Hvis Magento 1-bedriften din håndterer kredittkortinformasjon, er du kanskje allerede klar over 300+ sikkerhetskravene i PCI DSS. Hvis du ikke er kjent, vil denne artikkelen dekke noe av det grunnleggende og tilby ressurser for å bekrefte samsvar.
Grunnlagt i 2006 av American Express, Discover, JCB International, Mastercard og Visa, setter Payment Card Industry Data Security Standards (PCI DSS) minimumsstandarden for datasikkerhet rundt behandling av kredittkorttransaksjoner. Det bidrar til å redusere svindel og datainnbrudd på tvers av betalingsøkosystemet og gjelder for enhver organisasjon som aksepterer eller behandler betalinger via kredittkort.
PCI DSS-samsvar
PCI DSS-samsvar innebærer tre hovedregler:
- Sensitive kredittkortdata fra forbrukere bør samles inn og overføres sikkert
- Disse dataene må lagres sikkert ved bruk av kryptering, løpende overvåking og sikkerhetstesting av tilgang til kortdata
- På årlig basis, validere at de nødvendige sikkerhetskontrollene er på plass
Sensitive data fra forbrukere
Selskaper som håndterer kortdata kan bli pålagt å oppfylle hver av de 300+ sikkerhetskontrollene i PCI DSS. Selv om kortdata bare reiser en bedrifts infrastruktur et øyeblikk, vil selskapet måtte kjøpe, implementere og vedlikeholde sikkerhetsprogramvare og maskinvare.
Hvis et selskap trenger å håndtere sensitive kredittkortdata, bør det ikke gjøre det. Tredjepartsløsninger (som Stripe) godta og lagre kredittkortdata på en sikker måte, og fjerner betydelig kompleksitet, kostnader og risiko. Hvis kortdata aldri berører bedriftens servere, trenger du bare å bekrefte 22 relativt enkle sikkerhetskontroller, som å bruke sterke passord.
Lagre data sikkert
Hvis en organisasjon håndterer eller lagrer kredittkortdata, må den definere omfanget av sitt kortholderdatamiljø (CDE). PCI DSS definerer CDE som menneskene, prosessene og teknologiene som lagrer, behandler eller overfører kredittkortdata – eller et hvilket som helst system som er koblet til det.
Siden alle 300+ sikkerhetskrav i PCI DSS gjelder for CDE, er det viktig å segmentere betalingsmiljøet riktig fra resten av virksomheten for å begrense omfanget av PCI-validering. Hvis en organisasjon ikke er i stand til å inneholde CDE-omfanget, vil PCI-sikkerhetskontrollene gjelde for alle systemer, bærbare datamaskiner og enheter på bedriftens nettverk. Ingen har tid til det.
En årlig gjennomgang av nødvendige sikkerhetskontroller
Uavhengig av hvordan kortdata aksepteres, må organisasjoner som håndterer kredittkortbetalinger fylle ut et PCI-valideringsskjema årlig for å opprettholde samsvar.
12 Hovedkrav for PCI DSS
De nyeste sikkerhetsstandardene, PCI DSS versjon 3.2.1, inkluderer 12 hovedkrav med over 300 underkrav som gjenspeiler beste praksis for sikkerhet.
Disse 12 hovedkravene er:
- Installer og vedlikehold en brannmurkonfigurasjon for å beskytte kortholderinformasjon
- Bruk aldri leverandørens standardinnstillinger for systempassord og andre sikkerhetsparametere
- Beskytt lagrede kortholderdata
- Krypter overføring av kortholderdata på tvers av åpne eller offentlige nettverk
- Beskytt alle systemer mot skadelig programvare og oppdater antivirusprogramvare regelmessig
- Utvikle og vedlikeholde sikre systemer og applikasjoner
- Begrens tilgang til kortholderdata
- Identifiser og autentiser tilgang til systemkomponenter
- Begrens fysisk tilgang til kortholderdata
- Spor og overvåk all tilgang til nettverksressurser og kortholderdata
- Test sikkerhetssystemer og prosesser regelmessig
- Opprettholde en policy som tar for seg informasjonssikkerhet for alle ansatte
Nye virksomheter kan validere PCI-samsvar via ni selvvurderingsspørreskjemaer som hver er en undergruppe av hele PCI DSS-kravet. Vanskeligheten kommer fra å prøve å finne ut hvilke krav som er nødvendige for virksomheten. Noen virksomheter vil ansette en PCI Council-godkjent revisor for å sikre at hvert PCI DSS-krav er oppfylt. Og som om det ikke er komplisert nok – PCI Council reviderer reglene hvert tredje år og gir ut oppdateringer gjennom hvert år. Hvordan kan bedrifter sikre kredittkortdataene sine og opprettholde PCI-samsvar med tanke på disse faktorene?
Måter å sikre
Det finnes en rekke aksepterte måter å sikre nettstedet ditt på med PCI DSS-kravene, fra å ansette et kvalifisert sikkerhetsvurderingsfirma (QSA), til å bruke PCI 3-trinns prosessen, og via Hostinger Safe Harbor i samarbeid med Stripe.
1. En kvalifisert sikkerhetsvurdering
A Qualified Security Assessor er et datasikkerhetsfirma som er kvalifisert av PCI Council til å utføre PCI Data Security Standard-vurderinger på stedet. En assessor vil verifisere all teknisk informasjon gitt av selgeren eller tjenesteleverandøren og bruke uavhengig vurdering for å bekrefte at standarden er oppfylt. Du finner en liste over Qualified Security Assessor (QSA)-selskaper her.
2. PCI 3-trinns prosess
- Asses Identifisere kortholderdata, ta en oversikt over IT-ressurser og forretningsprosesser for betalingskortbehandling, og analysere dem for sårbarheter.
- Utbedring Å fikse sårbarheter og eliminere lagring av kortholderdata med mindre det er absolutt nødvendig.
- Rapportere Samle og sende inn nødvendige rapporter til de aktuelle innkjøpende bank- og kortmerkene.
3. Trygg havn
Magento 1 nådde slutten av levetiden i juni 2020, og satte tusenvis av e-handelssider i et samsvarsgrå område da Adobe sluttet å utstede offisielle sikkerhetsoppdateringer.
Selv om e-handelsapplikasjonen i seg selv bare representerer en liten del av hva PCI-overholdelse virkelig innebærer, for selgere som fortsatt driver e-handelssidene sine på Magento 1, er det viktig å merke seg at det ikke lenger vil bli utstedt sikkerhetsoppdateringer og oppdateringer for plattformen. De er på egenhånd med mindre de har investert i en løsning som Hostinger Safe Harbor. Vi anbefaler på det sterkeste at du sjekker ut Stripesom har en forpliktelse til å holde Magento 1-modulen i gang for kundene sine.
Stripe
Stripe er fortsatt forpliktet til å gjøre det mulig for brukere å bruke Stripes produkter på en sikker måte i Magento 1. For det formål oppfordrer Hostinger deg til å installere Stripes offisielle Magento 1-modul, som bruker Stripe.js og Elements for å forenkle nettstedets PCI-overholdelse. Stripe vil fortsette å gi ut feilrettinger og sikkerhetsoppdateringer for Stripe Magento 1-modulen for å sikre at denne løsningen følger Payment Card Industry Data Security Standards (PCI DSS).
Konklusjon
Som du kan se, er det ingen liten prestasjon å oppnå og vedlikeholde PCI-samsvar. Men med den riktige informasjonen, assistanse fra en profesjonell overholdelse og Hostinger Safe Harbor, kan bedrifter som fortsatt opererer på Magento 1 holde kundens kredittkortdata trygge og sikre.