กับผู้ให้บริการที่สอดคล้องกับ PCI เป็นขั้นตอนแรกที่มั่นคง แต่การปฏิบัติตามข้อกำหนดยังคงต้องดำเนินการจากคุณ

หากร้านค้าของคุณรับชำระเงินด้วยบัตรเครดิต จะต้องเป็นไปตามมาตรฐาน PCI ไม่ว่าคุณจะจัดเก็บข้อมูลนั้นหรือไม่ก็ตาม การเลือกโฮสต์เว็บที่ได้มาตรฐาน PCI เป็นเพียงขั้นตอนแรก โฮสต์เว็บที่น่าเชื่อถือส่วนใหญ่สามารถจัดหาเอกสารที่สรุปความรับผิดชอบของตนให้กับผู้ค้าได้เมื่อมีการร้องขอ แต่ในท้ายที่สุด ผู้ค้าจะต้องเข้าใจและปฏิบัติตามข้อกำหนดเหล่านี้

น่าเสียดายที่ไม่มีรายการตรวจสอบ "หนึ่งขนาดที่เหมาะกับทุกคน" ความรับผิดชอบเฉพาะของคุณจะแตกต่างกันไปตามระดับผู้ค้าของคุณ (1-4 โดย 1 คือสูงสุด) ซึ่งโดยทั่วไปจะพิจารณาจากจำนวนธุรกรรมบัตรเครดิตที่ร้านค้าของคุณดำเนินการทุกปี

ขั้นตอนทั่วไปสำหรับผู้ค้าส่วนใหญ่คือ:

  1. ระบุ ทำความเข้าใจ และดำเนินการตามข้อกำหนด PCI DSS ที่เหมาะสม
  2. กรอกแบบสอบถามการประเมินตนเอง (SAQ) SAQ เป็นรายการตรวจสอบที่สรุปข้อกำหนด ขึ้นอยู่กับระดับของคุณ บางส่วนหรือทั้งหมดจะมีผลกับคุณ ผู้ค้าระดับ 1 มีความต้องการมากที่สุด ระดับ 4 น้อยที่สุด
    ต่อต้านการทดลองเพียงแค่ "ทำเครื่องหมายทุกช่อง" ใน SAQ การทำเช่นนี้เป็นอันตรายต่อลูกค้าของคุณและทำให้ธุรกิจของคุณต้องรับผิด PCI ยอมสูญเสียเงินจากการละเมิด และอาจตรวจสอบ SAQ และ AOC ของคุณในการตอบสนอง
  3. ส่งการสแกนรายไตรมาสโดย Approved Scanning Vendor (ASV) ซึ่งเป็นหน่วยงานอิสระที่ผ่านการรับรองซึ่งทำการสแกนช่องโหว่ภายนอกในระบบของคุณ
  4. กรอกเอกสารยืนยันการปฏิบัติตามข้อกำหนด (AOC) ซึ่งเป็นเอกสารที่ยืนยันว่าคุณทั้งคู่มีสิทธิ์ดำเนินการและได้ดำเนินการ SAQ อย่างสุดความสามารถแล้ว
  5. หากจัดเป็นผู้ขายระดับ 1 คุณต้องดำเนินการขั้นตอนเพิ่มเติม รวมถึงการประเมินในสถานที่

หากการก้าวข้ามขีดจำกัดของการปฏิบัติตาม PCI ไม่ได้ดึงดูดใจคุณ แสดงว่าคุณไม่ได้อยู่คนเดียว ผู้ให้บริการโฮสติ้งของคุณสามารถตอบคำถามที่เกี่ยวข้องกับความรับผิดชอบที่ทับซ้อนกัน และ Qualified Security Assessors (QSA) ที่เป็นบุคคลภายนอกสามารถช่วย ธุรกิจต่างๆ ในการรันถุงมือ PCI (ในราคา)

แม้แต่ธุรกิจที่เสนอเฉพาะ PayPal, Auth.net และบริการชำระเงินอื่นๆ เป็นตัวเลือกการชำระเงินต้องเป็นไปตามมาตรฐาน PCI เนื่องจากธุรกิจเหล่านั้นยังต้องส่งข้อมูลบัตรเครดิต

องค์ประกอบสากลอย่างหนึ่งคือความจำเป็นในการยืนยันว่าผู้ให้บริการทั้งหมดของคุณเป็นไปตามมาตรฐาน PCI ซึ่งรวมถึงผู้ให้บริการโฮสติ้งของคุณ แต่ยังขยายไปถึงผู้ประมวลผลการชำระเงิน เกตเวย์การชำระเงิน ผู้ให้บริการ POS และหน่วยงานอื่นๆ ที่สัมผัสข้อมูลผู้ถือบัตรของลูกค้าของคุณ

