Nexcess, Mağazanızın PCI Uyumlu Kalmasına Nasıl Yardımcı Oluyor?

Yayınlanan: 2022-06-30

PCI uyumlu bir mağazaya sahip olmak, hem sizin hem de barındırma sağlayıcınızın sürekli çabalarını gerektirir. Hiçbir kısayol olmamasına rağmen, güvenilir bir web barındırma sağlayıcısı seçmek, başlamak için etkili bir yerdir. Buna rağmen, çoğu PCI gereksinimi yalnızca satıcı olan siz tarafından karşılanabilir. Ana bilgisayar ve tüccar arasındaki ayrım çizgisi ve müşterileriniz için PCI'nın ötesine geçmenin neden faydalı olabileceği hakkında daha fazla bilgi edinmek için okumaya devam edin.

PCI Uyumlu hosting mi arıyorsunuz? Daha fazla bilgi için PCI Uyumluluk sayfamızı ziyaret edin.

PCI Nedir?

fazla kilitli kasa E-ticarette PCI, Ödeme Kartı Endüstrisi Veri Güvenliği Standartlarının (PCI DSS) kısaltmasıdır. 2004 yılında oluşturulan PCI DSS, tüketicilerin korunmasına yardımcı olmayı ve kredi kartı sahtekarlığını önlemeyi amaçlar. PCI Güvenlik Konseyi'nin beş üyesinden herhangi birinin kredi kartı verilerini alan, işleyen veya saklayan herhangi bir kuruluş için gereklidir : VISA, MasterCard, American Express, Discover ve JCB.

Hafifçe söylemek gerekirse, gereksinimler listesi kapsamlıdır. Gereksinimler altı kategoriyi kapsar ve her kategori birkaç yüz özel gereksinime bölünür. Bazıları yalnızca tüccarların veya barındırma sağlayıcılarının etki alanına girerken, bazıları her ikisini de kapsar. Güvenlik Konseyi tüketicilere yönelik yeni tehditleri ele almak için periyodik ayarlamalar yaptığından, PCI uyumluluğu da tek seferlik bir gereklilik değildir.

Uyum, “tek ve bitmiş” bir olay değildir. Uyumluluğu sürdürmek için günlük, haftalık, aylık ve yıllık görevler gerektirir. Altı kategoriye ayrılmış 12 genel gereksinim vardır. Açıklama amacıyla, aynı kategorileri listeledik, ancak PCI DSS'den daha özel gereksinimleri de dahil ettik.

PCI Uyumluluğu için 6 Anahtar Kategori

Güvenli bir ağ oluşturun ve sürdürün. Bir güvenlik duvarı kurun ve bakımını yapın. Varsayılan parolaları değiştirmek için benzersiz, yüksek güvenlikli parolaları özel dikkatle kullanın.

Kart sahibi verilerini koruyun. Mümkün olduğunda, kart sahibi verilerini saklamayın. Kart sahibi verilerini depolamak için bir iş ihtiyacı varsa, bu verileri korumanız gerekir. Alışveriş sepetiniz, Web barındırma sağlayıcınız ve müşterileriniz arasında geçen veriler de dahil olmak üzere, genel ağlar üzerinden geçen tüm verileri şifreleyin.

Bir güvenlik açığı yönetim programı sürdürün. Virüsten koruma yazılımı kullanın ve güncel tutun. Güvenli işletim sistemleri ve ödeme uygulamaları geliştirin ve sürdürün. Virüsten koruma yazılımı uygulamalarınızın, seçtiğiniz kart şirketleriyle uyumlu olduğundan emin olun.

Güçlü erişim kontrol önlemleri uygulayın. Hem elektronik hem de fiziksel kart sahibi verilerine erişim, bilinmesi gereken bazında olmalıdır. Elektronik erişimi olan kişilerin benzersiz bir kimlik ve parolaya sahip olduğundan emin olun. İnsanların oturum açma kimlik bilgilerini paylaşmasına izin vermeyin. Kendinizi ve çalışanlarınızı veri güvenliği ve özellikle PCI Veri Güvenliği Standardı (DSS) konusunda eğitin.

