การปฏิบัติตาม PCI และ WooCommerce – ทั้งหมดที่คุณต้องรู้

เผยแพร่แล้ว: 2021-06-15

ไม่ว่าคุณจะสร้าง บำรุงรักษา หรือดำเนินการเว็บไซต์อีคอมเมิร์ซ คุณต้องตระหนักถึงความรับผิดชอบด้านความปลอดภัยของคุณ โชคดีที่มีมาตรฐานและข้อบังคับที่สามารถช่วยให้คุณรักษาร้านค้าออนไลน์ได้ เช่น ร้านค้าที่สร้างด้วย WooCommerce ปลอดภัย สิ่งที่น่าสังเกตมากที่สุดในหมู่เหล่านี้คือมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI-DSS)

ไซต์ WooCommerce ทั้งหมดต้องเป็นไปตามมาตรฐาน PCI หรือไม่

ไม่ ไม่ใช่ทุกไซต์ที่ใช้ WooCommerce จะต้องเป็นไปตามมาตรฐาน PCI-DSS ข้อบังคับเหล่านี้ใช้กับธุรกิจที่ยอมรับการชำระเงินออนไลน์ด้วยบัตรเดบิตและบัตรเครดิต PCI-DSS ใช้ไม่ได้หากคุณใช้ WooCommerce เพื่อแสดงแค็ตตาล็อกออนไลน์ ยอมรับคำขอใบเสนอราคา หรือเพื่อให้ผู้ซื้อสามารถสั่งซื้อที่ไม่เกี่ยวข้องทางออนไลน์ การชำระเงิน

จุดประสงค์ของการปฏิบัติตาม PCI คืออะไร?

PCI-DSS อยู่ที่นี่เพื่อช่วยให้แน่ใจว่าเมื่อผู้ซื้อ WooCommerce ของคุณชำระเงินด้วยบัตรชำระเงิน เช่น Visa, Mastercard, American Express หรือ Discover card ข้อมูลที่ส่งจะไม่ตกไปอยู่ในมือของอาชญากร อ่านเพิ่มเติมเกี่ยวกับการปฏิบัติตามกฎข้อบังคับและผลกระทบต่อความปลอดภัยของ WordPress อย่างไร

ใครเป็นผู้รับผิดชอบในการเป็นไปตามมาตรฐาน PCI?

มาตรฐาน PCI เหล่านี้ใช้กับทุกองค์กรที่ยอมรับ ส่ง และ/หรือจัดเก็บข้อมูลผู้ถือบัตร ซึ่งรวมถึงผู้ค้า ผู้ประมวลผล ผู้ได้รับ ผู้ออกบัตร และผู้ให้บริการ โดยพื้นฐานแล้ว องค์กรใดๆ ที่สัมผัสข้อมูลผู้ถือบัตรหรือข้อมูลการตรวจสอบที่ละเอียดอ่อนต้องปฏิบัติตามกฎเหล่านี้

แน่นอนว่าผู้ค้า WooCommerce ต้องพึ่งพาผู้ขายเพื่อให้เป็นไปตามระเบียบข้อบังคับเหล่านี้ ซึ่งรวมถึงทุกอย่างตั้งแต่การโฮสต์ที่สอดคล้องกับ PCI ไปจนถึงเกตเวย์การชำระเงินและโปรเซสเซอร์ที่ปลอดภัย ผู้จำหน่ายดังกล่าวทำให้แม้แต่ธุรกิจขนาดเล็กและสตาร์ทอัพสามารถปฏิบัติตามข้อกำหนดด้านความปลอดภัยเหล่านี้ได้

อะไรทำให้เว็บไซต์ WooCommerce สอดคล้องกับ PCI?

เช่นเดียวกับการรักษาความปลอดภัยส่วนใหญ่ การปฏิบัติตามข้อกำหนด PCI ที่เหลือกำหนดให้ผู้ค้าดำเนินการตามขั้นตอนต่างๆ อย่างต่อเนื่อง เอกสารข้อกำหนด PCI-DSS และขั้นตอนการประเมินความปลอดภัยเวอร์ชันล่าสุดมีความยาว 139 หน้า โชคดีที่ส่วนใหญ่จะนำไปใช้กับผู้ขาย เช่น ผู้ดำเนินการชำระเงิน ไม่ใช่กับเจ้าของเว็บไซต์เอง

