Čo sa týka spracovania platieb online v dnešnej dobe, väčšina ľudí ani nemihne okom. Nakupujúci platia kreditnými kartami, e-mailom a cez Facebook, ale pre stránky elektronického obchodu je averzia voči bezpečnostnému riziku platieb neoddeliteľnou súčasťou ich podnikania.
Tu je návod, ako zabezpečiť, aby stránky vašich klientov zostali v súlade, a čo robiť, keď máte čo do činenia so zastaranou aplikáciou, ktorej životnosť sa skončila.
Čo to znamená?
Najprv si povedzme, čo vôbec znamená súlad s PCI.
Rada pre bezpečnostné štandardy PCI, pôvodne stanovená veľkými spoločnosťami vydávajúcimi kreditné karty, vytvorila tieto parametre pre súlad so spracovaním platieb, aby ochránila ich držiteľov kariet pred bezpečnostnými hrozbami a podvodmi.
Pomocou súboru kvalifikácií na určenie bezpečnosti terminálu miesta predaja alebo webovej stránky elektronického obchodu sú tieto normy teraz povinnými osvedčenými postupmi medzi podnikmi, ktoré spracúvajú platby kartou, a ich zákazníkmi.
Normy pre súlad s PCI sú nasledovné:
- Nainštalujte a udržiavajte konfiguráciu brány firewall na ochranu údajov držiteľov kariet
- Pre systémové heslá a iné bezpečnostné parametre nepoužívajte predvolené hodnoty dodávané výrobcom
- Chráňte uložené údaje držiteľa karty
- Šifrujte prenos údajov držiteľa karty cez otvorené verejné siete
- Používajte a pravidelne aktualizujte antivírusový softvér alebo programy
- Vyvíjajte a udržiavajte bezpečné systémy a aplikácie
- Obmedzte prístup k údajom držiteľa karty podľa potreby vedieť
- Priraďte jedinečné ID každej osobe s prístupom k počítaču
- Obmedzte fyzický prístup k údajom držiteľa karty
- Sledujte a monitorujte všetky prístupy k sieťovým zdrojom a dátam držiteľov kariet
- Pravidelne testujte bezpečnostné systémy a procesy
- Udržiavajte politiku, ktorá rieši bezpečnosť informácií pre všetkých zamestnancov
Pre vývojárov stanovila PCI SSC samostatnú sadu štandardov, aby sa zabezpečilo, že webové stránky spracúvajú elektronické platby bezpečne:
- Neuchovávajte celý magnetický prúžok, overovací kód alebo hodnotu karty (CAV2, CID, CVC2, CVV2) ani údaje o blokovaní PIN
- Chráňte uložené údaje držiteľa karty
- Poskytnite funkcie bezpečnej autentifikácie
- Zaznamenajte aktivitu platobnej aplikácie
- Vyvíjajte bezpečné platobné aplikácie
- Chráňte bezdrôtové prenosy
- Otestujte platobné aplikácie na odstránenie zraniteľností
- Uľahčiť implementáciu bezpečnej siete
- Údaje držiteľa karty nesmú byť nikdy uložené na serveri pripojenom k internetu
- Umožnite bezpečný vzdialený prístup k platobnej aplikácii
- Šifrujte citlivú komunikáciu cez verejné siete
- Zašifrujte všetky správcovské prístupy mimo konzoly
- Udržiavajte inštruktážnu dokumentáciu a školiace programy pre zákazníkov, predajcov a integrátorov
- Udržujte inštruktážnu dokumentáciu a školiaci program
Pokuty za nedodržiavanie pravidiel sa môžu pohybovať medzi 5 000 a 100 000 USD mesačne a nevyhnutne končia zodpovednosťou obchodníka. Obchodníci môžu navyše čeliť vyšším poplatkom za spracovanie transakcií alebo dokonca neschopnosti spracovať elektronické platby pre svojich zákazníkov v budúcnosti pre nedodržiavanie pravidiel.
Čo potrebujú vývojári vedieť o súlade s PCI
Našťastie, platobné aplikácie a platobné brány sa postarali o veľkú časť technickej stránky zabezpečenia bezpečného spracovania platieb. Ako vývojár alebo tvorca lokality je vašou primárnou zodpovednosťou, pokiaľ ide o súlad s PCI, zabezpečiť, aby vaše aplikácie spĺňali štandardy PCI SSC a zostali aktuálne.
