PCI atbilstība e-komercijai: kas tā ir, prasības, līmeņi un kā nodrošināt atbilstību

  • PCI DSS ir līgumisks standarts, kas aizsargā karšu datus un attiecas uz jebkuru e-komercijas uzņēmumu, kas apstrādā, pārsūta vai uzglabā šo informāciju.
  • Tas ietver 6 mērķus un 12 prasības: drošs tīkls, datu aizsardzība, ievainojamību pārvaldība, piekļuves kontrole, uzraudzība un drošības politika.
  • Validācija atšķiras atkarībā no apjoma (1.–4. līmenis) un attiecīgā gadījumā ietver ceturkšņa SAQ/ROC, AOC un ASV skenēšanu.
  • Sertificētu vārteju, tokenizācijas un segmentācijas izmantošana samazina sasniedzamību un risku, taču neaizstāj pienācīgu atbilstību.
Susana Maria Urbano Mateos

4 Minutos

PCI atbilstība

Daudzi mazumtirgotāji ar e-komercijas vietne Jūs droši vien jau esat dzirdējuši terminu PCI atbilstība, taču ne visi saprot, ko tas patiesībā nozīmē viņu tiešsaistes biznesam. Tāpēc tālāk mēs nedaudz pastāstīsim, kas tas ir. PCI atbilstība un kāpēc tas ir svarīgi jūsu e-komercijai.

Kas ir PCI atbilstība?

PCI drošība e-komercijai

Vispirms jums tas ir jāsaprot PCI atbilstība nav likums vai valdības noteikumiTā pareizais nosaukums ir PCI DSS, kas apzīmē “Maksājumu karšu nozare – datu drošība”. Standarta"un tas būtībā attiecas uz standarts ar drošības prasībām kas jāievēro visiem tirgotājiem, gan lieliem, gan maziem.

Katram tirgotājam ir jāievēro PCI atbilstības prasības, pat ja jūs neapstrādājat lielu skaitu darījumu vai neizmantojat trešo pušu pakalpojumu sniedzējus, piemēram, mitinātas e-komercijas platformas, lai ārpakalpojumā nodotu kredītkaršu informāciju. Tirgotājiem, kas savus maksājumu procesus nodod ārpakalpojumā, PCI darbības joma Tas parasti ir mazāks, un verifikācijas prasības Tie ir minimāli, bet tie nepazūd.

PCI atbilstība attiecas uz jebkuru uzņēmumu

PCI atbilstība tiešsaistes veikalos

Muchos E-komercijas mazumtirgotāji Viņi domā, ka PCI atbilstība neattiecas uz viņu uzņēmumiem, jo ​​tie ir pārāk mazi. Patiesībā šis standarts attiecas uz jebkurš uzņēmums, kas apstrādā, uzglabā vai pārsūta maksājumu karšu datusJa jūs kā e-komercijas veikala īpašnieks neuztverat drošību nopietni un uzlaušanas rezultātā tiek nozagta klientu informācija, jūs varat saskarties ar nopietnām sekām.

Līdz ar to Atbilstība PCI standartiem ir obligāta, ja tiek pieņemti maksājumi ar kredītkarti.; neievērošana var novest pie līgumsodi, incidentu piemaksas, augstākas iegādes izmaksas un, ekstremālos gadījumos, karšu apstrādes spēju zaudēšanaTādēļ PCI atbilstības nozīme e-komercijā ir liela, un tā ir uzticamāka jūsu klientiem.

PCI DSS galvenās prasības: mērķi un kontroles mehānismi

PCI DSS vadīklas

PCI DSS grupē savas vadības ierīces 6 mērķi y 12 tehniskās un organizatoriskās prasības kas stiprina drošību:

  • Izveidojiet un uzturiet drošu tīklu: 1) ugunsmūris ir pareizi konfigurēts; 2) mainīt noklusējuma akreditācijas datus.
  • Aizsargājiet īpašnieka datus: 3) aizsargāt uzglabātos datus; 4) šifrēšana sūtīšanas laikā publiskajos tīklos.
  • Pārvaldiet ievainojamības: 5) atjaunināta pretvīrusu/ļaunprogrammatūras apkarošanas programmatūra; 6) ielāpu ieviešana un droša izstrāde.
  • kontrolēt piekļuvi7) piekļuve, pamatojoties uz nepieciešamību zināt; 8) Unikāls ID un MFA9) fiziskā kontrole.
  • Uzraudzība un testēšana: 10) reģistrācija un izsekojamība piekļuve; 11) periodiska testēšana un skenēšana.
  • Drošības politika: 12) valdība un apmācība visam personālam.

