Ak vaša firma Magento 1 spracováva informácie o kreditnej karte, možno už poznáte viac ako 300 bezpečnostných požiadaviek v PCI DSS. Ak nie ste oboznámení, tento článok sa bude zaoberať niektorými základmi a ponúka zdroje na certifikáciu súladu.
Štandardy zabezpečenia údajov v odvetví platobných kariet (PCI DSS), založené v roku 2006 spoločnosťami American Express, Discover, JCB International, Mastercard a Visa, stanovujú minimálny štandard pre bezpečnosť údajov pri spracovaní transakcií kreditnými kartami. Pomáha znižovať podvody a úniky údajov v rámci platobného ekosystému a vzťahuje sa na každú organizáciu, ktorá prijíma alebo spracováva platby prostredníctvom kreditných kariet.
Súlad s PCI DSS
Súlad s PCI DSS zahŕňa tri hlavné pravidlá:
- Citlivé údaje o kreditných kartách od spotrebiteľov by sa mali zhromažďovať a prenášať bezpečne
- Tieto údaje musia byť bezpečne uložené pomocou šifrovania, priebežného monitorovania a testovania bezpečnosti prístupu k údajom o karte
- Každoročne overovanie, či sú zavedené požadované bezpečnostné kontroly
Citlivé údaje od spotrebiteľov
Spoločnosti, ktoré spracúvajú údaje o kartách, môžu byť povinné splniť všetky z 300+ bezpečnostných kontrol v PCI DSS. Aj keď údaje o karte putujú podnikovou infraštruktúrou iba na chvíľu, spoločnosť by si musela zakúpiť, implementovať a udržiavať bezpečnostný softvér a hardvér.
Ak spoločnosť potrebuje narábať s citlivými údajmi o kreditných kartách, nemala by to robiť. Riešenia tretích strán (napr Stripe) bezpečne prijímať a uchovávať údaje o kreditných kartách, čím sa odstraňuje značná zložitosť, náklady a riziká. Ak sa údaje o karte nikdy nedotknú serverov vašej firmy, budete musieť potvrdiť iba 22 pomerne jednoduchých bezpečnostných kontrol, ako je používanie silných hesiel.
Uchovávajte dáta bezpečne
Ak organizácia spracováva alebo uchováva údaje o kreditných kartách, musí definovať rozsah svojho dátového prostredia držiteľov kariet (CDE). PCI DSS definuje CDE ako ľudí, procesy a technológie, ktoré uchovávajú, spracúvajú alebo prenášajú údaje o kreditných kartách – alebo akýkoľvek systém, ktorý je k nim pripojený.
Keďže všetkých 300+ bezpečnostných požiadaviek v PCI DSS sa vzťahuje na CDE, je dôležité správne segmentovať platobné prostredie od zvyšku podnikania, aby sa obmedzil rozsah overovania PCI. Ak organizácia nedokáže obsiahnuť rozsah CDE, bezpečnostné kontroly PCI by sa potom vzťahovali na každý systém, prenosný počítač a zariadenie v jej podnikovej sieti. Nikto na to nemá čas.
Každoročné preskúmanie požadovaných bezpečnostných kontrol
Bez ohľadu na to, akým spôsobom sú akceptované údaje o kartách, organizácie, ktoré spracovávajú platby kreditnými kartami, musia každoročne vyplniť overovací formulár PCI, aby dodržali súlad.
12 Hlavné požiadavky na PCI DSS
Najnovšie bezpečnostné štandardy, PCI DSS verzia 3.2.1, obsahuje 12 hlavných požiadaviek s viac ako 300 vedľajšími požiadavkami, ktoré odzrkadľujú najlepšie bezpečnostné postupy.