Štandardy PCI sú určené objemom transakcií, ktoré obchodník spracováva. Obchodníkovi je pridelená požiadavka na úroveň súladu na základe objemu podnikania, ktoré vykonáva, a bezpečnosť ich stránok môže testovať schválený dodávateľ skenovania alebo ASV.
Stránky elektronického obchodu spadajú pod PCI SAQ 3.1 a majú nasledujúce štandardy:
To, či váš klient vyžaduje ASV, skutočne závisí od toho, na ktorých spracovateľoch platieb a aplikáciách elektronického obchodu prevádzkujete ich stránky. Tieto grafy zobrazujú tok údajov, aby ste mohli určiť, či stránka vášho klienta bude potrebovať ASV alebo nie.
Bremeno bezpečnosti stránky je v konečnom dôsledku na správcovi stránky, ktorým môžete byť vy. Ak je to tak, najsilnejšia prevencia nesúladu je celkom jednoduchá:
- Uistite sa, že doplnky zostávajú aktuálne
- Uistite sa, že sú nainštalované aktualizácie softvéru a bezpečnostné záplaty
- Dodržiavajte prísne bezpečnostné štandardy serverov
- Uistite sa, že aplikácie elektronického obchodu sú aktuálne
Čo znamená koniec životnosti pre súlad s PCI
Magento 1 nedávno dosiahol koniec svojej životnosti, vďaka čomu sa tisíce webových stránok elektronického obchodu dostali do šedej oblasti dodržiavania predpisov, keď spoločnosť Adobe prestala vydávať oficiálne aktualizácie zabezpečenia.
Zatiaľ čo samotná aplikácia elektronického obchodu predstavuje len malú časť toho, čo skutočne znamená súlad s PCI, pre obchodníkov, ktorí stále prevádzkujú svoje stránky elektronického obchodu na Magento 1, je dôležité poznamenať, že
Týka sa to predovšetkým čísla sedem v zozname opatrení na zhodu PCI pre vývojárov:
Otestujte platobné aplikácie na odstránenie zraniteľností.
Keďže Magento sa už nestará o aktualizácie zabezpečenia pre používateľov Magento 1, vyvstáva otázka: bude stránka elektronického obchodu kompatibilná s PCI na aplikácii elektronického obchodu, ktorej životnosť sa skončila?
Áno. Hostinger to dokázal s bezpečným prístavom.
Čo robiť, keď platforma dosiahne koniec životnosti
Magento bolo postavené na serveroch Hostinger. Keď sa Magento 1 začal blížiť ku koncu životnosti, náš inžiniersky tím sa pustil do práce na vývoji riešenia, ktoré by obchodníkom umožnilo rozhodnúť sa, kedy migrovať.
Pre mnohých majiteľov obchodov Magento 1 nebol prechod na Magento 2 v dôsledku COVID-19 finančne realistický. Migrácie stránok sú drahé a zložité a pri toľkých otrasoch a neistote sa mnohí pochopiteľne báli urobiť skok.
A tak inžiniersky tím v Hostinger prišiel s kompromisom. Hostinger Safe Harbor bol skonštruovaný tak, aby riešil koniec životnosti Magento 1 a udržiaval vlastníkov elektronických obchodov a obchodov v súlade s PCI minimálne do konca roku 2021, aby mohli migrovať vo svojom vlastnom čase.
Vďaka pravidelným bezpečnostným záplatám vytvoreným tímom, ktorý doslova začínal s Magentom, je Hostinger schopný udržiavať stránky Magento 1 a ukladať PCI kompatibilné, kým nie sú pripravené na zmenu.
Koniec životnosti nemusí znamenať koniec súladu s PCI.
Získajte viac času a uchovávajte údaje zákazníkov v bezpečí pomocou Hostinger Safe Harbor.
Kliknite sem, ak sa chcete dozvedieť viac o Hostinger Safe Harbor, alebo otvorte okno rozhovoru v pravom dolnom rohu obrazovky a porozprávajte sa s predajcom.