ในท้ายที่สุด ขั้นตอนเหล่านี้ด้านล่างจะช่วยให้แน่ใจว่าเมื่อคุณกรอกแบบสอบถาม PCI Self Assessment Questionnaire (SAQ) และให้เว็บไซต์ของคุณสแกนเพื่อพิจารณาว่าตรงตามข้อกำหนดของ PCI หรือไม่ คุณจะมีเวลาผ่านไปได้ง่ายขึ้นมาก นอกจากนี้ยังช่วยให้เว็บไซต์ของคุณปลอดภัยจากการโจมตีส่วนใหญ่

สิ่งสำคัญที่ควรทราบ

  • ทำให้ซอฟต์แวร์ WordPress ของคุณทันสมัยอยู่เสมอ
  • อัปเดต WooCommerce และปลั๊กอิน WordPress และ/หรือส่วนขยายอื่นๆ
  • สภาพแวดล้อมการโฮสต์เว็บของคุณต้องใช้งานซอฟต์แวร์ที่ทันสมัย ​​รวมถึงแพตช์ความปลอดภัยล่าสุด
  • กำหนดค่าและดูแลไฟร์วอลล์ หรือเลือกโฮสต์ที่จะทำสิ่งนี้ให้กับคุณ โฮสต์เว็บของ WooCommerce มักจะทำงานร่วมกับผู้ให้บริการ Web Application Firewall (WAF) เช่น Cloudflare และ Sucuri เพื่อเสนอโซลูชันไฟร์วอลล์ที่มีการตรวจสอบ 24/7
  • ส่งข้อมูลผ่าน HTTPS อย่างปลอดภัยโดยใช้ใบรับรอง SSL
  • เรียกใช้เครื่องสแกนมัลแวร์หรือเลือกโฮสต์ที่ดำเนินการอย่างต่อเนื่อง ตรวจสอบให้แน่ใจว่ามีคนเห็นรายงานความปลอดภัยทุกวัน หากไม่ใช่แบบเรียลไทม์
  • ปฏิบัติตามหลักการเข้าถึงที่มีสิทธิพิเศษน้อยที่สุด แบ่งปันการเข้าถึงเฉพาะกับผู้ที่ต้องการจริงๆ เท่านั้น ซึ่งอาจรวมถึงขั้นตอนพื้นฐาน เช่น การทำให้ผู้ดูแลระบบ WordPress ของคุณเข้าถึงได้เฉพาะที่อยู่ IP ที่อนุญาตพิเศษเท่านั้น
  • ใช้ ID ผู้ใช้ที่ไม่ซ้ำกันและรหัสผ่านที่รัดกุม เก็บไว้อย่างปลอดภัยและอัปเดตรหัสผ่านอย่างน้อยทุก 90 วัน
  • ตรวจสอบให้แน่ใจว่าผู้ดูแลระบบแต่ละคนมีข้อมูลรับรองการเข้าสู่ระบบของตนเอง - อย่าเปิดเผยข้อมูลรับรอง
  • รักษาระบบทั้งหมดที่โต้ตอบกับเว็บไซต์ของคุณให้ปลอดภัย ซึ่งรวมถึงการใช้งานซอฟต์แวร์ป้องกันไวรัสที่ทันสมัยบนคอมพิวเตอร์ที่คุณใช้เพื่อเข้าถึงผู้ดูแลระบบ WordPress ของคุณ
  • โฮสต์แอปพลิเคชันอื่นแยกต่างหาก ซึ่งรวมถึงการโฮสต์เว็บไซต์อื่นแยกต่างหากและการใช้อีเมลโฮสติ้งแยกต่างหาก นอกจากนี้ สำเนาเก่าของเว็บไซต์ของคุณรวมถึงสำเนาการพัฒนาหรือการจัดลำดับของเว็บไซต์ของคุณไม่ควรอยู่ในสภาพแวดล้อมการโฮสต์ที่ใช้งานจริง (จริง)
  • ปรับใช้ระบบตรวจจับการบุกรุก (IDS) เพื่อตรวจจับการละเมิดความปลอดภัยตั้งแต่เนิ่นๆ โดยลดผลกระทบให้เหลือน้อยที่สุด
  • ตรวจทานความปลอดภัย บัญชีสำหรับการเปลี่ยนแปลงที่เกิดขึ้นกับเว็บไซต์ บุคลากร และผู้ขายของคุณต่อไป
  • ใช้การพิสูจน์ตัวตนแบบหลายปัจจัย พิจารณาเพิ่มส่วนขยายการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress (2FA) เพื่อให้แฮกเกอร์เข้าถึงแบ็กเอนด์ของร้านค้า WooCommerce ของคุณได้ยากขึ้น
  • จัดเก็บบันทึกและสำรองข้อมูลอย่างเหมาะสม นี่เป็นสิ่งสำคัญอย่างยิ่งในกรณีที่จำเป็นต้องเป็นส่วนหนึ่งของการสอบสวนการละเมิด

