什么是合规性以及它如何影响 WordPress 安全性?

已发表: 2019-07-24

为了开展业务,您的 WordPress 网站和业务必须遵守规则和规定。 这些规则和条例可能以法律的形式出现(例如 GDPR 或 HIPAA)。 它们也可能是合规性要求,例如 PCI DSS 或 ISO 27001,并且可能因国家/地区而异。

什么是合规?

监管合规,或者简单地说,合规描述了企业符合监管机构规定的规则和既定准则的状态。

合规性是任何重视透明度、安全性和问责制的组织的重要组成部分。 企业可以利用合规性以正确的态度按照要求、法律和法规开展业务。 当然,还要提高他们的业务运营和 WordPress 网站的安全性。

每个企业都是不同的。 因此,在合规方面没有可遵循的千篇一律的模板。 它还取决于您的业务在世界上的哪个位置开展业务、与谁开展业务以及您的 WordPress 网站从最终用户那里收集哪些数据。

虽然不可能列出所有合规性法规,但以下是一些作为 WordPress 网站所有者需要注意的常见法规:

  • 通用数据保护条例 (GDPR)是欧盟 (EU) 的数据保护和隐私立法。 它有助于加强对欧盟公民处理个人数据的保护。
  • 支付卡行业数据安全标准 (PCI DSS)是用于处理信用卡数据的组织(例如电子商务商店)的信息安全标准。 PCI DSS 的范围是加强对处理和管理持卡人数据的控制,以减少信用卡欺诈。 如果您有电子商务解决方案,或在线销售任何东西,请阅读我们为 WordPress 网站所有者提供的 PCI DSS 指南。
  • ISO 27001是一个规范,概述了政策和程序框架,其中包括组织风险管理过程中涉及的法律、物理和技术控制。
  • 健康保险流通与责任法案 (HIPAA)是美国的一项立法。 它解决了患者医疗记录的数据隐私和安全问题。

为什么存在法规遵从性?

出于不同的原因,存在不同的法规遵从性要求。 通常,存在合规性要求以帮助企业实现一定程度的安全性。 根据合规要求或法规,有些可能要求组织接受定期审计。 通常,企业会因不合格而面临罚款或失去认证的处罚。

在安全方面,合规性起着重要作用。 许多合规性要求(以不同程度的详细程度)概述了为满足所述合规性法规的特定标准而必须实施的安全控制和流程。

自然,监管通常是为了给混乱带来秩序。 PCI DSS 就是一个例子。 它之所以起作用,是因为在线信用卡处理器没有采取必要的安全预防措施来保证持卡人数据的安全。 最近,GDPR 开始发挥作用,以改革和协调欧盟数据隐私法,并改善欧盟公民的隐私。 GDPR 允许立法者对不符合欧盟数据隐私法的组织实施严厉处罚。

为什么监管和合规是一件好事?

在 Google 上进行合规性搜索
合规和监管与法律、约束、审计和处罚相关。 所以他们经常得到坏名声。 但是,需要帮助组织了解遵守法律和合乎道德地经营的重要性。

然而,顺从也是必要的恶。 它增加了业务的复杂性和费用,并占用了大量原本用于发展业务的时间。

话虽如此,有意识地努力遵守规则的利大于弊。 组织有机会提高透明度; 建立客户信任并扩展到新的受监管市场以吸引更大的客户。

合规性是否足以确保安全?

不幸的是,合规性通常被误认为是安全性。 一个组织可能是合规的,但不是很安全。 另一方面,很难找到安全但不合规的组织。

合规性是一种时间点、千篇一律的评估,表明组织满足最低安全要求。 例如,PCI DSS 和 HIPAA 等监管标准具有此类安全要求的清单。

另一方面,安全防御提供了技术措施来防止不良事件的发生,例如泄露敏感的客户信息。 换句话说,虽然公司政策可能足以满足合规控制,但这并不意味着它在技术上不可行。 NSA 就是一个简单的例子。 尽管它确实禁止复制和分发机密文件,但实际上没有什么能阻止爱德华·斯诺登这样做。

您从哪里开始 WordPress 合规性?

合规性可能令人生畏,听起来像是一项不可能完成的任务。 然而,事实并非如此。 幸运的是,WordPress 网站所有者可以获得大量文档和帮助,例如我们针对 WordPress 网站所有者的 PCI DSS 指南。 您可以从我们为您准备的指针列表开始:

  1. 弄清楚您需要遵守哪些合规要求——法律和法规因国家/地区而异。 根据您的在线业务和电子商务商店的规模、类型和复杂性,您可能需要与地方当局再次确认。 如有必要,您还可以在这方面寻求专业帮助。
  2. 提升您的安全性——良好的安全实践不仅是法规的核心和要求,而且还使您的生活变得更加轻松。 例如,您可以从执行以下操作开始:
    • 在 WordPress 活动日志中记录网站更改,
    • 执行强大的 WordPress 密码策略,
    • 扫描您的 WordPress 网站以查找文件更改,
    • 设置坚如磐石的备份解决方案,
    • 使用像 Sucuri 这样的在线防火墙或安装本地 WordPress 安全解决方案。
  3. 拥抱安全性和合规性——起初这似乎是一颗难以下咽的苦药。 但是,您越早将安全性和合规性视为一项基本业务功能,从长远来看,这将造成的摩擦就越少,您遇到的 WordPress 安全问题也就越少。