Ako Hostinger pomáha vášmu obchodu zostať v súlade s PCI

Mať obchod kompatibilný s PCI si vyžaduje trvalé úsilie vás aj vášho poskytovateľa hostingu. Hoci neexistujú žiadne skratky, výber dôveryhodného poskytovateľa webhostingu je efektívnym miestom, kde začať. Napriek tomu väčšinu požiadaviek PCI dokážete splniť len vy, obchodník. Čítajte ďalej, aby ste sa dozvedeli viac o deliacej čiare medzi hostiteľom a obchodníkom a o tom, prečo môže byť pre vašich zákazníkov užitočné ísť nad rámec PCI.

Čo je PCI?

V elektronickom obchode je PCI skratka pre štandardy zabezpečenia údajov v odvetví platobných kariet (PCI DSS). Cieľom PCI DSS, ktorý bol vytvorený v roku 2004, je pomáhať chrániť spotrebiteľov a predchádzať podvodom s kreditnými kartami. Vyžaduje sa pre každú organizáciu, ktorá prijíma, spracúva alebo uchováva údaje o kreditných kartách ktoréhokoľvek z piatich členov združenia Bezpečnostná rada PCI: VISA, MasterCard, American Express, Discover a JCB.

Zoznam požiadaviek je, mierne povedané, rozsiahly. Požiadavky zahŕňajú šesť kategórií a každá kategória je rozdelená do niekoľkých stoviek špecifických požiadaviek. Niektoré spadajú výlučne pod doménu obchodníkov alebo poskytovateľov hostingu, zatiaľ čo iné sa týkajú oboch. Súlad s PCI tiež nie je jednorazovou požiadavkou, pretože Bezpečnostná rada pravidelne upravuje nové hrozby pre spotrebiteľov.

Dodržiavanie pravidiel nie je „jednorazová“ udalosť. Vyžaduje si to denné, týždenné, mesačné a ročné úlohy na udržanie súladu. Existuje 12 všeobecných požiadaviek rozdelených do šiestich kategórií. Pre ilustráciu sme uviedli rovnaké kategórie, ale zahrnuli sme aj špecifickejšie požiadavky v rámci PCI DSS.

6 kľúčových kategórií pre súlad s PCI

Vybudujte a udržujte zabezpečenú sieť. Nainštalujte a spravujte firewall. Na nahradenie predvolených hesiel používajte jedinečné heslá s vysokou bezpečnosťou.

Chráňte údaje držiteľa karty. Kedykoľvek je to možné, neuchovávajte údaje o držiteľoch karty. Ak existuje obchodná potreba uchovávať údaje držiteľa karty, musíte tieto údaje chrániť. Šifrujte všetky údaje prenášané cez verejné siete vrátane údajov prenášaných medzi vaším nákupným košíkom, poskytovateľom webhostingu a vašimi zákazníkmi.

Udržujte program riadenia zraniteľnosti. Používajte antivírusový softvér a udržujte ho aktuálny. Vyvíjajte a udržiavajte bezpečné operačné systémy a platobné aplikácie. Uistite sa, že vaše antivírusové softvérové ​​aplikácie sú v súlade s vybranými spoločnosťami vydávajúcimi karty.

Čítať:  Definitívny kontrolný zoznam súladu PCI pre elektronický obchod

Implementujte prísne opatrenia na kontrolu prístupu. Prístup k údajom držiteľov kariet, elektronickým aj fyzickým, by mal byť založený na princípe potreby poznať. Zaistite, aby ľudia s elektronickým prístupom mali jedinečné ID a heslo. Nedovoľte ľuďom zdieľať prihlasovacie údaje. Vzdelávajte seba a svojich zamestnancov o bezpečnosti údajov, konkrétne o štandarde PCI Data Security Standard (DSS).

Pravidelne monitorujte a testujte siete. Sledujte a monitorujte všetky prístupy k sieťam a údaje držiteľov kariet. Udržujte pravidelný plán testovania bezpečnostných systémov a procesov vrátane: firewallov, záplat, webových serverov, e-mailových serverov a antivírusov.

