Много търговци на дребно с a уебсайт за електронна търговия Вероятно вече сте чували термина PCI Compliance, но не всеки разбира какво всъщност означава той за онлайн бизнеса му. Затова по-долу ще ви разкажем малко за това какво представлява. PCI съответствие и защо е важно за вашата електронна търговия.
Какво е PCI съответствие?
Първо трябва да разберете това Съответствието с PCI не е закон или правителствена разпоредба.Правилното му наименование е PCI DSS, което е съкращение от „Индустрия на платежните карти – Сигурност на данните“. Standard„и това основно се отнася до стандарт с изисквания за безопасност които всички търговци, големи или малки, трябва да спазват.
Всеки търговец трябва да спазва PCI Compliance, дори ако не обработвате голям брой транзакции или използвате услугите на трети страни, като например хоствани платформи за електронна търговия, да възлагат на външни изпълнители информация за кредитни карти. За търговци, които възлагат на външни изпълнители платежните си процеси, PCI обхват Обикновено е по-малък и изисквания за проверка Те са минимални, но не изчезват.
Съответствието с PCI се прилага за всеки бизнес
Muchos Търговци на дребно за електронна търговия Те смятат, че съответствието с PCI не се отнася за техния бизнес, защото е твърде малък. В действителност този стандарт се отнася за всяка компания, която обработва, съхранява или предава данни за платежни картиАко като собственик на магазин за електронна търговия не приемате сигурността сериозно и хакерска атака доведе до кражба на клиентска информация, може да се сблъскате със сериозни последици.
Съответно, Съответствието с PCI е задължително, ако се приемат плащания с кредитна карта.; неспазването може да доведе до договорни глоби, допълнителни такси за инциденти, по-висока цена на придобиване и в крайни случаи, загуба на способност за обработка на картиОттук и значението на съответствието с PCI за електронната търговия и за това то да бъде по-надеждни за вашите клиенти.
Ключови изисквания на PCI DSS: Цели и контролни механизми
PCI DSS групира своите контроли в 6 цели y 12 технически и организационни изисквания които засилват сигурността:
- Изградете и поддържайте сигурна мрежа: 1) защитната стена е правилно конфигурирана; 2) промяна на идентификационните данни по подразбиране.
- Защитете данните на собственика: 3) защита на съхранените данни; 4) криптиране при транзит в обществените мрежи.
- Управление на уязвимостите: 5) актуализиран антивирусен/антималуер; 6) пачване и сигурна разработка.
- контрол на достъпа7) достъп въз основа на необходимостта да се знае; 8) Уникален идентификатор и многостранна автентична идентификация; 9) физически контроли.
- Мониториране и тестване: 10) регистрация и проследимост достъп; 11) периодично тестване и сканиране.
- Политика за сигурност: 12) правителство и обучение за целия персонал.
Добрите практики включват: сегментиране на мрежата, The токанизация за минимизиране на съхранените данни, тестове за проникване и полугодишен преглед на правилата на защитната стена.
Нива на съответствие и валидиране
- Level 1: повече от 6 милиона транзакции/година. Изисква ROC от QSA или квалифициран вътрешен одитор, AOC годишен и тримесечни ASV сканирания.
- Нива 2–4: по-малък обем. Те изискват SAQ годишен (вид според интеграцията: напр. A, A-EP, D), AOC и, когато е приложимо, Тримесечни ASV.
Тези изисквания са договорни отношения с марките на картитеНеспазването може да доведе до икономически последици и оперативни.
Как да постигнем и поддържаме съответствие в електронната търговия
1) Намалява обхватаИзползвайте хоствани шлюзове, токенизация и сегментиране, за да гарантирате, че вашата среда обработва по-малко чувствителни данни. 2) Втвърдяване на конфигурациитеПремахнете паролите по подразбиране, наложете многофакторна автентичност (MFA) и принципа на най-малките привилегии. 3) Защитете данните: Криптиране при пренос (силен TLS) и, ако се съхранява, криптиране със защитено управление на ключове. 4) Непрекъснато наблюдениеSIEM, съхранение на лог файлове, предупреждения и ASV сканирания тримесечно. 5) Тестове: периодично тестване за проникване и коригиране на констатации. 6) управление на уязвимостта: инвентаризация, инсталиране на корекции и антивирусна програма. 7) Политики и обучение: Осведоменост на служителите и реагиране при инциденти. 8) документация: подгответе SAQ/ROC и AOC с актуализирани доказателства.
Платежни портали и портфейли
Лос шлюзове за плащане y цифрови портфейлиКато Paysafecard, също трябва да отговарят на PCI DSS. Тяхната сертификация помага намали обхвата на търговеца, но не освободени да спазвате контролите, приложими във вашата собствена среда (напр. уеб сигурност, управление на достъпа и регистрационни файлове).
Защитени данни и добри практики
PCI защитава информация като например PAN (номер на картата), име на картодържателя, дата на валидност, сервизни кодове, данни за проследяване и чувствителни елементи за удостоверяване, като например CVV y PIN (последното никога не трябва да се съхранява). Ключови препоръки: не запазвай данни освен ако е необходимо, минимизирайте задържането си и използвайте токенизация.
Ползи и рискове
Спазването на PCI DSS намалява измама, защитава репутация и се подобрява доверие на клиента. Неспазването на изискванията разкрива пропуски, евентуални глоби, задължителна съдебномедицинска проверка и загуба на възможността за приемане на карти.
Приемането на PCI DSS консолидира култура на сигурност по дизайн което предотвратява скъпоструващи инциденти, улеснява одитите и осигурява безпроблемни и надеждни платежни процеси за вашите клиенти.