Ağları düzenli olarak izleyin ve test edin. Ağlara ve kart sahibi verilerine tüm erişimi izleyin ve izleyin. Güvenlik duvarları, yamalar, web sunucuları, e-posta sunucuları ve antivirüs dahil olmak üzere güvenlik sistemleri ve süreçleri için düzenli bir test programı uygulayın.

Bir bilgi güvenliği politikası sürdürün. Açık ve kapsamlı bir kurumsal veri güvenliği politikası oluşturun. Bu politikayı düzenli olarak yayınlayın ve güncelleyin.

PCI uyumsuzluğu, kusurlu kuruluşun boyutuna, ciddiyetine ve diğer faktörlere bağlı olarak ayda 5000 ila 100.000 ABD Doları arasında değişen para cezalarıyla sonuçlanabilir. Uyumsuzluk ayrıca yasal işlemlere, güvenlik ihlallerine ve gelir kaybına neden olabilir.

Barındırma Sağlayıcıları için PCI Gereksinimleri

aşırı izleme Uyumlu bir barındırma sağlayıcısının hizmetlerinden yararlanmadan tipik bir tüccarın PCI uyumlu olması neredeyse imkansızdır. Kendi web sitelerini barındıran tüccarlar, tüccarlar için olan gereksinimleri karşılamanın yanı sıra barındırma sağlayıcı gereksinimlerini de karşılamalıdır. Böyle bir model, Amazon ve WalMart gibi büyük şirketler için işe yarar, ancak diğer pek azı.

Aşağıda, PCI uyumlu bir barındırma sağlayıcısı olarak durumumuzu koruyan sistemlerimizin ve ilkelerimizin öne çıkan özelliklerinden bazıları yer almaktadır. "Kart sahibi verileri ortamı" terimi, kredi kartı verilerini depolayan, işleyen veya ileten herhangi bir sistemin yanı sıra kart sahibi verileri ortamına erişimi olan herhangi bir sistemi ifade eder.

Kart sahibi verileri ortamı ve diğer ağlar arasındaki tüm bağlantıları izleyen bir web uygulaması güvenlik duvarı (WAF) sağlıyoruz. ModSec, hassas alanlara genel erişimi yasaklar, güvenilmeyen bağlantıları tanımlar ve IP adreslerini ve yönlendirme bilgilerini yetkisiz kişilerden gizler.

Bilinen tüm güvenlik açıklarını ele alan tüm sistem bileşenleri için endüstri tarafından kabul edilen yapılandırma standartlarını uyguluyoruz . Bu, iç ve dış ağımıza, işletim sistemlerimize ve web hizmetlerini barındırmak için gereken donanıma kadar uzanır.

Kart sahibi verilerini genel ağlar üzerinden iletilse bile şifreleyen ve koruyan kriptografi ve güvenlik protokolleri uyguluyoruz. SSL sertifikaları ve diğer güvenilir güvenlik anahtarları tek taraflı olarak uygulanır. Yalnızca modern TLS şifrelerine izin verilir.

Veri merkezimize fiziksel erişimi 24 saat güvenlik politikaları ve bunları uygulamak için eğitilmiş bir ekiple kısıtlıyoruz. Bu, aşağıdakileri içerir, ancak bunlarla sınırlı değildir:

  • 90 günlük görüntü geçmişine sahip video gözetimi
  • Çoğu alanda en az iki faktörlü kimlik doğrulama (PIN, erişim kartı) ve kart sahibi verileri ortamını barındıran alanlarda üç faktörlü kimlik doğrulama (PIN, erişim kartı, parmak izi) ile güvenli giriş
  • Tüm ekip üyelerinde görünür kimlik
  • Yetkisiz kamu erişimini engelleyen ziyaretçi politikası; yetkili harici kişilerin yalnızca gerekli alanlara erişimi vardır ve her zaman kendilerine eşlik edilir
  • Ekip üyelerine, yalnızca rolleri gerektiriyorsa kart sahibi verileri ortamına erişim izni verilir
  • Ağ jaklarına, kablosuz erişim noktalarına, ağ geçitlerine, ağlara ve diğer iletişim hatlarına kısıtlı erişim

Günlükleri tutmak ve kendi uygulamaları (Magento, WordPress vb.) için girişleri izlemek müşterilere düşse de, ağ kaynaklarına ve kart sahibi verilerine erişimi izliyor ve izliyoruz .