PCI Essentials สำหรับผู้ค้า

  • รักษาการปฏิบัติตามมาตรฐาน PCI การปฏิบัติตามข้อกำหนดต้องใช้ความตระหนักอย่างต่อเนื่องและการประยุกต์ใช้รายวัน งานมีตั้งแต่รายวันและรายปี แต่ทั้งหมดเกิดขึ้นซ้ำ
  • อย่าเพิ่งทำเครื่องหมายที่ "ใช่" กับทุกคำถามใน SAQ ความขยันเนื่องจากปกป้องธุรกิจและลูกค้าของคุณ
  • รู้จักโค้ดของคุณ หรือใช้นักพัฒนาที่ทำ . นำแนวทางปฏิบัติที่ดีที่สุดในการปรับใช้โดยใช้ไซต์การจัดเตรียมและการพัฒนาโดยไม่มีข้อยกเว้น
  • กำหนดนโยบายรหัสผ่านที่ปลอดภัย ใช้รหัสผ่านที่ซับซ้อนและไม่ซ้ำกัน และไม่อนุญาตให้พนักงานของคุณแบ่งปันข้อมูลรับรองการเข้าสู่ระบบหรือใช้รหัสผ่านเริ่มต้น
  • เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ภายในของคุณทั้งหมด และพิจารณาให้เป็นตัวเลือกสำหรับลูกค้าที่ลงชื่อเข้าใช้ไซต์ของคุณ
  • ใช้ไฟร์วอลล์ของเว็บแอปพลิเคชัน (WAF) ที่ Nexcess เรามีบริการหนึ่งรายการสำหรับลูกค้าทั้งหมดและเปิดใช้งานตามค่าเริ่มต้น
  • อย่าเพิ่งเชื่อคำพูดของผู้ให้บริการโฮสติ้งของคุณ ยืนยันว่าเป็นไปตามมาตรฐาน PCI และมีความสามารถโดยขอ (และรับ) เอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC)
  • คอยอัปเดตแอปพลิเคชันและส่วนขยายของคุณให้เป็นเวอร์ชันล่าสุดที่เสถียร และตรวจสอบภัยคุกคามและเวอร์ชันใหม่ๆ อยู่เสมอ

นอกเหนือจาก PCI

หากการปฏิบัติตาม PCI เพียงพอ การละเมิดขององค์กรที่มีชื่อเสียงจะไม่ค่อยเกิดขึ้นบ่อยนัก ปฏิบัติตามไม่ควรหมายความว่าพอใจ

ในความเป็นจริง การปฏิบัติตาม PCI คือ "Cardholder Data Security 101" เป็นมาตรฐานขั้นต่ำที่ยอมรับได้และเป็นการแนะนำที่สมเหตุสมผล แต่ PCI ยังห่างไกลจากความผิดพลาด บริษัทบัตรเครดิตต้องปฏิบัติตาม ผู้ค้าที่ปฏิบัติตามมาตรฐาน PCI จะมีประสิทธิภาพในการปกป้องผู้บริโภคมากกว่าธุรกิจที่จ่ายเงินให้แก่ลูกค้าโดยตรง แต่การปฏิบัติตาม PCI เป็นเพียงขั้นตอนแรกเท่านั้น

ลักษณะเฉพาะของ PCI ซึ่งเป็นเอกสารขนาดใหญ่ที่ได้รับการดูแลจัดการจะอัปเดตเป็นระยะเท่านั้น ทำให้มีช่องโหว่ มาตรฐานที่ถือว่าเพียงพอในเวอร์ชัน "ปัจจุบัน" มักถูกเปิดเผยว่าไม่เพียงพอ อาจต้องใช้เวลาหลายเดือนหรือหลายปีกว่าที่ PCI จะ "ตามทัน" และผู้ไม่หวังดีรู้ดีถึงข้อจำกัดของมัน

การป้องกันที่ดีที่สุดคือความรู้ ที่ Nexcess เรามีสมาชิกในทีมที่เชี่ยวชาญด้านการรักษาความปลอดภัยเว็บที่เชี่ยวชาญเรื่องภัยคุกคาม การละเมิด และมาตรการตอบโต้ใหม่ล่าสุด ผู้ค้าจำนวนมากอาจลังเลที่จะสมัครใช้บริการของผู้เชี่ยวชาญด้านความปลอดภัย อย่างน้อยที่สุด เราแนะนำให้สมัครรับการแจ้งเตือนด้านความปลอดภัยสำหรับแอปพลิเคชันอีคอมเมิร์ซของคุณและติดตามแหล่งข่าวการรักษาความปลอดภัยบนเว็บที่น่าเชื่อถืออย่างน้อยหนึ่งแหล่ง แหล่งที่มาทั้งสองตอบสนองเร็วกว่า PCI มาก และการติดตามจะช่วยให้คุณ "ตรวจพบควัน" ก่อนที่มันจะกลายเป็นไฟ

เราอยู่ในรายการ!

อย่าลืมว่าเรา "อยู่ในรายชื่อ" ของผู้ให้บริการที่สอดคล้องกับ PCI ซึ่งได้รับการยอมรับอย่างเป็นทางการจาก Visa Global Registry ซึ่งหมายความว่าเราได้แสดงความมุ่งมั่นอย่างต่อเนื่องในการทบทวนและปรับปรุงนโยบายความปลอดภัยของเราเพื่อให้ตรงตามข้อกำหนดและเกินข้อกำหนดของ PCI หากคุณกำลังมองหาผู้ให้บริการที่สอดคล้องกับ PCI การโฮสต์กับ Nexcess หมายความว่าคุณกำลังโฮสต์กับผู้ให้บริการที่ได้รับอนุมัติและเป็นที่ยอมรับ เรียนรู้เพิ่มเติมเกี่ยวกับการโฮสต์ที่สอดคล้องกับ PCI ด้วย Nexcess

สำหรับคำแนะนำเกี่ยวกับการปฏิบัติตาม PCI โปรด ติดต่อทีมขายของเรา ระหว่างเวลา 9.00 น. - 17.00 น. ตามเวลาตะวันออก วันจันทร์ถึงวันศุกร์