Sok kiskereskedő a e-kereskedelmi webhely Valószínűleg már hallottál a PCI megfelelőség kifejezésről, de nem mindenki érti, hogy mit is jelent valójában az online vállalkozása számára. Ezért az alábbiakban egy kicsit többet elmondunk róla. PCI-megfelelés és miért fontos az Ön e-kereskedelme szempontjából.
Mi a PCI-megfelelés?
Először meg kell értened A PCI megfelelőség nem törvény vagy kormányzati rendeletA helyes neve PCI DSS, ami a „Payment Card Industry – Data Security” (Fizetési Kártyaipar – Adatbiztonság) rövidítése. Standard "és ez alapvetően arra utal, hogy biztonsági követelményekkel ellátott szabvány amelyet minden kereskedőnek, kicsinek vagy nagynak, be kell tartania.
Minden kereskedőnek meg kell felelnie a PCI megfelelőségi előírásoknak, még akkor is, ha nem kezel nagyszámú tranzakciót, vagy nem vesz igénybe harmadik féltől származó szolgáltatókat, például hosztolt e-kereskedelmi platformok, a hitelkártya-adatok kiszervezésére. Az ilyen kereskedők számára, akik kiszervezik fizetési folyamataikat, a PCI hatókör Általában kisebb, és a ellenőrzési követelmények Minimálisak, de nem tűnnek el.
A PCI megfelelés minden vállalkozásra érvényes
Muchos E-kereskedelmi kiskereskedők Azt hiszik, hogy a PCI megfelelőség nem vonatkozik a vállalkozásaikra, mert túl kicsik. Valójában ez a szabvány a következőkre vonatkozik: bármely olyan vállalat, amely bankkártya-adatokat dolgoz fel, tárol vagy továbbítHa e-kereskedelmi üzlet tulajdonosaként nem veszi komolyan a biztonságot, és egy hackelés az ügyféladatok ellopásához vezet, súlyos következményekkel nézhet szembe.
Ennek megfelelően, A PCI-megfelelőség kötelező, ha hitelkártyás fizetést fogadunk el.; a be nem tartása a következőkhöz vezethet: szerződéses bírságok, baleseti pótdíjak, magasabb beszerzési költség és szélsőséges esetekben a a kártyák feldolgozásának képességének elvesztéseEzért fontos a PCI-megfelelőség az e-kereskedelem számára, és hogy az... megbízhatóbb az ügyfelei számára.
PCI DSS főbb követelményei: Célok és ellenőrzések
A PCI DSS a vezérlőit a következő csoportokba csoportosítja: 6 célkitűzés y 12 technikai és szervezési követelmény amelyek erősítik a biztonságot:
- Biztonságos hálózat kiépítése és fenntartása: 1) a tűzfal megfelelően konfigurálva; 2) alapértelmezett hitelesítő adatok módosítása.
- Védje a tulajdonos adatait: 3) védje a tárolt adatokat; 4) titkosítás továbbítás közben nyilvános hálózatokon.
- Sebezhetőségek kezelése: 5) frissített vírusirtó/kártevőirtó; 6) javítások és biztonságos fejlesztés.
- A hozzáférés szabályozása: 7) a szükséges ismeret elve alapján történő hozzáférés; 8) Egyedi azonosító és MFA; 9) fizikai ellenőrzések.
- Monitorozás és tesztelés: 10) regisztráció és nyomon követhetőség hozzáférés; 11) időszakos tesztelés és szkennelés.
- Biztonsági irányelvek: 12) kormányzat és képzés minden alkalmazott számára.
A jó gyakorlatok közé tartoznak: hálózati szegmentáció-ban tokenizálás a tárolt adatok minimalizálása, penetrációs tesztelés és a tűzfalszabályok féléves felülvizsgálata érdekében.
Megfelelőségi és validációs szintek
- Level 1több mint 6 millió tranzakció/év. Szükséges ROC QSA vagy minősített belső ellenőr által, AOC éves és negyedéves ASV-vizsgálatok.
- 2–4. szintalacsonyabb hangerő. Szükségük van rá SAQ éves (integráció szerinti típus: pl. A, A-EP, D), AOC és adott esetben, Negyedéves ASV-k.
Ezek a követelmények szerződéses a kártyamárkákkalA be nem tartása a következőkhöz vezethet: gazdasági következmények és működőképes.
Hogyan érhető el és tartható fenn a megfelelőség az e-kereskedelemben
1) Csökkenti a hatótávolságotHasználjon hosztolt átjárókat, tokenizációt és szegmentálást annak biztosítására, hogy a környezete kevésbé érzékeny adatokat kezeljen. 2) Keményített konfigurációk: Az alapértelmezett jelszavak eltávolítása, az MFA és a minimális jogosultságok elvének érvényesítése. 3) AdatvédelemTitkosítsa az adatokat átvitel közben (erős TLS), és tárolás esetén biztonságos kulcskezeléssel titkosítsa őket. 4) Folyamatos megfigyelés: SIEM, naplómegőrzés, riasztások és ASV-szkennelések negyedévente. 5) vizsgálatok: időszakos átvilágítás és a megállapítások korrekciója. 6) sebezhetőség kezelése: leltár, javítások és vírusvédelem. 7) Szabályzatok és képzések: Alkalmazotti tudatosság és incidensekre való reagálás. 8) Dokumentáció: elkészíti az önértékelési kérdőívet/roc-ot és az üzemeltetési engedélyt (AOC) naprakész bizonyítékokkal.
Fizetési átjárók és pénztárcák
sok fizetési átjárók y digitális pénztárcákMint Paysafecard, a PCI DSS előírásainak is meg kell felelniük. Tanúsítványuk segít csökkentse a hatókört a kereskedőé, de nem mentesül a saját környezetében alkalmazandó ellenőrzések betartása (pl. webbiztonság, hozzáférés-kezelés és naplók).
Védett adatok és bevált gyakorlatok
A PCI olyan információkat véd, mint a PAN (kártyaszám), kártyatulajdonos neve, lejárati idő, szolgáltatáskódok, pályaadatok és érzékeny hitelesítési elemek, mint például CVV y PIN (ez utóbbit soha nem szabad tárolni). Főbb ajánlások: ne mentse az adatokat hacsak nem szükséges, minimalizálja a megtartási arányt és tokenizációt használ.
Előnyök és kockázatok
A PCI DSS megfelelés csökkenti csalás, védi a hírnév és javul bizalom az ügyfél. A meg nem felelés leleplezi rések, esetleges bírságok, kötelező igazságügyi szakértői felülvizsgálat és a kártyaelfogadás lehetőségének elvesztése.
A PCI DSS bevezetése megszilárdítja a vállalati kultúrát beépített biztonság amely megelőzi a költséges incidenseket, megkönnyíti az auditokat, és zökkenőmentes, megbízható fizetési élményt biztosít ügyfelei számára.