Labā prakse ietver: tīkla segmentācijauz tokenizācija lai samazinātu uzglabāto datu apjomu, iekļūšanas testēšana un ugunsmūra noteikumu pusgada pārskatīšana.

Atbilstības un validācijas līmeņi

PCI validācija e-komercijai

  • Level 1vairāk nekā 6 miljoni darījumu gadā. Nepieciešams ROC ko veic QSA vai kvalificēts iekšējais auditors, AOC ikgadējs un ASV skenēšana ceturksnī.
  • 2.–4. līmenismazāks apjoms. Tie prasa SAQ gada (tips atbilstoši integrācijai: piemēram, A, A-EP, D), AOC un, attiecīgā gadījumā, Ceturkšņa ASV.

Šīs prasības ir līgumiski ar karšu zīmoliemNeievērošana var izraisīt ekonomiskās sekas un operatīva.

Kā panākt un uzturēt atbilstību e-komercijas prasībām

1) Samazina diapazonuIzmantojiet mitinātas vārtejas, tokenizāciju un segmentāciju, lai nodrošinātu, ka jūsu vide apstrādā mazāk sensitīvus datus. 2) Sacietināt konfigurācijas: Noņemt noklusējuma paroles, ieviest MFA un mazāko privilēģiju principu. 3) Aizsargājiet datusŠifrēt pārsūtīšanas laikā (spēcīgs TLS) un, ja tiek glabāts, šifrēt ar drošu atslēgu pārvaldību. 4) Nepārtraukta uzraudzība: SIEM, žurnālu saglabāšana, brīdinājumi un ASV skenēšana reizi ceturksnī. 5) Pārbaudes: periodiska atkārtota pārbaude un secinājumu labošana. 6) ievainojamības pārvaldība: inventarizācija, ielāpu ieviešana un antivīruss. 7) Politikas un apmācībaDarbinieku informētība un reaģēšana uz incidentiem. 8) dokumentācijasagatavot SAQ/ROC un AOC ar atjauninātiem pierādījumiem.

Maksājumu vārtejas un maki

L maksājumu vārti y digitālie makiPaysafecard, ir jāatbilst arī PCI DSS. Viņu sertifikācija palīdz samazināt darbības jomu tirgotāja, bet ne atbrīvojumus lai ievērotu jūsu vidē piemērojamās kontroles (piemēram, tīmekļa drošība, piekļuves pārvaldība un žurnāli).

Aizsargāti dati un laba prakse

PCI aizsargā tādu informāciju kā PAN (kartes numurs), kartes turētāja vārds, uzvārds, derīguma termiņš, pakalpojumu kodi, trases dati un sensitīvus autentifikācijas elementus, piemēram, CVV y PIN (pēdējo nekad nedrīkst uzglabāt). Galvenie ieteikumi: nesaglabāt datus ja vien tas nav nepieciešams, samaziniet savu noturēšanu un izmantot tokenizāciju.

Ieguvumi un riski

Atbilstība PCI DSS samazina krāpšana, aizsargā reputācija un uzlabo uzticība klienta. Neatbilstība pakļauj spraugas, iespējamie naudas sodi, obligāta tiesu medicīnas ekspertīze un karšu pieņemšanas iespēju zaudēšana.

PCI DSS ieviešana nostiprina kultūru drošība pēc ieceres kas novērš dārgus incidentus, atvieglo auditus un nodrošina jūsu klientiem netraucētu un uzticamu maksājumu pieredzi.

droši e-komercijas maksājumi
saistīto rakstu:
Drošība digitālajos maksājumos: atslēga jūsu uzņēmuma un klientu aizsardzībai