Dodržiavajte politiku informačnej bezpečnosti. Vytvorte jasnú a dôkladnú politiku zabezpečenia údajov organizácie. Tieto zásady pravidelne šírte a aktualizujte.

Nedodržanie PCI môže viesť k pokutám v rozmedzí od 5 000 do 100 000 USD mesačne v závislosti od veľkosti organizácie, jej závažnosti a ďalších faktorov. Nesúlad môže mať za následok aj právne kroky, narušenie bezpečnosti a stratu príjmov.

Požiadavky PCI na poskytovateľov hostingu

Pre typického obchodníka je prakticky nemožné, aby bol v súlade s PCI bez získania služieb poskytovateľa hostingu, ktorý je v súlade. Obchodníci, ktorí hosťujú svoje vlastné webové stránky, musia okrem požiadaviek pre obchodníkov spĺňať aj požiadavky poskytovateľa hostingu. Takýto model funguje pre veľké podniky, ako sú Amazon a WalMart, ale len málo ďalších.

Nasledujú niektoré z hlavných bodov našich systémov a zásad, ktoré podporujú náš status poskytovateľa hostingu v súlade s PCI. Pojem „prostredie údajov držiteľa karty“ sa vzťahuje na akýkoľvek systém, ktorý uchováva, spracúva alebo prenáša údaje o kreditných kartách, ako aj na akýkoľvek systém, ktorý má prístup k samotnému prostrediu údajov držiteľa karty.

Udržiavame firewall webovej aplikácie (WAF), ktorý monitoruje všetky spojenia medzi dátovým prostredím držiteľa karty a ostatnými sieťami. ModSec zakazuje verejný prístup do citlivých oblastí, identifikuje nedôveryhodné pripojenia a skrýva IP adresy a smerovacie informácie pred neoprávnenými stranami.

Aplikujeme priemyselne akceptované konfiguračné štandardy pre všetky systémové komponenty, ktoré riešia všetky známe bezpečnostné slabiny. To sa vzťahuje na našu internú a externú sieť, naše operačné systémy a hardvér potrebný na hosťovanie webových služieb.

Používame šifrovacie a bezpečnostné protokoly, ktoré šifrujú a chránia údaje držiteľov kariet aj pri prenose cez verejné siete. Certifikáty SSL a iné dôveryhodné bezpečnostné kľúče sú vynucované jednostranne. Povolené sú iba moderné šifry TLS.

Čítať:  Ako pripojiť slúchadlá Beats k počítaču Mac

Fyzický prístup do nášho dátového centra obmedzujeme 24-hodinovými bezpečnostnými zásadami a tímom vyškoleným na ich implementáciu. To zahŕňa, ale nie je obmedzené na:

  • Video dohľad s 90-dňovou históriou záznamu
  • Zabezpečený vstup s minimálne dvojfaktorovou autentifikáciou (PIN, prístupová karta) vo väčšine oblastí a trojfaktorovou autentifikáciou (PIN, prístupová karta, odtlačok palca) v oblastiach, kde sa nachádza dátové prostredie držiteľa karty
  • Viditeľná identifikácia všetkých členov tímu
  • Zásady pre návštevníkov, ktoré bránia neoprávnenému prístupu verejnosti; autorizované externé osoby majú prístup len do požadovaných priestorov a sú neustále sprevádzané
  • Členovia tímu majú prístup k dátovému prostrediu držiteľa karty iba vtedy, ak si to vyžaduje ich rola
  • Obmedzený prístup k sieťovým konektorom, bezdrôtovým prístupovým bodom, bránam, sieťam a iným komunikačným linkám

Sledujeme a monitorujeme prístup k sieťovým zdrojom a údajom držiteľov karietaj keď je úlohou klientov udržiavať denníky a monitorovať prihlásenia pre svoje vlastné aplikácie (Magento, WordPress atď.).

Naše bezpečnostné systémy a procesy pravidelne testujemea vykonávať interné penetračné testovanie v pravidelných intervaloch, ako aj po akejkoľvek významnej inovácii infraštruktúry.

