实现和维护 PCI 合规性要求

已发表: 2022-06-30

如果您的 Magento 1 业务处理信用卡信息,您可能已经了解 PCI DSS 中的 300 多项安全要求。 如果您不熟悉,本文将介绍一些基础知识并提供用于证明合规性的资源。

支付卡行业数据安全标准 (PCI DSS) 由 American Express、Discover、JCB International、Mastercard 和 Visa 于 2006 年创立,为处理信用卡交易的数据安全设定了最低标准。 它有助于减少整个支付生态系统中的欺诈和数据泄露,适用于任何通过信用卡接受或处理支付的组织。

PCI DSS 合规性

PCI DSS 合规性涉及三个主要规则:

  1. 应安全收集和传输来自消费者的敏感信用卡数据
  2. 必须通过加密、持续监控和访问卡数据的安全测试来安全地存储这些数据
  3. 每年验证所需的安全控制措施是否到位

来自消费者的敏感数据

处理卡数据的公司可能需要满足 PCI DSS 中的 300 多项安全控制。 即使卡数据只在企业的基础设施中传输片刻,公司也需要购买、实施和维护安全软件和硬件。

如果一家公司不需要处理敏感的信用卡数据,它就不应该。 第三方解决方案(如 Stripe)安全地接受和存储信用卡数据,消除了相当大的复杂性、成本和风险。 如果卡数据从不接触您企业的服务器,您只需要确认 22 个相对简单的安全控制,例如使用强密码。

安全地存储数据

如果组织处理或存储信用卡数据,则需要定义其持卡人数据环境 (CDE) 的范围。 PCI DSS 将 CDE 定义为存储、处理或传输信用卡数据或与之连接的任何系统的人员、流程和技术。

由于 PCI DSS 中的所有 300 多项安全要求都适用于 CDE,因此将支付环境与业务的其他部分正确分割以限制 PCI 验证的范围非常重要。 如果一个组织无法包含 CDE 范围,那么 PCI 安全控制将适用于其公司网络上的每个系统、笔记本电脑和设备。 没有人有时间这样做。

对所需安全控制的年度审查

无论卡数据如何被接受,处理信用卡支付的组织都需要每年填写一份 PCI 验证表以保持合规性。

12 PCI DSS 的主要要求

最新的安全标准 PCI DSS 版本 3.2.1 包括 12 个主要要求和 300 多个反映安全最佳实践的子要求。

这12个主要要求是:

  1. 安装和维护防火墙配置以保护持卡人信息
  2. 切勿对系统密码和其他安全参数使用供应商提供的默认值
  3. 保护存储的持卡人数据
  4. 加密跨开放或公共网络的持卡人数据传输
  5. 保护所有系统免受恶意软件侵害并定期更新防病毒软件
  6. 开发和维护安全的系统和应用程序
  7. 限制对持卡人数据的访问
  8. 识别和验证对系统组件的访问
  9. 限制对持卡人数据的物理访问
  10. 跟踪和监控对网络资源和持卡人数据的所有访问
  11. 定期测试安全系统和流程
  12. 维护解决所有员工信息安全问题的政策

新企业可以通过九份自我评估问卷来验证 PCI 合规性,每份问卷都是整个 PCI DSS 要求的一个子集。 困难在于试图弄清楚您的业务需要哪些要求。 一些企业将聘请 PCI 委员会批准的审核员,以确保满足每项 PCI DSS 要求。 好像这还不够复杂——PCI 委员会每三年修订一次规则,并在每年发布更新。 考虑到这些因素,企业如何保护他们的信用卡数据并保持 PCI 合规性?

确保安全的方法

有许多公认的方法可以按照 PCI DSS 要求保护您的网站,从聘请合格的安全评估 (QSA) 公司到利用 PCI 3 步流程,以及通过与 Stripe 合作的 Nexcess Safe Harbor。

1.合格的安全评估员

合格的安全评估员是一家获得 PCI 委员会资格的数据安全公司,可以执行现场 PCI 数据安全标准评估。 评估员将验证商家或服务提供商提供的所有技术信息,并使用独立判断来确认是否符合标准。 可以在此处找到合格安全评估员 (QSA) 公司的列表。

2. PCI 3 步流程

  1. 评估识别持卡人数据,清点 IT 资产和业务流程以进行支付卡处理,并分析它们的漏洞。
  2. 除非绝对必要,否则修复漏洞并消除持卡人数据的存储。
  3. 报告编制并向相应的收单银行和信用卡品牌提交所需的报告。

3.安全港

Magento 1 于 2020 年 6 月终止使用,当 Adob​​e 停止发布官方安全更新时,数千个电子商务网站进入合规灰色区域。

虽然电子商务应用程序本身只代表了 PCI 合规性真正需要的一小部分,但对于仍在 Magento 1 上运行其电子商务网站的商家来说,需要注意的重要一点是将不再为该平台发布安全补丁和更新。 除非他们投资了像 Nexcess Safe Harbor 这样的解决方案,否则他们只能靠自己。 我们强烈建议您查看 Stripe,它承诺让他们的 Magento 1 模块继续为客户服务。

条纹

Stripe 始终致力于使用户能够在 Magento 1 中安全地使用 Stripe 的产品。为此,Nexcess 鼓励您安装 Stripe 的官方 Magento 1 模块,该模块使用 Stripe.js 和 Elements 来简化您网站的 PCI 合规性。 Stripe 将继续为 Stripe Magento 1 模块发布错误修复和安全更新,以确保该解决方案符合支付卡行业数据安全标准 (PCI DSS)。

结论

如您所见,实现和维护 PCI 合规性并非易事。 但是,有了正确的信息、合规专家的帮助和 Nexcess 安全港,仍在 Magento 1 上运营的企业可以确保其客户的信用卡数据安全可靠。