Hva er PCI-samsvar?

Når det gjelder å behandle betalinger på nettet i disse dager, har de fleste ikke engang et øye. Kunder betaler med kredittkort, via e-post og via Facebook, men for e-handelssider er risikoaversjon for betalingssikkerhet en integrert del av hvordan de driver forretninger.

Her er hvordan du sørger for at kundenes nettsteder forblir kompatible, og hva du skal gjøre når du har å gjøre med en utdatert applikasjon som har nådd slutten av levetiden.

Hva betyr det?

Først av alt, la oss se hva PCI-overholdelse betyr.

Opprinnelig satt av de store kredittkortselskapene, dannet PCI Security Standards Council disse parameterne for overholdelse av betalingsbehandling for å beskytte kortholderne deres mot sikkerhetstrusler og svindel.

Ved å bruke et sett med kvalifikasjoner for å fastslå sikkerheten til en salgsterminal eller netthandelsnettsted, er disse standardene nå obligatoriske beste praksis mellom bedrifter som behandler kortbetalinger og deres kunder.

Standardene for PCI-samsvar er som følger:

  • Installer og vedlikehold en brannmurkonfigurasjon for å beskytte kortholderdata
  • Ikke bruk leverandørens standardinnstillinger for systempassord og andre sikkerhetsparametere
  • Beskytt lagrede kortholderdata
  • Krypter overføring av kortholderdata på tvers av åpne, offentlige nettverk
  • Bruk og oppdater regelmessig antivirusprogramvare eller -programmer
  • Utvikle og vedlikeholde sikre systemer og applikasjoner
  • Begrens tilgangen til kortholderdata av virksomheten trenger å vite
  • Tilordne en unik ID til hver person med datamaskintilgang
  • Begrens fysisk tilgang til kortholderdata
  • Spor og overvåk all tilgang til nettverksressurser og kortholderdata
  • Test sikkerhetssystemer og prosesser regelmessig
  • Opprettholde en policy som tar for seg informasjonssikkerhet for alt personell
Å lese:  Hva er en CDN? Grunnleggende om innholdsleveringsnettverk

For utviklere er et eget sett med standarder satt av PCI SSC for å sikre at nettsteder behandler elektroniske betalinger sikkert:

  1. Ikke oppbevar full magnetstripe, kortverifiseringskode eller verdi (CAV2, CID, CVC2, CVV2) eller PIN-blokkdata
  2. Beskytt lagrede kortholderdata
  3. Gi sikre autentiseringsfunksjoner
  4. Logg betalingsapplikasjonsaktivitet
  5. Utvikle sikre betalingsapplikasjoner
  6. Beskytt trådløse overføringer
  7. Test betalingsapplikasjoner for å adressere sårbarheter
  8. Tilrettelegg for sikker nettverksimplementering
  9. Kortholderdata må aldri lagres på en server koblet til Internett
  10. Tilrettelegg for sikker ekstern tilgang til betalingsapplikasjon
  11. Krypter sensitiv trafikk over offentlige nettverk
  12. Krypter all administrativ tilgang som ikke er konsoll
  13. Vedlikeholde instruksjonsdokumentasjon og opplæringsprogrammer for kunder, forhandlere og integratorer
  14. Vedlikeholde instruksjonsdokumentasjon og opplæringsprogram

Bøter for manglende overholdelse kan variere mellom $5 000 og $100 000 i måneden, og uunngåelig ende opp med å være selgerens ansvar. I tillegg kan selgere møte høyere transaksjonsbehandlingsgebyrer, eller til og med manglende evne til å behandle elektroniske betalinger for kundene deres i fremtiden for manglende overholdelse.

Hva utviklere trenger å vite om PCI-samsvar

Heldigvis har betalingsapplikasjoner og betalingsgatewayer tatt seg av mye av den tekniske siden av å sikre at betalinger behandles sikkert. Som utvikler eller nettstedbygger er ditt primære ansvar når det gjelder PCI-samsvar å sikre at applikasjonene dine oppfyller PCI SSCs standarder og holder seg oppdatert.

