Mnoho maloobchodníkov s webová stránka elektronického obchodu Pravdepodobne ste už počuli o pojme PCI Compliance, ale nie každý chápe, čo to v skutočnosti znamená pre jeho online podnikanie. Preto vám nižšie povieme niečo o tom, čo to je. Súlad s PCI a prečo je to dôležité pre váš elektronický obchod.
Čo je to súlad s PCI?
Najprv to musíte pochopiť Súlad s PCI nie je zákon ani vládne nariadenie.Jeho správny názov je PCI DSS, čo je skratka pre „Payment Card Industry – Data Security“ (Priemysel platobných kariet – Bezpečnosť údajov). štandard„a to sa v podstate vzťahuje na štandard s bezpečnostnými požiadavkami ktoré musia dodržiavať všetci obchodníci, veľkí alebo malí.
Každý obchodník musí dodržiavať normy PCI Compliance., a to aj v prípade, že nespracovávate veľké množstvo transakcií alebo nepoužívate externých poskytovateľov, ako napríklad hostované platformy elektronického obchodu, zadávať informácie o kreditných kartách externým dodávateľom. Pre obchodníkov, ktorí zadávajú svoje platobné procesy externým dodávateľom, Rozsah PCI Zvyčajne je menší a požiadavky na overenie Sú minimálne, ale nezmiznú.
Zhoda s PCI sa vzťahuje na akékoľvek podnikanie
Muchos Maloobchodníci v elektronickom obchode Myslia si, že sa na ich podniky nevzťahuje norma PCI, pretože sú príliš malé. V skutočnosti sa táto norma vzťahuje na... akákoľvek spoločnosť, ktorá spracováva, uchováva alebo prenáša údaje o platobných kartáchAk ako majiteľ internetového obchodu neberiete bezpečnosť vážne a hackerský útok povedie ku krádeži informácií o zákazníkoch, môžete čeliť vážnym následkom.
V súlade s tým, Súlad s PCI je povinný, ak sú akceptované platby kreditnou kartou.nedodržanie môže viesť k zmluvné pokuty, príplatky za incidenty, vyššie obstarávacie náklady a v extrémnych prípadoch aj strata schopnosti spracovávať kartyPreto je dôležitá zhoda s PCI pre elektronický obchod a aby bola spoľahlivejšie pre vašich zákazníkov.
Kľúčové požiadavky PCI DSS: Ciele a kontroly
PCI DSS zoskupuje svoje kontroly do 6 ciele y 12 technických a organizačných požiadaviek ktoré posilňujú bezpečnosť:
- Vybudujte a udržiavajte bezpečnú sieť1) firewall je správne nakonfigurovaný; 2) zmeniť predvolené prihlasovacie údaje.
- Chráňte údaje vlastníka: 3) chrániť uložené údaje; 4) šifrovanie pri prenose na verejných sieťach.
- Spravovať zraniteľnosti: 5) aktualizovaný antivírus/antimalvér; 6) opravovanie a bezpečný vývoj.
- kontrolovať prístup7) prístup na základe potreby poznať; 8) Jedinečné identifikačné číslo a viacúčelový certifikát; 9) fyzické kontroly.
- Monitorovanie a testovanie: 10) registrácia a sledovateľnosť prístup; 11) pravidelné testovanie a skenovanie.
- Bezpečnostná politika: 12) vláda a odborná príprava pre všetkých zamestnancov.
Medzi osvedčené postupy patrí: segmentácia sietev tokenizácia minimalizovať ukladané dáta, penetračné testovanie a polročnú kontrolu pravidiel firewallu.
Úrovne súladu a validácie
- Úroveň 1viac ako 6 miliónov transakcií/rok. Vyžaduje ROC QSA alebo kvalifikovaným interným audítorom, AOC ročné a štvrťročné skeny ASV.
- Úrovne 2–4: nižší objem. Vyžadujú SAQ ročný (typ podľa integrácie: napr. A, A-EP, D), AOC a v prípade potreby aj Štvrťročné ASV.
Tieto požiadavky sú zmluvné vzťahy so značkami karietNedodržanie môže viesť k ekonomické dôsledky a prevádzkové.
Ako dosiahnuť a udržať súlad s predpismi v elektronickom obchode
1) Znižuje dosah: Používajte hostované brány, tokenizáciu a segmentáciu, aby ste zabezpečili, že vaše prostredie bude spracovávať menej citlivých údajov. 2) Spevnené konfigurácie: Odstráňte predvolené heslá, presadzujte viacfaktorovú autentifikáciu (MFA) a princíp najnižších privilégií. 3) Chráňte údajeŠifrovať počas prenosu (silný TLS) a v prípade uloženia šifrovať pomocou zabezpečenej správy kľúčov. 4) Ostražitosť pokračujeSIEM, uchovávanie protokolov, upozornenia a ASV skeny štvrťročne. 5) skúšky: pravidelné penetračné testovanie a oprava zistení. 6) riadenie zraniteľnosti: inventár, opravy a antivírus. 7) Politiky a školenia: Informovanosť zamestnancov a reakcia na incidenty. 8) dokumentácia: pripraviť SAQ/ROC a AOC s aktualizovanými dôkazmi.
Platobné brány a peňaženky
undefined platobné brány y Digitálne peňaženkyAko Paysafecard, musia tiež spĺňať normu PCI DSS. Ich certifikácia pomáha znížiť rozsah obchodníka, ale nie oslobodené dodržiavať kontrolné mechanizmy platné vo vašom vlastnom prostredí (napr. webová bezpečnosť, správa prístupu a protokoly).
Chránené údaje a osvedčené postupy
PCI chráni informácie, ako napríklad PAN (číslo karty), meno držiteľa karty, dátum vypršania platnosti, servisné kódy, údaje o sledovaní a citlivé autentifikačné prvky, ako napríklad CVV y PIN (tieto by sa nikdy nemali skladovať). Kľúčové odporúčania: neukladať dáta pokiaľ to nie je potrebné, minimalizujte si uchovávanie a používať tokenizáciu.
Výhody a riziká
Dodržiavanie štandardu PCI DSS znižuje podvod, chráni povesť a vylepšuje sa dôvera klienta. Nedodržanie predpisov odhaľuje medzery, možné pokuty, povinné forenzné preskúmanie a strata schopnosti prijímať karty.
Prijatie PCI DSS upevňuje kultúru bezpečnosť už od návrhu ktorý predchádza nákladným incidentom, uľahčuje audity a zaisťuje plynulé a spoľahlivé platobné procesy pre vašich zákazníkov.
