實現和維護 PCI 合規性要求

已發表: 2022-06-30

如果您的 Magento 1 業務處理信用卡信息,您可能已經了解 PCI DSS 中的 300 多項安全要求。 如果您不熟悉,本文將介紹一些基礎知識並提供用於證明合規性的資源。

支付卡行業數據安全標準 (PCI DSS) 由 American Express、Discover、JCB International、Mastercard 和 Visa 於 2006 年創立,為處理信用卡交易的數據安全設定了最低標準。 它有助於減少整個支付生態系統中的欺詐和數據洩露,適用於任何通過信用卡接受或處理支付的組織。

PCI DSS 合規性

PCI DSS 合規性涉及三個主要規則:

  1. 應安全收集和傳輸來自消費者的敏感信用卡數據
  2. 必須通過加密、持續監控和訪問卡數據的安全測試來安全地存儲這些數據
  3. 每年驗證所需的安全控制措施是否到位

來自消費者的敏感數據

處理卡數據的公司可能需要滿足 PCI DSS 中的 300 多項安全控制。 即使卡數據只在企業的基礎設施中傳輸片刻,公司也需要購買、實施和維護安全軟件和硬件。

如果一家公司不需要處理敏感的信用卡數據,它就不應該。 第三方解決方案(如 Stripe)安全地接受和存儲信用卡數據,消除了相當大的複雜性、成本和風險。 如果卡數據從不接觸您企業的服務器,您只需要確認 22 個相對簡單的安全控制,例如使用強密碼。

安全地存儲數據

如果組織處理或存儲信用卡數據,則需要定義其持卡人數據環境 (CDE) 的範圍。 PCI DSS 將 CDE 定義為存儲、處理或傳輸信用卡數據或與之連接的任何系統的人員、流程和技術。

由於 PCI DSS 中的所有 300 多項安全要求都適用於 CDE,因此將支付環境與業務的其他部分正確分割以限制 PCI 驗證的範圍非常重要。 如果一個組織無法包含 CDE 範圍,那麼 PCI 安全控制將適用於其公司網絡上的每個系統、筆記本電腦和設備。 沒有人有時間這樣做。

對所需安全控制的年度審查

無論卡數據如何被接受,處理信用卡支付的組織都需要每年填寫一份 PCI 驗證表以保持合規性。

12 PCI DSS 的主要要求

最新的安全標準 PCI DSS 版本 3.2.1 包括 12 個主要要求和 300 多個反映安全最佳實踐的子要求。

這12個主要要求是:

  1. 安裝和維護防火牆配置以保護持卡人信息
  2. 切勿對系統密碼和其他安全參數使用供應商提供的默認值
  3. 保護存儲的持卡人數據
  4. 加密跨開放或公共網絡的持卡人數據傳輸
  5. 保護所有系統免受惡意軟件侵害並定期更新防病毒軟件
  6. 開發和維護安全的系統和應用程序
  7. 限制對持卡人數據的訪問
  8. 識別和驗證對系統組件的訪問
  9. 限制對持卡人數據的物理訪問
  10. 跟踪和監控對網絡資源和持卡人數據的所有訪問
  11. 定期測試安全系統和流程
  12. 維護解決所有員工信息安全問題的政策

新企業可以通過九份自我評估問卷來驗證 PCI 合規性,每份問卷都是整個 PCI DSS 要求的一個子集。 困難在於試圖弄清楚您的業務需要哪些要求。 一些企業將聘請 PCI 委員會批准的審核員,以確保滿足每項 PCI DSS 要求。 好像這還不夠複雜——PCI 委員會每三年修訂一次規則,並在每年發布更新。 考慮到這些因素,企業如何保護他們的信用卡數據並保持 PCI 合規性?

確保安全的方法

有許多公認的方法可以根據 PCI DSS 要求保護您的網站,從聘請合格的安全評估員 (QSA) 公司到利用 PCI 3 步流程,以及通過與 Stripe 合作的 Nexcess Safe Harbor。

1.合格的安全評估員

合格的安全評估員是一家獲得 PCI 委員會資格的數據安全公司,可以執行現場 PCI 數據安全標準評估。 評估員將驗證商家或服務提供商提供的所有技術信息,並使用獨立判斷來確認是否符合標準。 可以在此處找到合格安全評估員 (QSA) 公司的列表。

2. PCI 3 步流程

  1. 評估識別持卡人數據,清點 IT 資產和業務流程以進行支付卡處理,並分析它們的漏洞。
  2. 除非絕對必要,否則修復漏洞並消除持卡人數據的存儲。
  3. 報告編制並向相應的收單銀行和信用卡品牌提交所需的報告。

3.安全港

Magento 1 於 2020 年 6 月終止使用,當 Adob​​e 停止發布官方安全更新時,數千個電子商務網站進入合規灰色區域。

雖然電子商務應用程序本身只代表了 PCI 合規性真正需要的一小部分,但對於仍在 Magento 1 上運行其電子商務網站的商家來說,需要注意的重要一點是將不再為該平台發布安全補丁和更新。 除非他們投資了像 Nexcess Safe Harbor 這樣的解決方案,否則他們只能靠自己。 我們強烈建議您查看 Stripe,它承諾讓他們的 Magento 1 模塊繼續為客戶服務。

條紋

Stripe 始終致力於使用戶能夠在 Magento 1 中安全地使用 Stripe 的產品。為此,Nexcess 鼓勵您安裝 Stripe 的官方 Magento 1 模塊,該模塊使用 Stripe.js 和 Elements 來簡化您網站的 PCI 合規性。 Stripe 將繼續為 Stripe Magento 1 模塊發布錯誤修復和安全更新,以確保該解決方案符合支付卡行業數據安全標準 (PCI DSS)。

結論

如您所見,實現和維護 PCI 合規性並非易事。 但是,有了正確的信息、合規專家的幫助和 Nexcess 安全港,仍在 Magento 1 上運營的企業可以確保其客戶的信用卡數據安全可靠。