ฉันจะรับใบรับรองการปฏิบัติตามมาตรฐาน PCI ได้อย่างไร

มีผู้จำหน่ายเฉพาะที่ให้บริการนี้ คุณควรตรวจสอบกับผู้ประมวลผลการชำระเงินและผู้ให้บริการเว็บโฮสติ้งเพื่อดูว่าพวกเขาเสนอ รวม หรือแนะนำบริการดังกล่าวหรือไม่ อย่างไรก็ตาม มีรายชื่อผู้จำหน่ายการสแกนที่ได้รับอนุมัติจำนวนมากจาก PCI Security Standards Council จำไว้ว่านี่ไม่ใช่ขั้นตอนเดียว ดังนั้นคุณสามารถหวังว่าจะทำงานร่วมกับผู้ขายรายนี้ได้อีกหลายปี

ผ่านการสแกน PCI รับประกันไซต์ WooCommerce ของฉันปลอดภัยหรือไม่

การประเมินการปฏิบัติตามข้อกำหนดของ PCI ระบุถึงนโยบายและจุดอ่อนด้านความปลอดภัยที่สังเกตได้ และเน้นที่ความพยายามด้านความปลอดภัยขั้นต่ำที่ผู้ค้ากำหนด การรักษาความปลอดภัยของคุณเป็นสิ่งสำคัญหลังจากที่ไซต์ของคุณได้รับการรับรองมาตรฐาน PCI ในขั้นต้น ตัวอย่างเช่น คุณยังต้องติดตั้งแพตช์ความปลอดภัยใหม่ภายใน 30 วันหลังจากเปิดตัว

นอกจากนี้ ขอแนะนำอย่างยิ่งให้ใช้แนวทางเชิงรุกในการรักษาความปลอดภัย มีเหตุการณ์ซีโร่เดย์อยู่เสมอ – อินสแตนซ์ที่มีการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยใหม่ ในกรณีเช่นนี้ แพตช์ยังไม่มี ทางออกที่ดีที่สุดของคุณคือการใช้ประโยชน์จากเครื่องมือรักษาความปลอดภัยขั้นพื้นฐาน เช่น ระบบตรวจจับการบุกรุก (IDS) สิ่งนี้ทำหน้าที่เป็นสัญญาณเตือน ทำให้คุณมีโอกาสจัดการกับตัวอย่างการแฮ็กได้อย่างรวดเร็ว และลดเหตุการณ์ที่อาจเลวร้ายยิ่งกว่านั้นให้เหลือน้อยที่สุด โดยทั่วไป เราสามารถพูดได้ว่ามีหลายสาเหตุว่าทำไมโซลูชันอีคอมเมิร์ซของ WordPress จึงต้องปลอดภัย

การใช้ผู้ให้บริการ PA-DSS ทำให้ไซต์เป็นไปตามมาตรฐาน PCI หรือไม่

ผู้ประมวลผลการชำระเงินที่ปฏิบัติตาม Payment Application Data Security Standard (PA-DSS) ไม่ได้ทำให้ไซต์ของคุณสอดคล้องกับ PCI โดยอัตโนมัติ ไม่ทำเว็บโฮสต์ แม้ว่าคุณจะใช้ตัวประมวลผลการชำระเงินที่นำผู้ซื้อออกจากไซต์เพื่อทำธุรกรรมให้เสร็จสิ้น คุณก็ยังมีความรับผิด ตัวอย่างเช่น หากคุณไม่ได้ทำการแพตช์ซอฟต์แวร์ และไซต์ WordPress ของคุณถูกแฮ็ก โจรอาจเปลี่ยนการชำระเงินของคุณเป็นแบบฟอร์มของตนเองเพื่อดูดกลืนข้อมูลบัตรเครดิต แม้ว่าเกตเวย์การชำระเงินบางแห่งสามารถลดความเสี่ยงของการละเมิดได้ แต่ก็ไม่สามารถยกเลิกความรับผิดชอบด้านความปลอดภัยทั้งหมดของคุณได้

อะไรคือความเสี่ยงของการไม่รักษาไซต์ WooCommerce ให้สอดคล้องกับ PCI?

