Oppnå & Opprettholde PCI-samsvarskrav

Hvis Magento 1-bedriften din håndterer kredittkortinformasjon, er du kanskje allerede klar over 300+ sikkerhetskravene i PCI DSS. Hvis du ikke er kjent, vil denne artikkelen dekke noe av det grunnleggende og tilby ressurser for å bekrefte samsvar.

Grunnlagt i 2006 av American Express, Discover, JCB International, Mastercard og Visa, setter Payment Card Industry Data Security Standards (PCI DSS) minimumsstandarden for datasikkerhet rundt behandling av kredittkorttransaksjoner. Det bidrar til å redusere svindel og datainnbrudd på tvers av betalingsøkosystemet og gjelder for enhver organisasjon som aksepterer eller behandler betalinger via kredittkort.

PCI DSS-samsvar

PCI DSS-samsvar innebærer tre hovedregler:

  1. Sensitive kredittkortdata fra forbrukere bør samles inn og overføres sikkert
  2. Disse dataene må lagres sikkert ved bruk av kryptering, løpende overvåking og sikkerhetstesting av tilgang til kortdata
  3. På årlig basis, validere at de nødvendige sikkerhetskontrollene er på plass

Sensitive data fra forbrukere

Selskaper som håndterer kortdata kan bli pålagt å oppfylle hver av de 300+ sikkerhetskontrollene i PCI DSS. Selv om kortdata bare reiser en bedrifts infrastruktur et øyeblikk, vil selskapet måtte kjøpe, implementere og vedlikeholde sikkerhetsprogramvare og maskinvare.

Å lese:  20 Programvare for bildegjenoppretting & Apper for å gjenopprette slettede bilder

Hvis et selskap trenger å håndtere sensitive kredittkortdata, bør det ikke gjøre det. Tredjepartsløsninger (som Stripe) godta og lagre kredittkortdata på en sikker måte, og fjerner betydelig kompleksitet, kostnader og risiko. Hvis kortdata aldri berører bedriftens servere, trenger du bare å bekrefte 22 relativt enkle sikkerhetskontroller, som å bruke sterke passord.

Lagre data sikkert

Hvis en organisasjon håndterer eller lagrer kredittkortdata, må den definere omfanget av sitt kortholderdatamiljø (CDE). PCI DSS definerer CDE som menneskene, prosessene og teknologiene som lagrer, behandler eller overfører kredittkortdata – eller et hvilket som helst system som er koblet til det.

Siden alle 300+ sikkerhetskrav i PCI DSS gjelder for CDE, er det viktig å segmentere betalingsmiljøet riktig fra resten av virksomheten for å begrense omfanget av PCI-validering. Hvis en organisasjon ikke er i stand til å inneholde CDE-omfanget, vil PCI-sikkerhetskontrollene gjelde for alle systemer, bærbare datamaskiner og enheter på bedriftens nettverk. Ingen har tid til det.

En årlig gjennomgang av nødvendige sikkerhetskontroller

Uavhengig av hvordan kortdata aksepteres, må organisasjoner som håndterer kredittkortbetalinger fylle ut et PCI-valideringsskjema årlig for å opprettholde samsvar.

12 Hovedkrav for PCI DSS

De nyeste sikkerhetsstandardene, PCI DSS versjon 3.2.1, inkluderer 12 hovedkrav med over 300 underkrav som gjenspeiler beste praksis for sikkerhet.

Å lese:  Sikring av Magento-fil & Katalogtillatelser

Disse 12 hovedkravene er:

  1. Installer og vedlikehold en brannmurkonfigurasjon for å beskytte kortholderinformasjon
  2. Bruk aldri leverandørens standardinnstillinger for systempassord og andre sikkerhetsparametere
  3. Beskytt lagrede kortholderdata
  4. Krypter overføring av kortholderdata på tvers av åpne eller offentlige nettverk
  5. Beskytt alle systemer mot skadelig programvare og oppdater antivirusprogramvare regelmessig
  6. Utvikle og vedlikeholde sikre systemer og applikasjoner
  7. Begrens tilgang til kortholderdata
  8. Identifiser og autentiser tilgang til systemkomponenter
  9. Begrens fysisk tilgang til kortholderdata
  10. Spor og overvåk all tilgang til nettverksressurser og kortholderdata
  11. Test sikkerhetssystemer og prosesser regelmessig
  12. Opprettholde en policy som tar for seg informasjonssikkerhet for alle ansatte