Güvenlik sistemlerimizi ve süreçlerimizi düzenli olarak test ediyor ve önemli altyapı yükseltmelerinin yanı sıra düzenli aralıklarla dahili sızma testleri yapıyoruz.

Satıcılar için PCI Gereksinimleri

Nexcess ile güvenli mağaza Düzgün bir şekilde uygulanan PCI uyumluluğu, tüccarların yaygın olarak kabul edilen en iyi veri güvenliği uygulamalarına bağlı kalmasına yardımcı olur. PCI uyumlu bir sağlayıcı ile barındırmak sağlam bir ilk adımdır, ancak uyumlu hale gelmek için yine de sizin tarafınızdan işlem yapılması gerekir.

Mağazanız ödeme olarak kredi kartlarını kabul ediyorsa, bu verileri depolasanız da saklamasanız da PCI uyumlu olmalıdır. PCI Uyumlu bir web barındırıcısı seçmek yalnızca ilk adımdır. Çoğu güvenilir web barındırıcısı, talep üzerine tüccarlara kendi sorumluluklarını özetleyen materyaller sağlayabilir, ancak nihayetinde bu gereksinimleri anlamak ve karşılamak tüccarların görevidir.

Ne yazık ki, "herkese uyan tek beden" bir kontrol listesi yoktur. Özel sorumluluklarınız, genellikle mağazanızın yıllık olarak işlediği kredi kartı işlemlerinin sayısına göre belirlenen satıcı düzeyinize göre (1-4, 1 en yüksek olmak üzere) değişecektir.

Çoğu tüccar için genel süreç:

  1. Uygun PCI DSS gereksinimlerini belirleyin, anlayın ve uygulayın.
  2. Bir Öz Değerlendirme Anketi (SAQ) doldurun. SAQ, gereksinimleri özetleyen bir kontrol listesidir. Seviyenize bağlı olarak, bazıları veya tümü sizin için geçerli olacaktır. Seviye 1 tüccarlar en çok gereksinime sahiptir; 4. seviye, en az.
    SAQ'da basitçe “her kutuyu işaretleme” cazibesine karşı koyun. Bunu yapmak müşterilerinizi tehlikeye sokar ve işletmenizi sorumluluğa maruz bırakır. PCI, ihlallerden para kaybedebilir ve buna karşılık olarak SAQ ve AOC'nizi araştırabilir.
  3. Sistemlerinizde harici güvenlik açığı taramaları yapan bağımsız, nitelikli bir yetkili olan Onaylı Tarama Satıcısı (ASV) tarafından üç ayda bir yapılan taramaya gönderin .
  4. Hem gerçekleştirmeye uygun olduğunuzu hem de SAQ'yu elinizden gelen en iyi şekilde uyguladığınızı iddia eden bir belge olan Uyumluluk Onayı'nı (AOC) tamamlayın.
  5. 1. seviye bir satıcı olarak sınıflandırıldıysanız, yerinde değerlendirme de dahil olmak üzere ek adımlar atmanız gerekir.

PCI uyumluluğunun önemli engelini aşmak size çekici gelmiyorsa, yalnız değilsiniz. Barındırma sağlayıcınız, örtüşen sorumlulukla ilgili soruları yanıtlayabilir ve üçüncü taraf Nitelikli Güvenlik Değerlendiricileri (QSA'lar), işletmelerin PCI eldivenini (bir ücret karşılığında) yürütmesine yardımcı olabilir.

Ödeme seçenekleri olarak yalnızca PayPal, Auth.net ve diğer ödeme hizmetlerini sunan işletmeler bile PCI uyumlu olmalıdır, çünkü bu işletmelerin yine de kredi kartı verilerini iletmesi gerekir.

Evrensel bir bileşen, tüm hizmet sağlayıcılarınızın PCI uyumlu olduğunu doğrulama ihtiyacıdır. Bu, barındırma sağlayıcınızı içerir, ancak ödeme işlemcilerini, ödeme ağ geçitlerini, POS sağlayıcılarını ve müşterilerinizin kart sahibi verilerine dokunan diğer varlıkları da kapsar.