หากไซต์ WooCommerce ของคุณยอมรับบัตรชำระเงินและไม่สอดคล้องกับ PCI ก็มีความเสี่ยงมากมาย คุณอาจถูกบังคับให้จ่ายค่าธรรมเนียมหรือค่าปรับ หรือค้นหาผู้ประมวลผลการชำระเงินที่ปฏิเสธที่จะให้บริการบัญชีของคุณ ซึ่งเป็นการตัดความสามารถในการรับชำระเงินออนไลน์ของคุณ นั่นเป็นเหตุผลที่การปฏิบัติตาม PCI DSS สำหรับเว็บไซต์อีคอมเมิร์ซและธุรกิจของ WordPress มีความสำคัญอย่างยิ่ง

จะแย่ลงไปอีกหากคุณมีการละเมิดข้อมูลโดยที่ไม่ปฏิบัติตามระเบียบ PCI-DSS มีค่าปรับและค่าใช้จ่ายทุกประเภท รวมถึงการดำเนินคดีทางกฎหมายที่อาจเกิดขึ้น นั่นอยู่นอกเหนือชื่อเสียงที่เสียหายของคุณ และค่าใช้จ่ายในการตรวจสอบและบรรเทาการละเมิด ซึ่งอาจทำให้หยุดทำงานและสูญเสียรายได้สำหรับร้านค้า WooCommerce ของคุณ

หลังจากการฝ่าฝืน คุณอาจพบว่าการรับบัตรชำระเงินยากขึ้นและ/หรือเสียค่าใช้จ่ายมากขึ้น หากคุณสามารถหาผู้ขายที่ยินดีให้บริการคุณ ขึ้นอยู่กับรายละเอียดจริง ๆ แต่ถ้าคุณพบว่ามีความเสี่ยงสูงเนื่องจากคุณไม่ได้ปฏิบัติตามมาตรฐานความปลอดภัยขั้นพื้นฐาน อาจมีผลกระทบร้ายแรงต่อธุรกิจของคุณ

มีผู้ขายที่เชี่ยวชาญในการช่วยเหลือผู้ค้า WooCommerce ด้วยการปฏิบัติตาม PCI หรือไม่?

ใช่! ตัวอย่างเช่น แทนที่จะให้ผู้ซื้อส่งข้อมูลบัตรชำระเงินที่คุณเก็บไว้ มีเกตเวย์การชำระเงินมากมายที่สามารถส่งข้อมูลบัตรเครดิตได้อย่างปลอดภัย ซึ่งรวมถึงผู้ให้บริการโซลูชัน เช่น Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe และอีกมากมาย!

นอกจากนี้ยังมีเกตเวย์การชำระเงินที่ไม่เหมือนใครซึ่งเสนอทางเลือกเฉพาะให้กับผู้ซื้อ เช่น Affirm, Bread, Katapult, Klarna, Sezzle และ ViaBill ซึ่งเสนอตัวเลือกการซื้อตอนนี้จ่ายภายหลังให้กับผู้บริโภค และ Bolt ซึ่งแทนที่การชำระเงิน WooCommerce ด้วย ประสบการณ์การชำระเงินที่ปรับให้เหมาะสมที่สุด มีแม้กระทั่งโซลูชันการชำระเงินแบบ B2B เช่น PayStand และ Apruve

ในทำนองเดียวกัน มีโฮสต์เว็บที่เชี่ยวชาญในการรักษาสภาพแวดล้อมการโฮสต์อีคอมเมิร์ซของคุณให้ปลอดภัย แม้ว่าหลายแพลตฟอร์มจะกล่าวถึงการปฏิบัติตามมาตรฐาน PCI แต่คุณก็ยังต้องระวังการสแกนมัลแวร์ ไฟร์วอลล์ของเว็บแอปพลิเคชัน การตรวจจับการบุกรุก การตรวจสอบตลอด 24 ชั่วโมงทุกวัน และปัจจัยอื่นๆ ที่คุณอาจต้องการให้ผู้ขายที่เชื่อถือได้จัดการให้คุณ

บทสรุป

การสร้างร้านค้า WooCommerce นั้นค่อนข้างง่าย แต่หากไม่มีแนวทางปฏิบัติด้านความปลอดภัยที่ถูกต้องอย่างต่อเนื่อง ร้านค้านั้นจะไม่ปลอดภัยจากแฮกเกอร์ หากร้านค้ายอมรับบัตรชำระเงิน เจ้าของเว็บไซต์จะต้องรับผิดชอบต่อการปฏิบัติตามข้อกำหนด PCI และต้องเลือกผู้ขายที่ปฏิบัติตามข้อกำหนดด้วย โชคดีที่มีผู้ขายชั้นยอดมากมายให้เลือกเพื่อช่วยให้การปฏิบัติตามกฎระเบียบ PCI-DSS เป็นไปอย่างง่ายดาย