PCI uyumluluğu ve WooCommerce – Tüm bilmeniz gereken

Yayınlanan: 2021-06-15

İster bir e-ticaret sitesi kuruyor, bakımını yapıyor veya işletiyor olun, güvenlik sorumluluklarınızın farkında olmanız gerekir. Neyse ki, WooCommerce ile oluşturulanlar gibi çevrimiçi mağazaları güvenli ve emniyetli tutmanıza yardımcı olabilecek standartlar ve düzenlemeler var. Bunlar arasında en dikkat çekeni, Ödeme Kartı Sektörü Veri Güvenliği Standardı'dır (PCI-DSS).

Tüm WooCommerce sitelerinin PCI Uyumlu olması gerekiyor mu?

Hayır, WooCommerce kullanan tüm sitelerin PCI-DSS uyumlu olması gerekmez. Bu düzenlemeler, banka ve kredi kartlarıyla çevrimiçi ödemeleri kabul eden işletmeler için geçerlidir. Bir çevrimiçi katalog görüntülemek, fiyat teklifi isteklerini kabul etmek veya alışveriş yapanların çevrimiçi içermeyen siparişler vermesine izin vermek için WooCommerce kullanıyorsanız, PCI-DSS geçerli değildir. ödemeler.

PCI Uyumluluğunun amacı nedir?

PCI-DSS, WooCommerce müşterileriniz Visa, Mastercard, American Express veya Discover kartı gibi bir ödeme kartıyla ödeme yaptığında, gönderilen bilgilerin suçluların eline geçmemesini sağlamaya yardımcı olmak için burada. Mevzuata uygunluk nedir ve WordPress güvenliğini nasıl etkiler hakkında daha fazla bilgi edinin.

PCI Uyumlu olmaktan kim sorumludur?

Bu PCI standartları, kart sahibi verilerini kabul eden, ileten ve/veya saklayan tüm kuruluşlar için geçerlidir. Buna tüccarlar, işlemciler, alıcılar, ihraççılar ve hizmet sağlayıcılar dahildir. Özünde, kart sahibi verilerine veya hassas kimlik doğrulama verilerine dokunan tüm kuruluşlar bu kurallara uymalıdır.

WooCommerce tüccarları, elbette, bu düzenlemeleri yerine getirmek için satıcılara bağımlıdır. Bu, PCI uyumlu barındırmadan güvenli ödeme ağ geçitlerine ve işlemcilere kadar her şeyi içerir. Bu tür satıcılar, küçük işletmelerin ve yeni başlayanların bile bu güvenlik gereksinimlerini karşılamasını mümkün kılar.

Bir WooCommerce web sitesini PCI Uyumlu yapan nedir?

Çoğu güvenlikte olduğu gibi, kalan PCI uyumluluğu, tüccarların sürekli olarak çeşitli adımlar atmasını gerektirir. PCI-DSS Gereksinimleri ve Güvenlik Değerlendirme Prosedürleri belgesinin en son sürümü 139 sayfa uzunluğundadır. Neyse ki, bunların çoğu web sitesi sahipleri için değil, ödeme işlemcileri gibi satıcılar için geçerli olacak.

Sonuç olarak, aşağıdaki adımlar, bir PCI Öz Değerlendirme Anketi (SAQ) doldurduğunuzda ve PCI gereksinimlerini karşılayıp karşılamadığını belirlemek için web sitenizi taradığınızda, çok daha kolay bir zaman geçirmenizi sağlamaya yardımcı olacaktır. Ayrıca web sitenizi çoğu saldırıdan korumaya yardımcı olurlar.