Satıcılar için Bazı PCI Essentials

  • PCI uyumluluğunu koruyun. Uyum, sürekli farkındalık ve günlük uygulama gerektirir. Görevler günlük ve yıllık arasında değişir, ancak hepsi yinelenir.
  • SAQ'daki her soruya sadece “Evet”i işaretlemeyin . Durum tespiti işinizi ve müşterilerinizi korur.
  • Kodunuzu bilin veya bilen bir geliştirici kullanın . İstisnasız hazırlama ve geliştirme sitelerini kullanarak en iyi dağıtım uygulamalarını uygulayın.
  • Güvenli bir parola politikası oluşturun. Karmaşık, benzersiz parolalar kullanın ve personelinizin oturum açma kimlik bilgilerini paylaşmasına veya varsayılan parolaları kullanmasına asla izin vermeyin.
  • Tüm dahili kullanıcılarınız için iki faktörlü kimlik doğrulamayı etkinleştirin ve bunu sitenize giriş yapan müşteriler için bir seçenek olarak sunmayı düşünün.
  • Bir web uygulaması güvenlik duvarı (WAF) kullanın . Nexcess'te tüm istemciler için bir tane sağlıyoruz ve bu varsayılan olarak etkindir.
  • Bunun için sadece barındırma sağlayıcınızın sözünü almayın. Uygunluk Onaylarını (AOC) isteyerek (ve alarak) PCI Uyumlu ve yetkin olduklarını onaylayın.
  • Uygulamalarınızı ve uzantılarınızı en son kararlı sürüme kadar güncel tutun ve yeni tehditleri ve sürümleri aktif olarak izleyin .

PCI ötesinde

PCI uyumluluğu yeterli olsaydı, yüksek profilli kuruluşların ihlalleri çok daha az yaygın olurdu. Uyumlu, kayıtsız anlamına gelmemelidir.

Gerçekte, PCI uyumluluğu “Cardholder Data Security 101”dir. Kabul edilebilir minimum standart ve makul bir giriştir, ancak PCI yanılmaz olmaktan uzaktır. Kredi kartı şirketleri uyumluluk gerektirir. PCI standartlarına bağlı kalan tüccarlar, tüketicileri korumada, onlara sadece sözde hizmet veren işletmelerden daha etkili olacaktır, ancak PCI uyumluluğu yalnızca ilk adımdır.

PCI'nın doğası - yalnızca periyodik olarak güncellenen büyük, derlenmiş bir belge - onu savunmasız hale getirir. “Mevcut” versiyonda yeterli görülen standartlar genellikle yetersiz olarak teşhir edilmektedir. PCI'nin "yavaşlaması" aylar hatta yıllar alabilir ve kötü oyuncular sınırlamalarının gayet iyi farkındadır.

En iyi koruma bilgidir. Nexcess'te, en yeni tehditler, ihlaller ve karşı önlemler konusunda bilgili, web güvenliği konusunda uzmanlaşmış ekip üyelerimiz var. Birçok tüccar, bir güvenlik uzmanının hizmetlerini almak konusunda isteksiz olabilir. En azından, e-ticaret uygulamanız için güvenlik bildirimlerine abone olmanızı ve en az bir güvenilir web güvenliği haber kaynağını takip etmenizi öneririz. Her iki kaynak da PCI'den çok daha hızlı tepki verir ve bunları takip etmek, yangına dönüşmeden önce "dumanı tespit etmenize" yardımcı olur.

Listedeyiz!

Unutmayın, Visa Global Registry tarafından resmi olarak tanınan PCI uyumlu sağlayıcıların “Listesindeyiz”. Bu, PCI uyumluluk gereksinimlerini karşılamak ve aşmak için güvenlik politikalarımızı gözden geçirme ve iyileştirme konusunda sürekli bir taahhüt gösterdiğimiz anlamına gelir. PCI uyumlu bir sağlayıcı arıyorsanız Nexcess ile barındırma, onaylanmış ve tanınan bir sağlayıcı ile barındırma yaptığınız anlamına gelir. Nexcess ile PCI uyumlu barındırma hakkında daha fazla bilgi edinin.

PCI uyumluluğuyla ilgili rehberlik için , Pazartesi'den Cuma'ya doğu saatiyle 9:00-17:00 saatleri arasında satış ekibimizle iletişime geçin.