Požiadavky PCI pre obchodníkov

Správne implementovaná zhoda s PCI pomáha obchodníkom dodržiavať všeobecne uznávané osvedčené postupy zabezpečenia údajov. Hosting u poskytovateľa kompatibilného s PCI je solídnym prvým krokom, ale dosiahnutie súladu si stále vyžaduje akciu z vašej strany.

Ak váš obchod akceptuje kreditné karty ako platbu, musí byť v súlade s PCI, či už tieto údaje ukladáte alebo nie. Výber webového hostiteľa kompatibilného s PCI je len prvým krokom. Najdôveryhodnejší weboví hostitelia môžu obchodníkom na požiadanie poskytnúť materiály s popisom ich príslušných povinností, ale v konečnom dôsledku je na obchodníkoch, aby pochopili a splnili tieto požiadavky.

Žiaľ, neexistuje kontrolný zoznam „jedna veľkosť pre všetkých“. Vaše špecifické povinnosti sa budú líšiť podľa vašej úrovne obchodníka (1 – 4, pričom 1 je najvyššia), ktorá je vo všeobecnosti určená počtom transakcií kreditnou kartou, ktoré váš obchod ročne spracuje.

Všeobecný postup pre väčšinu obchodníkov je:

  1. Identifikujte, pochopte a implementujte príslušné požiadavky PCI DSS.
  2. Vyplňte dotazník sebahodnotenia (SAQ). SAQ je kontrolný zoznam, v ktorom sú uvedené požiadavky. V závislosti od vašej úrovne sa na vás budú vzťahovať niektoré alebo všetky. Obchodníci 1. úrovne majú najviac požiadaviek; úroveň 4, najmenej. Odolajte pokušeniu jednoducho „zaškrtnúť každé políčko“ v SAQ. Ak tak urobíte, ohrozíte svojich zákazníkov a vystavíte svoju firmu zodpovednosti. PCI môže prísť o peniaze z porušení a ako odpoveď môže preskúmať vaše SAQ a AOC.
  3. Odošlite na štvrťročné skenovanie od an Schválený dodávateľ skenovania (ASV)nezávislá kvalifikovaná autorita, ktorá vykonáva externé skenovanie zraniteľností vo vašich systémoch.
  4. Vyplňte osvedčenie o zhode (AOC), dokument potvrdzujúci, že ste oprávnení vykonávať a v skutočnosti ste vykonali SAQ podľa svojich najlepších schopností.
  5. Ak ste klasifikovaný ako obchodník úrovne 1, musíte vykonať ďalšie kroky vrátane hodnotenia na mieste.
Čítať:  17 spôsobov, ako môžu manažéri sociálnych médií publikovať inteligentnejšie

Ak vás neláka prekonávanie značnej prekážky súladu s PCI, nie ste sami. Váš poskytovateľ hostingu môže odpovedať na otázky týkajúce sa prekrývania zodpovednosti a tretej strany Kvalifikovaní hodnotitelia bezpečnosti (QSA) vám môžu pomôcť podniky prevádzkujú PCI rukavicu (za cenu).

Dokonca aj podniky ponúkajúce ako možnosti platby iba PayPal, Auth.net a ďalšie platobné služby musia byť v súlade s PCI, pretože tieto podniky musia stále prenášať údaje o kreditných kartách.

Jedným z univerzálnych komponentov je potreba potvrdiť, že všetci vaši poskytovatelia služieb sú v súlade s PCI. To zahŕňa vášho poskytovateľa hostingu, ale vzťahuje sa aj na spracovateľov platieb, platobné brány, poskytovateľov POS a akékoľvek iné subjekty, ktoré sa dotýkajú údajov o držiteľoch kariet vašich zákazníkov.

