Nexcess 如何帮助您的商店保持 PCI 合规性
已发表: 2022-06-30拥有一个符合 PCI 标准的商店需要您和您的托管服务提供商的持续努力。 尽管没有捷径可走,但选择可靠的网络托管服务提供商是一个有效的起点。 即便如此,大多数 PCI 要求也只能由商家来满足。 继续阅读以了解有关主机和商家之间分界线的更多信息,以及为什么为您的客户超越 PCI 是值得的。
您在寻找符合 PCI 标准的主机吗? 访问我们的 PCI 合规性页面以了解更多信息。
什么是 PCI?
在电子商务中,PCI 是支付卡行业数据安全标准 (PCI DSS) 的简写。 PCI DSS 创建于 2004 年,旨在帮助保护消费者并防止信用卡欺诈。 任何接收、处理或存储PCI 安全委员会五个成员( VISA、MasterCard、American Express、Discover 和 JCB)的信用卡数据的组织都需要它。
委婉地说,要求的清单很广泛。 需求跨越六大类,每一类又分为数百个具体需求。 有些完全属于商家或托管提供商的领域,而有些则扩展到两者。 PCI 合规性也不是一次性要求,因为安全理事会会定期调整以应对消费者面临的新威胁。
合规不是“一劳永逸”的事件。 它需要每天、每周、每月和每年的任务来保持合规性。 共有 12 项一般要求,分为六类。 出于说明目的,我们列出了这些相同的类别,但还包括来自 PCI DSS 的更具体的要求。
PCI 合规性的 6 个关键类别
建立和维护一个安全的网络。 安装和维护防火墙。 使用唯一的、高安全性的密码替换默认密码时要特别小心。
保护持卡人数据。 尽可能不要存储持卡人数据。 如果有业务需要存储持卡人数据,那么您必须保护这些数据。 加密通过公共网络传递的任何数据,包括在您的购物车、您的 Web 托管服务提供商和您的客户之间传递的数据。
维护漏洞管理计划。 使用防病毒软件并保持最新状态。 开发和维护安全的操作系统和支付应用程序。 确保您的防病毒软件应用程序与您选择的信用卡公司兼容。
实施强有力的访问控制措施。 对持卡人数据的访问,无论是电子的还是物理的,都应该在需要知道的基础上进行。 确保具有电子访问权限的人员拥有唯一的 ID 和密码。 不允许人们共享登录凭据。 对您和您的员工进行数据安全教育,特别是 PCI 数据安全标准 (DSS)。
定期监控和测试网络。 跟踪和监控对网络和持卡人数据的所有访问。 维护安全系统和流程的定期测试计划,包括:防火墙、补丁、Web 服务器、电子邮件服务器和防病毒软件。
维护信息安全政策。 建立清晰而彻底的组织数据安全策略。 定期传播和更新本政策。
PCI 不合规可能导致每月 5000 美元到 100,000 美元不等的罚款,具体取决于违规组织的规模、严重程度和其他因素。 不合规还可能导致法律诉讼、安全漏洞和收入损失。
托管服务提供商的 PCI 要求
如果不征用合规托管服务提供商的服务,典型商家几乎不可能实现 PCI 合规。 托管自己网站的商家除了满足商家的要求外,还必须满足托管服务提供商的要求。 这种模式适用于亚马逊和沃尔玛这样的大型企业,但很少有其他企业。
以下是我们维护我们作为符合 PCI 的托管服务提供商的地位的系统和政策的一些亮点。 术语“持卡人数据环境”是指存储、处理或传输信用卡数据的任何系统,以及可以访问持卡人数据环境本身的任何系统。
我们维护一个 Web 应用程序防火墙 (WAF),它监控持卡人数据环境与其他网络之间的所有连接。 ModSec 禁止公共访问敏感区域,识别不受信任的连接,并向未经授权的方隐藏 IP 地址和路由信息。
我们对解决所有已知安全漏洞的所有系统组件应用行业认可的配置标准。 这延伸到我们的内部和外部网络、我们的操作系统和托管 Web 服务所需的硬件。
我们应用加密和安全协议来加密和保护持卡人数据,即使通过公共网络传输也是如此。 SSL 证书和其他受信任的安全密钥是单方面强制执行的。 只允许使用现代 TLS 密码。
我们通过 24 小时安全政策和经过培训的团队来限制对我们数据中心的物理访问。 这包括但不限于:
- 具有 90 天录像历史的视频监控
- 在大多数区域使用至少两因素身份验证(PIN、访问卡)和在包含持卡人数据环境的区域中使用三因素身份验证(PIN、访问卡、指纹)来安全进入
- 所有团队成员的可见识别
- 防止未经授权的公共访问的访客政策; 经授权的外部人员只能进入所需区域,并随时有人护送
- 只有当团队成员的角色需要时,他们才能访问持卡人数据环境
- 限制对网络插孔、无线接入点、网关、网络和其他通信线路的访问
我们跟踪和监控对网络资源和持卡人数据的访问,尽管维护日志和监控他们自己的应用程序(Magento、WordPress 等)的登录由客户负责。