Týchto 12 hlavných požiadaviek je:
- Nainštalujte a udržiavajte konfiguráciu brány firewall na ochranu informácií o držiteľoch karty
- Nikdy nepoužívajte predvolené nastavenia dodávané výrobcom pre systémové heslá a iné bezpečnostné parametre
- Chráňte uložené údaje držiteľa karty
- Šifrujte prenos údajov držiteľa karty cez otvorené alebo verejné siete
- Chráňte všetky systémy pred škodlivým softvérom a pravidelne aktualizujte antivírusový softvér
- Vyvíjajte a udržiavajte bezpečné systémy a aplikácie
- Obmedzte prístup k údajom držiteľa karty
- Identifikujte a overte prístup k systémovým komponentom
- Obmedzte fyzický prístup k údajom držiteľa karty
- Sledujte a monitorujte všetky prístupy k sieťovým zdrojom a dátam držiteľov kariet
- Pravidelne testujte bezpečnostné systémy a procesy
- Udržiavajte politiku, ktorá rieši bezpečnosť informácií pre všetkých zamestnancov
Nové podniky môžu overiť súlad s PCI prostredníctvom deväť sebahodnotiacich dotazníkov ktoré sú každý podmnožinou celej požiadavky PCI DSS. Problém spočíva v snahe zistiť, ktoré požiadavky sú nevyhnutné pre podnikanie. Niektoré podniky si najmú audítora schváleného Radou PCI, aby sa uistili, že sú splnené všetky požiadavky PCI DSS. A akoby to nebolo dosť komplikované – Rada PCI reviduje pravidlá každé tri roky a každý rok vydáva aktualizácie. Ako môžu podniky zabezpečiť údaje o svojich kreditných kartách a zachovať súlad s PCI vzhľadom na tieto faktory?
Spôsoby zabezpečenia
Existuje množstvo akceptovaných spôsobov, ako zabezpečiť svoje webové stránky s požiadavkami PCI DSS, od najatia spoločnosti kvalifikovaného hodnotiteľa bezpečnosti (QSA), cez využitie PCI 3-Step Process a cez Hostinger Safe Harbor v spolupráci so spoločnosťou Stripe.
1. Kvalifikovaný bezpečnostný hodnotiteľ
Kvalifikovaný hodnotiteľ bezpečnosti je firma zaoberajúca sa bezpečnosťou údajov, ktorá je kvalifikovaná Radou PCI na vykonávanie hodnotení štandardov bezpečnosti údajov PCI na mieste. Hodnotiteľ overí všetky technické informácie poskytnuté obchodníkom alebo poskytovateľom služieb a nezávislým úsudkom potvrdí, že bola norma splnená. Môžete nájsť zoznam spoločností, ktoré vykonávajú kvalifikované hodnotenie bezpečnosti (QSA). tu.
2. PCI 3-krokový proces
- Osla Identifikácia údajov o držiteľoch karty, inventarizácia majetku IT a obchodných procesov na spracovanie platobných kariet a ich analýza na slabé miesta.
- Napraviť Oprava slabých miest a eliminácia ukladania údajov držiteľov kariet, pokiaľ to nie je absolútne nevyhnutné.
- správa Zostavovanie a odosielanie požadovaných správ príslušným nadobúdateľským bankám a značkám kariet.
3. Bezpečný prístav
Magento 1 dosiahol koniec životnosti v júni 2020, čím sa tisíce webových stránok elektronického obchodu dostali do šedej oblasti dodržiavania predpisov, keď spoločnosť Adobe prestala vydávať oficiálne aktualizácie zabezpečenia.
Zatiaľ čo samotná aplikácia elektronického obchodu predstavuje len malú časť toho, čo skutočne znamená súlad s PCI, pre obchodníkov, ktorí stále prevádzkujú svoje stránky elektronického obchodu na Magento 1, je dôležité poznamenať, že už nebudú pre platformu vydávané bezpečnostné záplaty a aktualizácie. Sú na to sami, pokiaľ neinvestovali do riešenia, akým je Hostinger Safe Harbor. Dôrazne vám odporúčame skontrolovať Stripektorá sa zaviazala udržiavať svoj modul Magento 1 v prevádzke pre svojich zákazníkov.
Stripe
Stripe zostáva odhodlaný umožniť používateľom bezpečne používať produkty Stripe v rámci Magento 1. Na tento účel vám spoločnosť Hostinger odporúča nainštalovať Oficiálny modul Magento 1 Stripe, ktorá používa Stripe.js a Elements na zjednodušenie dodržiavania PCI vašej stránky. Stripe bude pokračovať vo vydávaní opráv chýb a bezpečnostných aktualizácií pre modul Stripe Magento 1, aby sa zabezpečilo, že toto riešenie bude spĺňať štandardy zabezpečenia údajov v odvetví platobných kariet (PCI DSS).
Záver
Ako vidíte, dosiahnutie a udržanie súladu s PCI nie je maličkosť. Ale so správnymi informáciami, pomocou odborníka na dodržiavanie predpisov a Hostinger Safe Harbor môžu podniky, ktoré stále fungujú na Magento 1, uchovávať údaje o kreditných kartách svojich zákazníkov v bezpečí.