Akılda tutulması gereken önemli öğeler

  • WordPress yazılımınızı güncel tutun.
  • WooCommerce ve diğer WordPress Eklentilerini ve/veya Uzantılarını güncelleyin.
  • Web barındırma ortamınız, en son güvenlik yamaları dahil olmak üzere güncel yazılımları çalıştırıyor olmalıdır.
  • Bir güvenlik duvarı yapılandırın ve bakımını yapın veya bunu sizin için yapacak bir ana bilgisayar seçin. WooCommerce web sunucuları, 7/24 izlenen güvenlik duvarı çözümleri sunmak için genellikle Cloudflare ve Sucuri gibi Web Uygulaması Güvenlik Duvarı (WAF) sağlayıcılarıyla birlikte çalışır.
  • SSL sertifikalarından yararlanarak verileri HTTPS üzerinden güvenli bir şekilde iletin.
  • Kötü amaçlı yazılım tarayıcıları çalıştırın veya bunu sürekli olarak yapan bir ana bilgisayar seçin. Gerçek zamanlı değilse, birinin her gün güvenlik raporları gördüğünden emin olun.
  • En az ayrıcalıklı erişim ilkelerine uyun, erişimi yalnızca kesinlikle ihtiyacı olanlarla paylaşın. Bu, WordPress yöneticinizi yalnızca beyaz listedeki IP adreslerine erişilebilir kılmak gibi temel adımları içerebilir.
  • Benzersiz kullanıcı kimlikleri ve güçlü parolalar kullanın. Bunları güvenli bir şekilde saklayın ve şifreleri en az 90 günde bir güncelleyin.
  • Her yöneticinin kendi oturum açma kimlik bilgilerine sahip olduğundan emin olun - kimlik bilgilerini paylaşmayın.
  • Web sitenizle etkileşime giren tüm sistemleri güvende tutun. Bu, WordPress yöneticinize erişmek için kullandığınız bilgisayarlarda güncel virüsten koruma yazılımı çalıştırmayı içerir.
  • Diğer uygulamaları ayrı olarak barındırın. Buna, diğer web sitelerini ayrı ayrı barındırmak ve ayrı e-posta barındırma kullanmak dahildir. Ek olarak, web sitenizin eski kopyaları ile sitenizin geliştirme veya hazırlama kopyaları üretim (canlı) barındırma ortamınızda olmamalıdır.
  • Güvenlik ihlallerini erkenden yakalamak ve serpintiyi en aza indirmek için izinsiz giriş tespit sistemlerini (IDS) devreye alın.
  • Web sitenizde, personelinizde ve satıcılarınızda yapılan değişiklikleri hesaba katarak güvenliğinizi gözden geçirmeye devam edin.
  • Mümkün olan her yerde çok faktörlü kimlik doğrulamayı kullanın. Bilgisayar korsanlarının WooCommerce mağazanızın arka ucuna erişmesini zorlaştırmak için bir WordPress iki faktörlü kimlik doğrulama (2FA) uzantısı eklemeyi düşünün.
  • Günlükleri ve yedekleri uygun şekilde saklayın. Bu, bir ihlal soruşturmasının parçası olarak ihtiyaç duyulmaları durumunda son derece önemlidir.

PCI Uyumluluk Sertifikamı nasıl alabilirim?

Bu hizmeti sağlayan belirli satıcılar vardır. Ödeme işlemciniz ve web barındırma sağlayıcınız ile bu tür hizmetleri sunup sunmadıklarını, bu hizmetleri içerip içermediklerini veya tavsiye edip etmediklerini öğrenmek için görüşmeniz genellikle iyi bir fikirdir. Ancak, PCI Security Standards Council tarafından sağlanan uzun bir onaylı tarama sağlayıcıları listesi vardır. Bunun tek seferlik bir prosedür olmadığını unutmayın, bu nedenle bu satıcıyla uzun yıllar çalışmayı umabilirsiniz.

Bir PCI Taraması geçmek, WooCommerce sitemin güvenli ve emniyetli olduğunu garanti eder mi?

PCI Uyumluluk değerlendirmeleri, gözlemlenebilir güvenlik politikalarını ve zayıflıkları ele alır ve tüccarların ihtiyaç duyduğu minimum güvenlik çabalarına odaklanır. Sitenizin başlangıçta PCI uyumluluğu onaylandıktan sonra güvenliğinizi sürdürmek çok önemlidir. Örneğin, yayınlandıktan sonraki 30 gün içinde yine de yeni güvenlik düzeltme ekleri yüklemeniz gerekiyor.

Ek olarak, güvenlik konusunda proaktif bir yaklaşım benimsemeniz şiddetle tavsiye edilir. Her zaman sıfır gün olayları vardır - yeni bir güvenlik açığından yararlanıldığı durumlar. Bu gibi durumlarda, yamalar henüz mevcut değildir. En iyi seçeneğiniz, izinsiz giriş tespit sistemi (IDS) gibi temel güvenlik araçlarından yararlanmaktır. Bu, bir alarm görevi görür ve size bir bilgisayar korsanlığı örneğini hızlı bir şekilde ele alma fırsatı vererek, aksi takdirde çok daha kötü olabilecek bir olayı en aza indirir. Genel olarak, WordPress e-ticaret çözümünüzün güvenli olması için birçok neden olduğunu söyleyebiliriz.