Å lese:  10 verktøy uten kode for å forbedre frilansvirksomheten din

PCI-samsvarsstandarder bestemmes av volumet av transaksjoner som en selger behandler. Selgeren blir tildelt et krav til samsvarsnivå basert på volumet av virksomheten han eller hun driver, og sikkerheten til nettstedene deres kan testes av en godkjent skanningsleverandør, eller ASV.

Kilde

Netthandelssider faller inn under PCI SAQ 3.1 og har følgende standarder:

Hvorvidt kunden din krever en ASV, avhenger virkelig av hvilke betalingsbehandlere og e-handelsapplikasjoner du kjører siden deres på. Disse diagrammene skildre dataflyten, slik at du kan avgjøre om kundens nettsted vil trenge en ASV eller ikke.

Byrden med nettstedssikkerhet ligger til syvende og sist på nettstedets administrator, som kan være deg. Hvis det er tilfelle, er den sterkeste forebyggingen for manglende overholdelse ganske enkel:

  • Sørg for at plugins holder seg oppdatert
  • Sørg for at programvareoppdateringer og sikkerhetsoppdateringer blir installert
  • Oppretthold strenge serversikkerhetsstandarder
  • Sørg for at e-handelsapplikasjoner er oppdatert

Hva slutten av levetiden betyr for PCI-overholdelse

Nylig nådde Magento 1 slutten av levetiden, og satte tusenvis av e-handelssider inn i et samsvarsgrå område da Adobe sluttet å utstede offisielle sikkerhetsoppdateringer.

Selv om e-handelsapplikasjonen i seg selv bare representerer en liten del av hva PCI-overholdelse virkelig innebærer, er det viktige å merke seg for selgere som fortsatt driver sine e-handelssider på Magento 1.

Dette gjelder først og fremst nummer syv på listen over PCI-samsvarstiltak for utviklere:

Å lese:  6 velprøvde Pinterest-markedsføringsverktøy for å utvide rekkevidden din

Test betalingsapplikasjoner for å adressere sårbarheter.

Siden Magento ikke lenger ser etter sikkerhetsoppdateringer for Magento 1-brukere, reiser det spørsmålet: en e-handelsside være PCI-kompatibel på en e-handelsapplikasjon som har nådd slutten av livet?

Ja. Hostinger har gjort det med Safe Harbor.

Hva du skal gjøre når en plattform når slutten av livet

Magento ble bygget på Hostinger-servere. Da Magento 1 begynte å nærme seg slutten av livet, gikk ingeniørteamet vårt i gang med å utvikle en løsning som lar selgere selv bestemme når de skal migrere.

For mange Magento 1-butikkeiere var det ikke økonomisk realistisk å flytte til Magento 2 i kjølvannet av COVID-19. Nettstedmigrasjoner er dyre og komplekse, og med så mye omveltning og usikkerhet var mange forståelig nok redde for å ta spranget.

Så ingeniørteamet hos Hostinger kom med et kompromiss. Hostinger Safe Harbor ble bygget for å adressere Magento 1-slutt av levetiden, og holde e-handelsnettsteder og butikkeiere PCI-kompatible til MINST slutten av 2021, slik at de kan migrere på sin egen tid.

Med vanlige sikkerhetsoppdateringer laget av teamet som bokstavelig talt startet med Magento, er Hostinger i stand til å holde Magento 1-nettsteder og lagre PCI-kompatible til de er klare til å bytte.

Slutt på livet trenger ikke å bety slutten på PCI-samsvar.

Å lese:  Hvordan redigere en WordPress-hjemmeside

Få mer tid og hold kundedata trygge med Hostinger Safe Harbor.

Klikk her for å lære mer om Hostinger Safe Harbor, eller åpne chattevinduet nederst til høyre på skjermen for å snakke med salg.

Nye publikasjoner:

Anbefaling