Nye virksomheter kan validere PCI-samsvar via ni selvvurderingsspørreskjemaer som hver er en undergruppe av hele PCI DSS-kravet. Vanskeligheten kommer fra å prøve å finne ut hvilke krav som er nødvendige for virksomheten. Noen virksomheter vil ansette en PCI Council-godkjent revisor for å sikre at hvert PCI DSS-krav er oppfylt. Og som om det ikke er komplisert nok – PCI Council reviderer reglene hvert tredje år og gir ut oppdateringer gjennom hvert år. Hvordan kan bedrifter sikre kredittkortdataene sine og opprettholde PCI-samsvar med tanke på disse faktorene?

Måter å sikre

Det finnes en rekke aksepterte måter å sikre nettstedet ditt på med PCI DSS-kravene, fra å ansette et kvalifisert sikkerhetsvurderingsfirma (QSA), til å bruke PCI 3-trinns prosessen, og via Hostinger Safe Harbor i samarbeid med Stripe.

Å lese:  Magecart angriper igjen: det siste på CardBleed

1. En kvalifisert sikkerhetsvurdering

A Qualified Security Assessor er et datasikkerhetsfirma som er kvalifisert av PCI Council til å utføre PCI Data Security Standard-vurderinger på stedet. En assessor vil verifisere all teknisk informasjon gitt av selgeren eller tjenesteleverandøren og bruke uavhengig vurdering for å bekrefte at standarden er oppfylt. Du finner en liste over Qualified Security Assessor (QSA)-selskaper her.

2. PCI 3-trinns prosess

  1. Asses Identifisere kortholderdata, ta en oversikt over IT-ressurser og forretningsprosesser for betalingskortbehandling, og analysere dem for sårbarheter.
  2. Utbedring Å fikse sårbarheter og eliminere lagring av kortholderdata med mindre det er absolutt nødvendig.
  3. Rapportere Samle og sende inn nødvendige rapporter til de aktuelle innkjøpende bank- og kortmerkene.

3. Trygg havn

Magento 1 nådde slutten av levetiden i juni 2020, og satte tusenvis av e-handelssider i et samsvarsgrå område da Adobe sluttet å utstede offisielle sikkerhetsoppdateringer.

Selv om e-handelsapplikasjonen i seg selv bare representerer en liten del av hva PCI-overholdelse virkelig innebærer, for selgere som fortsatt driver e-handelssidene sine på Magento 1, er det viktig å merke seg at det ikke lenger vil bli utstedt sikkerhetsoppdateringer og oppdateringer for plattformen. De er på egenhånd med mindre de har investert i en løsning som Hostinger Safe Harbor. Vi anbefaler på det sterkeste at du sjekker ut Stripesom har en forpliktelse til å holde Magento 1-modulen i gang for kundene sine.

Å lese:  Dynamisk prissetting gir Magento-forhandlere et forsprang på konkurransen

Stripe

Stripe er fortsatt forpliktet til å gjøre det mulig for brukere å bruke Stripes produkter på en sikker måte i Magento 1. For det formål oppfordrer Hostinger deg til å installere Stripes offisielle Magento 1-modul, som bruker Stripe.js og Elements for å forenkle nettstedets PCI-overholdelse. Stripe vil fortsette å gi ut feilrettinger og sikkerhetsoppdateringer for Stripe Magento 1-modulen for å sikre at denne løsningen følger Payment Card Industry Data Security Standards (PCI DSS).

Konklusjon

Som du kan se, er det ingen liten prestasjon å oppnå og vedlikeholde PCI-samsvar. Men med den riktige informasjonen, assistanse fra en profesjonell overholdelse og Hostinger Safe Harbor, kan bedrifter som fortsatt opererer på Magento 1 holde kundens kredittkortdata trygge og sikre.

Nye publikasjoner:

Anbefaling