Nexcess 如何幫助您的商店保持 PCI 合規性
已發表: 2022-06-30擁有一個符合 PCI 標準的商店需要您和您的託管服務提供商的持續努力。 儘管沒有捷徑可走,但選擇可靠的網絡託管服務提供商是一個有效的起點。 即便如此,大多數 PCI 要求也只能由商家來滿足。 繼續閱讀以了解有關主機和商家之間分界線的更多信息,以及為什麼為您的客戶超越 PCI 是值得的。
您在尋找符合 PCI 標準的主機嗎? 訪問我們的 PCI 合規性頁面以了解更多信息。
什麼是 PCI?
在電子商務中,PCI 是支付卡行業數據安全標準 (PCI DSS) 的簡寫。 PCI DSS 創建於 2004 年,旨在幫助保護消費者並防止信用卡欺詐。 任何接收、處理或存儲PCI 安全委員會五個成員( VISA、MasterCard、American Express、Discover 和 JCB)的信用卡數據的組織都需要它。
委婉地說,要求的清單很廣泛。 需求跨越六大類,每一類又分為數百個具體需求。 有些完全屬於商家或託管提供商的領域,而有些則擴展到兩者。 PCI 合規性也不是一次性要求,因為安全理事會會定期調整以應對消費者面臨的新威脅。
合規不是“一勞永逸”的事件。 它需要每天、每週、每月和每年的任務來保持合規性。 共有 12 項一般要求,分為六類。 出於說明目的,我們列出了這些相同的類別,但還包括來自 PCI DSS 的更具體的要求。
PCI 合規性的 6 個關鍵類別
建立和維護一個安全的網絡。 安裝和維護防火牆。 使用唯一的、高安全性的密碼替換默認密碼時要特別小心。
保護持卡人數據。 盡可能不要存儲持卡人數據。 如果有業務需要存儲持卡人數據,那麼您必須保護這些數據。 加密通過公共網絡傳遞的任何數據,包括在您的購物車、您的 Web 託管服務提供商和您的客戶之間傳遞的數據。
維護漏洞管理計劃。 使用防病毒軟件並保持最新狀態。 開發和維護安全的操作系統和支付應用程序。 確保您的防病毒軟件應用程序與您選擇的信用卡公司兼容。
實施強有力的訪問控制措施。 對持卡人數據的訪問,無論是電子的還是物理的,都應該在需要知道的基礎上進行。 確保具有電子訪問權限的人員擁有唯一的 ID 和密碼。 不允許人們共享登錄憑據。 對您和您的員工進行數據安全教育,特別是 PCI 數據安全標準 (DSS)。
定期監控和測試網絡。 跟踪和監控對網絡和持卡人數據的所有訪問。 維護安全系統和流程的定期測試計劃,包括:防火牆、補丁、Web 服務器、電子郵件服務器和防病毒軟件。
維護信息安全政策。 建立清晰而徹底的組織數據安全策略。 定期傳播和更新本政策。
PCI 不合規可能導致每月 5000 美元到 100,000 美元不等的罰款,具體取決於違規組織的規模、嚴重程度和其他因素。 不合規還可能導致法律訴訟、安全漏洞和收入損失。
託管服務提供商的 PCI 要求
如果不徵用合規託管服務提供商的服務,典型商家幾乎不可能實現 PCI 合規。 託管自己網站的商家除了滿足商家的要求外,還必須滿足託管服務提供商的要求。 這種模式適用於亞馬遜和沃爾瑪這樣的大型企業,但很少有其他企業。
以下是我們維護我們作為符合 PCI 的託管服務提供商的地位的系統和政策的一些亮點。 術語“持卡人數據環境”是指存儲、處理或傳輸信用卡數據的任何系統,以及可以訪問持卡人數據環境本身的任何系統。
我們維護一個 Web 應用程序防火牆 (WAF),它監控持卡人數據環境與其他網絡之間的所有連接。 ModSec 禁止公共訪問敏感區域,識別不受信任的連接,並向未經授權的方隱藏 IP 地址和路由信息。
我們對解決所有已知安全漏洞的所有系統組件應用行業認可的配置標準。 這延伸到我們的內部和外部網絡、我們的操作系統和託管 Web 服務所需的硬件。
我們應用加密和安全協議來加密和保護持卡人數據,即使通過公共網絡傳輸也是如此。 SSL 證書和其他受信任的安全密鑰是單方面強制執行的。 只允許使用現代 TLS 密碼。
我們通過 24 小時安全政策和經過培訓的團隊來限制對我們數據中心的物理訪問。 這包括但不限於:
- 具有 90 天錄像歷史的視頻監控
- 在大多數區域使用至少兩因素身份驗證(PIN、訪問卡)和在包含持卡人數據環境的區域中使用三因素身份驗證(PIN、訪問卡、指紋)來安全進入
- 所有團隊成員的可見識別
- 防止未經授權的公共訪問的訪客政策; 經授權的外部人員只能進入所需區域,並隨時有人護送
- 只有當團隊成員的角色需要時,他們才能訪問持卡人數據環境
- 限制對網絡插孔、無線接入點、網關、網絡和其他通信線路的訪問
我們跟踪和監控對網絡資源和持卡人數據的訪問,儘管維護日誌和監控他們自己的應用程序(Magento、WordPress 等)的登錄由客戶負責。