我们会定期测试我们的安全系统和流程,并定期以及在任何重大基础设施升级后执行内部渗透测试。
商户的 PCI 要求
如果实施得当,PCI 合规性可帮助商家遵守公认的数据安全最佳实践。 与 PCI 合规提供商托管是坚实的第一步,但要合规仍需要您采取行动。
如果您的商店接受信用卡作为付款方式,那么无论您是否存储该数据,它都必须符合 PCI 标准。 选择符合 PCI 标准的网络主机只是第一步。 大多数可靠的网络托管服务商可以根据要求向商家提供概述其各自职责的材料,但最终要由商家了解和满足这些要求。
遗憾的是,没有“一刀切”的清单。 您的具体职责将根据您的商户级别(1-4,其中 1 最高)而有所不同,这通常取决于您的商店每年处理的信用卡交易数量。
大多数商家的一般流程是:
- 识别、理解和实施适当的 PCI DSS 要求。
- 完成自我评估问卷 (SAQ)。 SAQ 是一个列出要求的清单。 根据您的级别,其中一些或全部将适用于您。 1级商户要求最多; 4级,最少。 抵制在 SAQ 中简单地“检查每个框”的诱惑。 这样做会危及您的客户并使您的企业承担责任。 PCI 会因违规而蒙受损失,作为回应,它可能会调查您的 SAQ 和 AOC。
- 提交由经批准的扫描供应商 (ASV)进行的季度扫描,该供应商是一个独立、合格的机构,可对您的系统执行外部漏洞扫描。
- 完成合规证明 (AOC),这是一份声明您有资格执行并且实际上已尽您所能执行 SAQ 的文件。
- 如果被归类为 1 级商家,您必须采取额外步骤,包括现场评估。
如果攀登 PCI 合规性的巨大障碍对您没有吸引力,那么您并不孤单。 您的托管服务提供商可以回答与责任重叠相关的问题,第三方合格安全评估员 (QSA) 可以帮助企业运行 PCI 挑战(收费)。
即使是仅提供 PayPal、Auth.net 和其他支付服务作为支付选项的企业也必须符合 PCI 标准,因为这些企业仍必须传输信用卡数据。一个通用组件是需要确认您的所有服务提供商都符合 PCI 标准。 这包括您的托管服务提供商,但也延伸到支付处理器、支付网关、POS 提供商以及任何其他接触客户持卡人数据的实体。
商家的一些 PCI 要点
- 保持 PCI 合规性。 合规需要持续的意识和日常应用。 任务范围从每日到每年,但都是重复的。
- 不要只对 SAQ 中的每个问题都选择“是” 。 尽职调查可以保护您的业务和客户。
- 了解您的代码,或使用具有. 毫无例外地使用登台和开发站点实施部署的最佳实践。
- 建立安全的密码策略。 使用复杂、唯一的密码,绝不允许您的员工共享登录凭据或使用默认密码。
- 为所有内部用户启用双重身份验证,并考虑将其作为登录到您网站的客户的选项。
- 使用 Web 应用程序防火墙 (WAF) 。 在 Nexcess,我们为所有客户提供一个,并且默认启用。
- 不要只相信您的托管服务提供商的话。 通过要求(并获得)他们的合规性证明 (AOC) 来确认他们符合 PCI 标准并且有能力。
- 使您的应用程序和扩展保持最新的稳定版本,并积极监控新的威胁和版本。
超越 PCI
如果 PCI 合规性足够,那么对知名组织的违规行为就不会那么普遍了。 顺从不应该意味着自满。
实际上,PCI 合规性是“持卡人数据安全 101”。 这是可接受的最低标准和合理的介绍,但 PCI 远非万无一失。 信用卡公司要求合规。 遵守 PCI 标准的商家在保护消费者方面将比仅仅口头上的企业更有效,但 PCI 合规性只是第一步。
PCI 的本质——一个仅定期更新的大型策划文档——使其容易受到攻击。 在“当前”版本中被认为足够的标准通常被暴露为不充分的。 PCI 可能需要几个月甚至几年的时间才能“赶上”,而不良行为者很清楚它的局限性。
最好的保护是知识。 在 Nexcess,我们有专门从事网络安全的团队成员,他们精通最新的威胁、漏洞和对策。 许多商家可能不愿意寻求安全专家的服务。 至少,我们建议为您的电子商务应用程序订阅安全通知,并至少关注一个可靠的网络安全新闻来源。 这两种来源的反应都比 PCI 快得多,跟随它们将帮助您在它变成火灾之前“发现烟雾”。
我们在名单上!
不要忘记,我们是 Visa Global Registry 正式认可的 PCI 合规提供商“名单上”。 这意味着我们一直致力于审查和改进我们的安全策略,以匹配并超过 PCI 合规性要求。 如果您正在寻找符合 PCI 标准的提供商,那么使用 Nexcess 托管意味着您正在使用经过批准和认可的提供商进行托管。 详细了解 Nexcess 的 PCI 兼容托管。
如需有关 PCI 合规性的指导,请在东部时间周一至周五上午 9 点至下午 5 点联系我们的销售团队。