PCI Uyumluluk Gereksinimlerini Elde Etme ve Sürdürme

Yayınlanan: 2022-06-30

Magento 1 işletmeniz kredi kartı bilgilerini işliyorsa, PCI DSS'deki 300+ güvenlik gereksinimlerinin zaten farkında olabilirsiniz. Aşina değilseniz, bu makale bazı temel bilgileri ele alacak ve uyumluluğu onaylamak için kaynaklar sunacaktır.

2006 yılında American Express, Discover, JCB International, Mastercard ve Visa tarafından kurulan Ödeme Kartı Sektörü Veri Güvenliği Standartları (PCI DSS), kredi kartı işlemlerinin işlenmesiyle ilgili veri güvenliği için minimum standardı belirler. Ödeme ekosisteminde dolandırıcılık ve veri ihlallerinin azaltılmasına yardımcı olur ve kredi kartlarıyla ödeme kabul eden veya işleyen tüm kuruluşlar için geçerlidir.

PCI DSS Uyumluluğu

PCI DSS uyumluluğu üç ana kuralı içerir:

  1. Tüketicilerden gelen hassas kredi kartı verileri güvenli bir şekilde toplanmalı ve iletilmelidir.
  2. Bu veriler, kart verilerine erişimin şifreleme, sürekli izleme ve güvenlik testi kullanılarak güvenli bir şekilde saklanmalıdır.
  3. Yıllık bazda, gerekli güvenlik kontrollerinin yürürlükte olduğunun doğrulanması

Tüketicilerden gelen hassas veriler

Kart verilerini işleyen şirketlerin PCI DSS'deki 300'den fazla güvenlik kontrolünün her birini karşılaması gerekebilir. Kart verileri yalnızca bir an için bir işletmenin altyapısını dolaşsa bile, şirketin güvenlik yazılımı ve donanımı satın alması, uygulaması ve bakımını yapması gerekir.

Bir şirketin hassas kredi kartı verilerini işlemesi gerekmiyorsa , olmamalıdır. Üçüncü taraf çözümler (Stripe gibi), kredi kartı verilerini güvenli bir şekilde kabul edip saklayarak önemli ölçüde karmaşıklığı, maliyeti ve riski ortadan kaldırır. Kart verileri işletmenizin sunucularına asla dokunmazsa, güçlü parolalar kullanmak gibi nispeten basit 22 güvenlik kontrolünü onaylamanız yeterlidir.

Verileri güvenli bir şekilde saklayın

Bir kuruluş kredi kartı verilerini işler veya depolarsa, kart sahibi verileri ortamının (CDE) kapsamını tanımlaması gerekir. PCI DSS, CDE'yi kredi kartı verilerini veya buna bağlı herhangi bir sistemi depolayan, işleyen veya ileten kişiler, süreçler ve teknolojiler olarak tanımlar.

PCI DSS'deki 300'den fazla güvenlik gereksiniminin tümü CDE için geçerli olduğundan, PCI doğrulama kapsamını sınırlamak için ödeme ortamını işin geri kalanından uygun şekilde bölümlere ayırmak önemlidir. Bir kuruluş CDE kapsamını içeremezse, PCI güvenlik kontrolleri şirket ağındaki her sistem, dizüstü bilgisayar ve cihaz için geçerli olacaktır. Kimsenin buna vakti yok.

Gerekli güvenlik kontrollerinin yıllık olarak gözden geçirilmesi

Kart verilerinin nasıl kabul edildiğine bakılmaksızın, kredi kartı ödemeleriyle ilgilenen kuruluşların uyumluluğu sürdürmek için yıllık olarak bir PCI doğrulama formu doldurması gerekir.

PCI DSS için 12 Ana Gereksinim

En yeni güvenlik standartları olan PCI DSS sürüm 3.2.1, en iyi güvenlik uygulamalarını yansıtan 300'den fazla alt gereksinimle birlikte 12 ana gereksinimi içerir.

Bu 12 ana gereksinim şunlardır:

  1. Kart sahibi bilgilerini korumak için bir güvenlik duvarı yapılandırması kurun ve sürdürün
  2. Sistem parolaları ve diğer güvenlik parametreleri için asla satıcı tarafından sağlanan varsayılanları kullanmayın
  3. Depolanan kart sahibi verilerini koruyun
  4. Açık veya genel ağlar üzerinden kart sahibi verilerinin iletimini şifreleyin
  5. Tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve virüsten koruma yazılımını düzenli olarak güncelleyin
  6. Güvenli sistemler ve uygulamalar geliştirin ve sürdürün
  7. Kart sahibi verilerine erişimi kısıtlayın
  8. Sistem bileşenlerine erişimi tanımlayın ve doğrulayın
  9. Kart sahibi verilerine fiziksel erişimi kısıtlayın
  10. Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve izleyin
  11. Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin
  12. Tüm çalışanlar için bilgi güvenliğini ele alan bir politika sürdürmek