我們會定期測試我們的安全系統和流程,並定期以及在任何重大基礎設施升級後執行內部滲透測試。
商戶的 PCI 要求
如果實施得當,PCI 合規性可幫助商家遵守公認的數據安全最佳實踐。 與 PCI 合規提供商託管是堅實的第一步,但要合規仍需要您採取行動。
如果您的商店接受信用卡作為付款方式,那麼無論您是否存儲該數據,它都必須符合 PCI 標準。 選擇符合 PCI 標準的網絡主機只是第一步。 大多數可靠的網絡託管服務商可以根據要求向商家提供概述其各自職責的材料,但最終要由商家了解和滿足這些要求。
遺憾的是,沒有“一刀切”的清單。 您的具體職責將根據您的商戶級別(1-4,其中 1 最高)而有所不同,這通常取決於您的商店每年處理的信用卡交易數量。
大多數商家的一般流程是:
- 識別、理解和實施適當的 PCI DSS 要求。
- 完成自我評估問卷 (SAQ)。 SAQ 是一個列出要求的清單。 根據您的級別,其中一些或全部將適用於您。 1級商戶要求最多; 4級,最少。 抵制在 SAQ 中簡單地“檢查每個框”的誘惑。 這樣做會危及您的客戶並使您的企業承擔責任。 PCI 會因違規而蒙受損失,作為回應,它可能會調查您的 SAQ 和 AOC。
- 提交由經批准的掃描供應商 (ASV)進行的季度掃描,該供應商是一個獨立、合格的機構,可對您的系統執行外部漏洞掃描。
- 完成合規證明 (AOC),這是一份聲明您有資格執行並且實際上已盡您所能執行 SAQ 的文件。
- 如果被歸類為 1 級商家,您必須採取額外步驟,包括現場評估。
如果攀登 PCI 合規性的巨大障礙對您沒有吸引力,那麼您並不孤單。 您的託管服務提供商可以回答與責任重疊相關的問題,第三方合格安全評估員 (QSA) 可以幫助企業運行 PCI 挑戰(收費)。
即使是僅提供 PayPal、Auth.net 和其他支付服務作為支付選項的企業也必須符合 PCI 標準,因為這些企業仍必須傳輸信用卡數據。一個通用組件是需要確認您的所有服務提供商都符合 PCI 標準。 這包括您的託管服務提供商,但也延伸到支付處理器、支付網關、POS 提供商以及任何其他接觸客戶持卡人數據的實體。
商家的一些 PCI 要點
- 保持 PCI 合規性。 合規需要持續的意識和日常應用。 任務範圍從每日到每年,但都是重複的。
- 不要只對 SAQ 中的每個問題都選擇“是” 。 盡職調查可以保護您的業務和客戶。
- 了解您的代碼,或使用具有. 毫無例外地使用登台和開發站點實施部署的最佳實踐。
- 建立安全的密碼策略。 使用複雜、唯一的密碼,絕不允許您的員工共享登錄憑據或使用默認密碼。
- 為所有內部用戶啟用雙重身份驗證,並考慮將其作為登錄到您網站的客戶的選項。
- 使用 Web 應用程序防火牆 (WAF) 。 在 Nexcess,我們為所有客戶提供一個,並且默認啟用。
- 不要只相信您的託管服務提供商的話。 通過要求(並獲得)他們的合規性證明 (AOC) 來確認他們符合 PCI 標準並且有能力。
- 使您的應用程序和擴展保持最新的穩定版本,並積極監控新的威脅和版本。
超越 PCI
如果 PCI 合規性足夠,那麼對知名組織的違規行為就不會那麼普遍了。 順從不應該意味著自滿。
實際上,PCI 合規性是“持卡人數據安全 101”。 這是可接受的最低標準和合理的介紹,但 PCI 遠非萬無一失。 信用卡公司要求合規。 遵守 PCI 標準的商家在保護消費者方面將比僅僅口頭上的企業更有效,但 PCI 合規性只是第一步。
PCI 的本質——一個僅定期更新的大型策劃文檔——使其容易受到攻擊。 在“當前”版本中被認為足夠的標准通常被暴露為不充分的。 PCI 可能需要幾個月甚至幾年的時間才能“趕上”,而不良行為者很清楚它的局限性。
最好的保護是知識。 在 Nexcess,我們有專門從事網絡安全的團隊成員,他們精通最新的威脅、漏洞和對策。 許多商家可能不願意尋求安全專家的服務。 至少,我們建議為您的電子商務應用程序訂閱安全通知,並至少關註一個可靠的網絡安全新聞來源。 這兩種來源的反應都比 PCI 快得多,跟隨它們將幫助您在它變成火災之前“發現煙霧”。
我們在名單上!
不要忘記,我們是 Visa Global Registry 正式認可的 PCI 合規提供商“名單上”。 這意味著我們一直致力於審查和改進我們的安全策略,以匹配並超過 PCI 合規性要求。 如果您正在尋找符合 PCI 標準的提供商,那麼使用 Nexcess 託管意味著您正在使用經過批准和認可的提供商進行託管。 詳細了解 Nexcess 的 PCI 兼容託管。
如需有關 PCI 合規性的指導,請在東部時間週一至週五上午 9 點至下午 5 點聯繫我們的銷售團隊。