Niektoré PCI Essentials pre obchodníkov

  • Dodržiavajte súlad s PCI. Súlad si vyžaduje neustálu informovanosť a každodennú aplikáciu. Úlohy sa pohybujú medzi dennými a ročnými, ale všetky sa opakujú.
  • Nezačiarknite len „Áno“ na každú otázku v SAQ. Due diligence chráni vašu firmu a vašich zákazníkov.
  • Poznajte svoj kód alebo použite vývojára, ktorý ho pozná. Implementujte osvedčené postupy nasadenia pomocou pracovných a vývojových stránok bez výnimky.
  • Vytvorte zásady bezpečného hesla. Používajte zložité, jedinečné heslá a nikdy nedovoľte svojim zamestnancom zdieľať prihlasovacie údaje alebo používať predvolené heslá.
  • Povoľte dvojfaktorové overenie pre všetkých svojich interných používateľov a zvážte jeho poskytnutie ako možnosť pre zákazníkov, ktorí sa prihlásia na vašu lokalitu.
  • Použite bránu firewall webových aplikácií (WAF). V Hostinger poskytujeme jeden pre všetkých klientov a je predvolene povolený.
  • Neberte to na slovo vášho poskytovateľa hostingu. Potvrďte, že sú v súlade s PCI a sú kompetentné tým, že požiadate o (a získate) ich potvrdenie o zhode (AOC).
  • Udržujte svoje aplikácie a rozšírenia aktuálne na najnovšom stabilnom vydaní a aktívne monitorujte nové hrozby a verzie.
Čítať:  Ochrana vášho obchodu Magento pred podvodmi v elektronickom obchode

Okrem PCI

Ak by bola dostatočná zhoda s PCI, porušovanie významných organizácií by bolo oveľa menej bežné. Vyhovujúci by nemal znamenať spokojnosť.

V skutočnosti je zhoda s PCI „Cardholder Data Security 101“. Je to minimálny prijateľný štandard a rozumný úvod, ale PCI nie je ani zďaleka neomylné. Spoločnosti vydávajúce kreditné karty vyžadujú dodržiavanie pravidiel. Obchodníci, ktorí dodržiavajú štandardy PCI, budú pri ochrane spotrebiteľov efektívnejšie ako podniky, ktoré im len hovoria, ale súlad s PCI je len prvým krokom.

Samotná povaha PCI – veľký, kurátorsky aktualizovaný dokument, ktorý sa aktualizuje len pravidelne – ho robí zraniteľným. Normy, ktoré sa v „aktuálnej“ verzii považujú za dostatočné, sa často považujú za nedostatočné. Môže trvať mesiace alebo dokonca roky, kým PCI „dobehne“ a zlí herci si dobre uvedomujú svoje obmedzenia.

Najlepšou ochranou sú vedomosti. V Hostinger máme členov tímu, ktorí sa špecializujú na webovú bezpečnosť, ktorí sú dobre oboznámení s najnovšími hrozbami, porušeniami a protiopatreniami. Mnohí obchodníci sa možno zdráhajú využiť služby bezpečnostného experta. Prinajmenšom odporúčame prihlásiť sa na odber bezpečnostných upozornení pre vašu aplikáciu elektronického obchodu a sledovať aspoň jeden dôveryhodný zdroj správ o webovej bezpečnosti. Oba zdroje reagujú oveľa rýchlejšie ako PCI a ich sledovanie vám pomôže „odhaliť dym“ skôr, ako sa z neho stane požiar.

Sme na zozname!

Nezabudnite, že sme „na zozname“ poskytovateľov kompatibilných s PCI oficiálne uznaných globálnym registrom Visa. To znamená, že sme preukázali neustály záväzok kontrolovať a zlepšovať naše bezpečnostné zásady, aby zodpovedali a prekračovali požiadavky na súlad s PCI. Ak hľadáte poskytovateľa kompatibilného s PCI, hosting s Hostinger znamená, že hosťujete u schváleného a uznávaného poskytovateľa. Získajte viac informácií o hostingu kompatibilnom s PCI s Hostinger.

Pokyny týkajúce sa súladu s PCI nájdete kontaktujte náš predajný tím medzi 9:00 a 17:00 východného času, pondelok až piatok.

Nové Publikácie:

ODPORÚČANIE