Ce este conformitatea PCI? Găsiți cel mai bun gazduire web compatibil PCI

cel mai bun computer de găzduire web compatibil


Industria cardurilor de plată – Standardele de securitate a datelor (PCI-DSS) sunt un set vast de cerințe adoptate de Consiliul pentru Standardele de Securitate PCI și sunt menite să asigure măsuri de securitate a datelor coerente tuturor comercianților online. Consiliul standardelor de securitate PCI (PCI SSC) include JCB International, American Express, Discover Financial Services, VISA și MasterCard Worldwide. Orice comerciant online care acceptă plăți prin intermediul companiilor majore de carduri de credit este obligat la cerințele PCI-DSS.

Realizarea și menținerea conformității poate fi o experiență nervoasă chiar și pentru marile companii online, cu atât mai puțin pentru micii comercianți. Însă repercusiunile costisitoare ale încălcării datelor și nerespectarea cerințelor de conformitate fac ca imperativ pentru furnizorii de servicii online să se asigure că clienții lor tranzacționează în siguranță.

În acest articol, discutăm unele dintre cele mai importante cerințe pentru conformitatea PCI și cum să găsim cel mai bun găzduire web compatibilă cu PCI pentru a vă gestiona mai bine strategia de conformitate PCI.

Ce înseamnă să fie conform PCI?

Conformitatea PCI este o necesitate pentru toate întreprinderile de comerț electronic care acceptă cardul de credit, indiferent de veniturile și volumul tranzacțiilor. Prin urmare, acești doi factori nu vor determina dacă trebuie să respectați sau nu regulile de securitate a datelor stabilite de PCI SSC, având în vedere că chiar și cea mai mică companie de comerț electronic care acceptă cardul de credit este legată de standardele PCI-DSS; cu toate acestea, numărul de tranzacții cu card de credit / debit procesele dvs. de afaceri anual va determina care dintre cele patru niveluri de conformitate pe care trebuie să le atingeți. Nivelul 1 are cea mai mare dificultate de conformitate și este un standard de securitate care trebuie atins de întreprinderile de comerț electronic care prelucrează peste 6.000.000 de carduri de credit sau debit pe o perioadă de 12 luni. Pe de altă parte, nivelul 4 prezintă cea mai mică dificultate de conformitate și se referă la întreprinderile online care procesează mai puțin de 20.000 de tranzacții cu card de credit anual.

Deși standardele PCI-DSS definite de PCI SSC nu sunt o lege, respectarea acestor standarde este aplicată chiar de companiile de credit. Întreprinderile despre care se constată o încălcare se pot aștepta cu amenzi substanțiale (5.000 – 100.000 USD lunar) și penalități (pierderea dreptului de a procesa plățile cu cardul de credit, creșterea comisioanelor de procesare pe tranzacție, plata cardurilor de credit compromise din cauza încălcării, în mișcare până la un nivel de conformitate etc.). Aceste amenzi și sancțiuni se pot dovedi catastrofale pentru o afacere, fără să mai vorbim de pierderea reputației pe care o întreprindere o poate suferi ca urmare a încălcării.

Deși standardele definite și menținute de PCI SSC se reduc în cele din urmă la securizarea datelor deținătorului de card, obținerea conformității PCI reprezintă multe blocaje pentru comerciantul online online.

Iată, pe scurt, cerințele pentru conformitatea PCI acoperite în standardele complete PCI DSS la care furnizorii de servicii online trebuie să respecte:

