O que é conformidade com PCI? Encontre a melhor hospedagem Web compatível com PCI

melhor hospedagem web compatível com pci


Setor de cartões de pagamento – Os padrões de segurança de dados (PCI-DSS) são um vasto conjunto de requisitos adotados pelo PCI Security Standards Council e têm como objetivo garantir medidas consistentes de segurança de dados em todos os comerciantes on-line. o Conselho de Padrões de Segurança PCI (PCI SSC) inclui JCB International, American Express, Discover Financial Services, VISA e MasterCard Worldwide. Qualquer comerciante on-line que aceite pagamentos através das principais empresas de cartão de crédito está sujeito aos requisitos do PCI-DSS.

Atingir e manter a conformidade pode ser uma experiência estressante, mesmo para as principais empresas on-line, muito menos para os pequenos comerciantes. Mas as repercussões dispendiosas da violação de dados e do não cumprimento dos requisitos de conformidade tornam imperativo que os provedores de serviços on-line garantam que seus clientes estejam realizando transações com segurança.

Neste artigo, discutimos alguns dos requisitos mais importantes para conformidade com PCI e como encontrar os melhor hospedagem web compatível com PCI para gerenciar melhor sua estratégia de conformidade com PCI.

O que significa ser compatível com PCI?

A conformidade com o PCI é essencial para todas as empresas de comércio eletrônico que aceitam cartão de crédito, independentemente da receita e do volume de transações. Portanto, esses dois fatores não determinarão se você deve ou não aderir às regras de segurança de dados estabelecidas pelo PCI SSC, já que mesmo a menor empresa de comércio eletrônico que aceita cartão de crédito está vinculada aos padrões PCI-DSS; no entanto, o número de transações com cartão de crédito / débito que seus negócios processam anualmente determinará qual dos quatro níveis de conformidade você deve alcançar. O nível 1 tem a maior dificuldade de conformidade e é um padrão de segurança que precisa ser alcançado pelas empresas de comércio eletrônico que processam mais de 6.000.000 de cartões de crédito ou débito por um período de 12 meses. Por outro lado, o nível 4 apresenta a menor dificuldade de conformidade e diz respeito às empresas on-line que processam menos de 20.000 transações de cartão de crédito anualmente.

Embora os padrões PCI-DSS definidos pelo PCI SSC não sejam uma lei, a conformidade com esses padrões é imposta pelas próprias empresas de crédito. As empresas que estão violadas podem esperar multas substanciais (US $ 5.000 a US $ 100.000 por mês) e multas (perda do direito de processar pagamentos com cartão de crédito, aumento nas taxas de processamento por transação, pagamento de cartões de crédito comprometidos por causa da violação, mudança nível de conformidade, etc.). Essas multas e penalidades podem ser catastróficas para uma empresa, sem mencionar a perda de reputação que uma empresa pode sofrer como resultado de uma violação.

Embora os padrões definidos e mantidos pelo PCI SSC acabem se resumindo à segurança dos dados do titular do cartão, alcançar a conformidade com o PCI representa muitos obstáculos para o comerciante on-line médio.

Aqui estão, em poucas palavras, os requisitos para conformidade com PCI abrangidos pelos padrões completos do PCI DSS que os provedores de serviços on-line devem cumprir:

  • Construir e manter uma rede segura, que envolve configurações de firewall e roteador, testes relacionados a eles, frequência de testes e gerenciamento seguro de senhas;
  • Proteger os dados do titular do cartão definindo parâmetros de armazenamento, retenção de dados e uso de dados e requisitos de criptografia, além de definir a implementação de protocolos de criptografia e segurança (SSL / TLS, SSH ou IPSec) para a proteção dos dados do titular do cartão quando transmitidos em aberto, redes públicas;
  • A execução de um programa de gerenciamento de vulnerabilidades, que envolve o uso de um programa antivírus regularmente atualizado, ativo o tempo todo e que gera logs de auditoria. Outra faceta do programa de gerenciamento de vulnerabilidades é o desenvolvimento e a manutenção de sistemas e aplicativos seguros, alcançados por meio da adesão às diretrizes de codificação seguras e pela revisão de códigos de terceiros ou aplicativos personalizados com relação a vulnerabilidades;
  • Implementando medidas seguras de controle de acesso do usuário, protegendo dados confidenciais contra acesso não autorizado, limitando o acesso, configurando RBAC (controle de acesso baseado em função) bem definido, atribuindo IDs de usuário exclusivos para rastreabilidade, usando processos de autenticação de dois fatores, restringindo o acesso físico ao portador do cartão dados;
  • Usando mecanismos de registro para rastrear e monitorar o acesso aos dados da rede e do titular do cartão, criando uma trilha de auditoria que deve ser mantida por pelo menos um ano;
  • Executar varreduras regulares de segurança de rede interna (trimestralmente e após cada alteração, atualização ou modificação significativa na rede ou infraestrutura), enviando para varreduras trimestrais do ASV (Fornecedor de Verificação Aprovado) após a aprovação da verificação inicial de conformidade, implementando sistemas (intrusão sistemas de detecções e sistemas de monitoramento de arquivos) para alertar sobre modificações não autorizadas de arquivos críticos e comprometimento do sistema;
  • Criar e manter uma política de segurança da informação que cubra aspectos relacionados à triagem de pessoal, avaliação de riscos, avaliação de vulnerabilidades, acesso remoto, etc..

As empresas que não possuem a experiência e / ou recursos internos para executar um programa eficiente de conformidade devem procurar a ajuda de um parceiro externo e de um consultor de segurança qualificado, que oferecerá orientações com relação ao Questionário de auto-avaliação PCI-DSS que eles devem preencher, os requisitos eles precisam atender ao seu nível de conformidade, às deficiências de infraestrutura que precisam resolver, etc..

Parte do ônus de atender a esses requisitos pode ser compartilhada com parceiros de soluções, como provedores de hospedagem, que podem ajudar na implementação e manutenção de controles físicos, de rede e de sistema.

Como encontrar a melhor hospedagem Web compatível com PCI

Escolher uma boa hospedagem na web pode ser uma tarefa complicada por si só. Adicionar a conformidade com PCI-DSS à lista de seus requisitos pode tornar o processo ainda mais complicado. Aqui estão as principais coisas a fazer ao procurar uma hospedagem na Web compatível com PCI:

Discuta os componentes de conformidade com PCI realizados pelo seu host

Pergunte ao provedor de hospedagem na Web sobre os componentes da conformidade com o PCI que eles podem gerenciar para você. Por exemplo, o HostGator afirma claramente em seu site que seu VSP e servidores dedicados foram atualizados para atender aos requisitos de conformidade com PCI do servidor. No entanto, o HostGator não fornecerá suporte para garantir que os carrinhos de compras, o software de gateway de pagamento, os plugins de carrinho de compras, etc. usados ​​pelo seu site sejam compatíveis com PCI, portanto, esta tarefa o sobrecarrega como usuário dessas soluções..

Obtenha mais detalhes sobre cada componente

Como a falha no cumprimento dos requisitos de conformidade com a PCI acarreta uma série de riscos potencialmente ameaçadores para a própria existência de seus negócios, sempre leia as letras miúdas dos serviços extras realizados por sua empresa de hospedagem em seus esforços para se tornar compatível com PCI e solicite mais detalhes sobre as políticas adotadas. soluções para verificar se esses serviços estão alinhados aos seus requisitos de conformidade com PCI-DSS. Empresas de hospedagem como a Rackspace, vão além de simplesmente oferecer a você conformidade com PCI do servidor, fornecendo uma série de outros serviços (por exemplo, firewall gerenciado, certificados SSL, soluções antivírus gerenciadas, serviços de avaliação de vulnerabilidades, firewall de aplicativos da web etc.).

Veja sobre o suporte

Navegar no labirinto de se tornar compatível com os padrões da indústria impostos pelas empresas de cartão de crédito é sem dúvida um processo árduo para qualquer pessoa, seja ela pequena ou grande empresa. O suporte oferecido na discussão de suas necessidades e na exploração dos serviços necessários pode ajudar a reduzir a complexidade de seus esforços para se tornar compatível.

Conclusão

É importante lembrar que a conformidade com o PCI é uma responsabilidade compartilhada e, ao optar por uma Alojamento compatível com PCI, um não se torna automaticamente compatível com PCI. Obter uma visão clara das responsabilidades assumidas por cada parceiro de soluções é uma etapa importante para obter e manter a conformidade.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map