Bir PA-DSS sağlayıcı kullanmak, bir siteyi PCI Uyumlu yapar mı?

Ödeme Uygulaması Veri Güvenliği Standardına (PA-DSS) uyan ödeme işlemcileri, sitenizi otomatik olarak PCI uyumlu hale getirmez. Web barındırıcıları da yok. Alışveriş yapanları işlemlerini tamamlamak için site dışına çıkaran bir ödeme işlemcisi kullansanız bile, yine de yükümlülükleriniz vardır. Örneğin, yazılımınızı yamalamıyorsanız ve WordPress siteniz saldırıya uğradıysa, hırsızlar kredi kartı verilerini sifonlamak için ödemenizi kendi formlarıyla değiştirebilir. Bazı ödeme ağ geçitleri, ihlal risklerinizi azaltabilse de, sizi tüm güvenlik sorumluluklarınızdan muaf tutamazlar.

WooCommerce sitenizi PCI Uyumlu tutmamanın riskleri nelerdir?

WooCommerce siteniz ödeme kartlarını kabul ediyorsa ve PCI uyumlu değilse, birçok risk vardır. Ücret veya para cezası ödemek zorunda kalabilirsiniz veya hesabınıza hizmet vermeyi reddeden ödeme işlemcilerini bularak çevrimiçi ödemeleri kabul etme yeteneğinizi kesebilirsiniz. Bu nedenle WordPress e-ticaret ve iş siteleri için PCI DSS Uyumluluğu son derece önemlidir.

PCI-DSS düzenlemelerine uymadan bir veri ihlali yaşarsanız durum daha da kötüleşir. Olası yasal işlemler de dahil olmak üzere her türlü para cezası ve masraf vardır. Bu, zarar görmüş itibarınızın ve ayrıca kesinti süresine ve WooCommerce mağazanız için gelir kaybına neden olabilecek bir ihlali araştırma ve azaltma maliyetlerinin ötesindedir.

Bir ihlalden sonra, size hizmet vermeye istekli bir satıcı bulabilirseniz, ödeme kartlarını kabul etmeyi çok daha zor ve/veya daha maliyetli bulabilirsiniz. Bu gerçekten ayrıntılara bağlıdır, ancak temel güvenlik standartlarına uymadığınız için yüksek riskli olarak bulunursanız, işiniz üzerinde ciddi sonuçlar doğurabilir.

WooCommerce tüccarlarına PCI Uyumluluğu konusunda yardımcı olma konusunda uzmanlaşmış satıcılar var mı?

Evet! Örneğin, alışveriş yapanların sizin sakladığınız ödeme kartı bilgilerini göndermesini sağlamak yerine, kredi kartı bilgilerini güvenli bir şekilde iletebilen çok çeşitli ödeme ağ geçitleri vardır. Bunlara Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe ve daha fazlası gibi çözüm sağlayıcıları dahildir!

Tüketicilere şimdi al-sonra öde seçenekleri sunan Affirm, Bread, Katapult, Klarna, Sezzle ve ViaBill gibi alışveriş yapanlara benzersiz seçenekler sunan daha benzersiz ödeme ağ geçitleri ve WooCommerce kasanın yerini alan Bolt da vardır. yüksek düzeyde optimize edilmiş bir ödeme deneyimi. PayStand ve Apruve gibi B2B ödeme çözümleri bile var.

Benzer şekilde, e-Ticaret barındırma ortamınızı güvenli tutma konusunda uzmanlaşmış web barındırıcıları da vardır. Pek çok platform PCI Uyumluluğundan bahsederken, kötü amaçlı yazılım taraması, web uygulaması güvenlik duvarı, izinsiz giriş algılama, 7/24 izleme ve sizin için yönetmesi için güvenilir bir satıcıya ihtiyaç duyabileceğiniz diğer faktörlere dikkat etmek isteyeceksiniz.

Çözüm

Bir WooCommerce mağazası oluşturmak nispeten kolaydır, ancak devam eden doğru güvenlik uygulamaları olmadan, bu mağaza bilgisayar korsanlarına karşı güvence altına alınmayacaktır. Mağaza ödeme kartlarını kabul ederse, web sitesi sahipleri PCI uyumlu olmaktan sorumludur ve uyumlu satıcıları da seçmeleri gerekir. Neyse ki, PCI-DSS düzenlemelerine bağlı kalmayı oldukça zahmetsiz hale getirmeye yardımcı olacak birçok harika satıcı arasından seçim yapabilirsiniz.