  • Construirea și menținerea unei rețele sigure, care implică configurații de firewall și router, teste legate de acestea, frecvența testării și gestionarea sigură a parolelor;
  • Protejarea datelor deținătorului de carduri prin definirea parametrilor de stocare, păstrarea datelor, a utilizării datelor și a cerințelor de criptare, precum și stabilirea implementării protocoalelor de criptare și securitate (SSL / TLS, SSH sau IPSec) pentru protecția datelor deținătorului de card atunci când sunt transmise în mod deschis, rețele publice;
  • Executarea unui program de gestionare a vulnerabilităților, care implică utilizarea unui program antivirus actualizat regulat, activ în orice moment și care generează jurnalele de audit. O altă fațetă a programului de gestionare a vulnerabilităților este dezvoltarea și întreținerea de sisteme și aplicații sigure, care se realizează prin respectarea ghidurilor de codare sigure și revizuirea codului terț sau a aplicațiilor personalizate cu privire la vulnerabilități;
  • Implementarea măsurilor de control securizate a accesului utilizatorului prin protejarea datelor sensibile împotriva accesului neautorizat, limitarea accesului prin configurarea unui control de acces bine definit pe bază de rol (RBAC), atribuirea de ID-uri de utilizator unice pentru trasabilitate, folosirea proceselor de autentificare în doi factori, restricționarea accesului fizic la deținătorul cardului date;
  • Folosirea mecanismelor de înregistrare pentru a urmări și monitoriza accesul la datele deținătorului de rețea și de card, creând un traseu de audit care trebuie păstrat cel puțin un an;
  • Executarea scanărilor regulate de securitate a rețelei interne (trimestrial și după fiecare modificare semnificativă, actualizare sau modificare în rețea sau infrastructură), trimiterea la scanări trimestriale ASV (aprobat Scanning Vendor) după trecerea scanării inițiale de conformitate, a sistemelor de implementare (intruziune sisteme de detectare și sisteme de monitorizare a fișierelor) pentru a alerta cu privire la modificarea neautorizată a fișierelor critice și a compromisului sistemului;
  • Crearea și menținerea unei politici de securitate a informațiilor care ar trebui să acopere aspecte legate de screening-ul personalului, evaluarea riscurilor, evaluarea vulnerabilităților, acces la distanță etc..

Întreprinderile care nu dispun de expertiză și / sau resurse interne pentru a executa un program eficient de conformitate trebuie să solicite ajutorul unui partener extern și al unui consilier de securitate calificat, care va oferi îndrumări cu privire la chestionarul de autoevaluare PCI-DSS pe care trebuie să le completeze, cerințele trebuie să răspundă pentru nivelul lor de conformitate, deficiențele de infrastructură pe care trebuie să le rezolve etc..

O parte din povara îndeplinirii acestor cerințe poate fi împărtășită partenerilor de soluții, cum ar fi furnizorii de găzduire, care pot ajuta la implementarea și menținerea controalelor fizice, de rețea și de sistem.

Cum să găsești cel mai bun gazduire web compatibil PCI

Alegerea unui web hosting bun poate fi o sarcină complicată în sine. Adăugarea conformității PCI-DSS la lista cerințelor dvs. poate face procesul și mai complicat. Iată principalele lucruri de făcut atunci când căutați o găzduire web compatibilă cu PCI:

Discutați componentele de conformitate PCI întreprinse de către gazda dvs.

Întrebați furnizorul de găzduire web despre componentele conformității PCI pe care le pot trata. De exemplu, HostGator afirmă clar pe site-ul lor web că serverele lor VSP și dedicate au fost actualizate pentru a îndeplini cerințele de conformitate PCI ale serverului. Cu toate acestea, HostGator nu va oferi asistență pentru a vă asigura că coșurile de cumpărături, software-ul gateway de plată, plugin-urile de cumpărături, etc. utilizate de site-ul dvs. web sunt conforme cu PCI, prin urmare, această sarcină vă îmbogățește ca utilizator al acestor soluții.

Obțineți mai multe detalii despre fiecare componentă

Deoarece nerespectarea cerințelor de conformitate PCI prezintă o serie de riscuri care pot amenința existența afacerii dvs., citiți întotdeauna tipăritul serviciilor suplimentare întreprinse de compania dvs. de găzduire în eforturile dvs. de a deveni conform PCI și cereți mai multe detalii despre adoptat. soluții pentru a vedea dacă aceste servicii se aliniează cerințelor de conformitate PCI-DSS. Companii care găzduiesc, precum Rackspace, depășesc pur și simplu oferirea de conformitate PCI a serverului, oferind o serie de alte servicii (de exemplu, firewall gestionat, certificate SSL, soluții antivirus gestionate, servicii de evaluare a vulnerabilității, firewall pentru aplicații web etc.).

Vezi despre suport

Navigarea în labirintul de a se conforma cu standardele industriei impuse de companiile de carduri de credit este, fără îndoială, un proces dificil pentru oricine, fie că este vorba de afaceri mici sau mari. Sprijinul oferit în discutarea nevoilor dvs. și ajutor în explorarea serviciilor de care aveți nevoie vă poate ajuta să reduceți complexitatea eforturilor dvs. de a vă conforma.

Concluzie

Este important să rețineți că conformitatea PCI este o responsabilitate partajată și optează pentru o Gazduire conform PCI, unul nu devine automat compatibil PCI. Obținerea unei viziuni clare din abordarea responsabilităților asumate de fiecare partener de soluții este un pas important în atingerea și menținerea conformității.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map