Yeni işletmeler, her biri tüm PCI DSS gereksiniminin bir alt kümesi olan dokuz öz değerlendirme anketi aracılığıyla PCI uyumluluğunu doğrulayabilir. Zorluk , işiniz için hangi gereksinimlerin gerekli olduğunu bulmaya çalışmaktan gelir. Bazı işletmeler, her bir PCI DSS gereksiniminin karşılandığından emin olmak için PCI Konseyi onaylı bir denetçi tutacaktır. Ve bu yeterince karmaşık değilmiş gibi, PCI Konseyi her üç yılda bir kuralları gözden geçirir ve her yıl güncellemeler yayınlar. İşletmeler bu faktörleri göz önünde bulundurarak kredi kartı verilerini nasıl güvence altına alabilir ve PCI uyumluluğunu nasıl sürdürebilir?

Güvenli Olmanın Yolları

Nitelikli bir güvenlik değerlendiricisi (QSA) şirketi kiralamaktan PCI 3 Adımlı Süreci kullanmaya ve Stripe ile ortaklaşa Nexcess Safe Harbor aracılığıyla web sitenizi PCI DSS gereksinimleriyle güvence altına almanın kabul edilen birkaç yolu vardır.

1. Nitelikli Bir Güvenlik Değerlendiricisi

Nitelikli Güvenlik Değerlendiricisi, PCI Konseyi tarafından yerinde PCI Veri Güvenliği Standardı değerlendirmeleri yapmak üzere yetkilendirilmiş bir veri güvenliği firmasıdır. Bir değerlendirici, satıcı veya hizmet sağlayıcı tarafından verilen tüm teknik bilgileri doğrulayacak ve standardın karşılandığını doğrulamak için bağımsız yargı kullanacaktır. Nitelikli Güvenlik Değerlendiricisi (QSA) şirketlerinin bir listesi burada bulunabilir.

2. PCI 3 Adımlı İşlem

  1. Asses Kart sahibi verilerini belirleme, ödeme kartı işleme için BT varlıklarının ve iş süreçlerinin envanterini çıkarma ve bunları güvenlik açıkları için analiz etme.
  2. Düzeltme Güvenlik açıklarını düzeltme ve kesinlikle gerekli olmadıkça kart sahibi verilerinin depolanmasını ortadan kaldırma.
  3. Rapor Gerekli raporların derlenmesi ve uygun satın alan banka ve kart markalarına sunulması.

3. Güvenli Liman

Magento 1, Haziran 2020'de kullanım ömrünün sonuna ulaştı ve Adobe resmi güvenlik güncellemeleri yayınlamayı bıraktığında binlerce e-ticaret sitesini bir uyumluluk gri alanına soktu.

E-ticaret uygulamasının kendisi, PCI uyumluluğunun gerçekten gerektirdiğinin yalnızca küçük bir bölümünü temsil ederken, e-ticaret sitelerini Magento 1'de çalıştıran tüccarlar için, unutulmaması gereken önemli şey, artık platform için yayınlanan güvenlik yamaları ve güncellemeleri olmayacağıdır. Nexcess Safe Harbor gibi bir çözüme yatırım yapmadıkları sürece kendi başlarınalar. Magento 1 modüllerini müşterileri için devam ettirme taahhüdüne sahip olan Stripe'a göz atmanızı şiddetle öneririz.

Şerit

Stripe, kullanıcıların Stripe ürünlerini Magento 1 içinde güvenli bir şekilde kullanmalarını sağlamaya kararlıdır. Bu amaçla Nexcess, sitenizin PCI uyumluluğunu basitleştirmek için Stripe.js ve Elements kullanan Stripe'in resmi Magento 1 modülünü yüklemenizi önerir. Stripe, bu çözümün Ödeme Kartı Endüstrisi Veri Güvenliği Standartlarına (PCI DSS) uymasını sağlamak için Stripe Magento 1 modülü için hata düzeltmeleri ve güvenlik güncellemeleri yayınlamaya devam edecektir.

Çözüm

Gördüğünüz gibi, PCI uyumluluğunu sağlamak ve sürdürmek küçük bir başarı değil. Ancak doğru bilgiler, bir uyumluluk uzmanının yardımı ve Nexcess Safe Harbor ile hala Magento 1'de faaliyet gösteren işletmeler, müşterilerinin kredi kartı verilerini güvende ve güvende tutabilir.