Apakah Pematuhan PCI? Cari Web Hosting yang Mematuhi PCI Terbaik

hosting web yang mematuhi pci terbaik


Industri Kad Pembayaran – Piawaian Keselamatan Data (PCI-DSS) adalah sekumpulan syarat yang diadopsi oleh Majlis Piawaian Keselamatan PCI, dan ini bertujuan untuk memastikan langkah-langkah keselamatan data yang konsisten di semua pedagang dalam talian. The Majlis Piawaian Keselamatan PCI (PCI SSC) merangkumi JCB International, American Express, Discover Financial Services, VISA dan MasterCard Worldwide. Mana-mana pedagang dalam talian yang menerima pembayaran melalui syarikat kad kredit utama terikat dengan syarat PCI-DSS.

Mencapai dan memelihara kepatuhan boleh menjadi pengalaman yang menyedihkan bahkan untuk syarikat dalam talian utama, apalagi peniaga kecil. Tetapi kesan pelanggaran data dan kegagalan untuk memenuhi keperluan pematuhan menjadikannya penting bagi penyedia perkhidmatan dalam talian untuk memastikan bahawa pelanggan mereka bertransaksi dengan selamat.

Dalam artikel ini, kami membincangkan beberapa syarat terpenting untuk pematuhan PCI dan cara mendapatkannya hosting web yang sesuai dengan PCI terbaik untuk menguruskan strategi pematuhan PCI anda dengan lebih baik.

Apa Maknanya Mematuhi PCI?

Pematuhan PCI adalah suatu keharusan bagi semua perniagaan e-dagang yang menerima kad kredit, tanpa mengira pendapatan dan jumlah transaksi. Oleh itu, kedua-dua faktor ini tidak akan menentukan sama ada anda harus mematuhi peraturan keselamatan data yang ditetapkan oleh PCI SSC, walaupun perniagaan e-commerce terkecil yang menerima kad kredit terikat dengan standard PCI-DSS; namun, jumlah transaksi kad kredit / debit yang diusahakan oleh perniagaan anda setiap tahun akan menentukan antara empat tahap kepatuhan yang harus anda capai. Tahap 1 mempunyai kesukaran pematuhan tertinggi, dan ini adalah standard keselamatan yang perlu dicapai oleh perniagaan e-dagang yang memproses lebih dari 6,000,000 kad kredit atau debit dalam tempoh 12 bulan. Sebaliknya, tahap 4 menanggung kesukaran pematuhan terendah, dan ini menyangkut perniagaan dalam talian yang memproses kurang daripada 20,000 transaksi kad kredit setiap tahun.

Walaupun standard PCI-DSS yang ditentukan oleh PCI SSC bukanlah undang-undang, kepatuhan terhadap piawaian ini ditegakkan oleh syarikat kredit itu sendiri. Perniagaan yang didapati melanggar undang-undang boleh dikenakan denda yang besar ($ 5,000 – $ 100,000 sebulan) dan denda (kehilangan hak untuk memproses pembayaran kad kredit, kenaikan yuran pemprosesan setiap transaksi, membayar kad kredit yang terganggu kerana pelanggaran, bergerak tahap pematuhan, dll). Denda dan denda ini dapat membuktikan bencana kepada perniagaan, apatah lagi kehilangan reputasi yang boleh dialami oleh perniagaan akibat pelanggaran.

Walaupun piawaian yang ditentukan dan dipelihara oleh PCI SSC akhirnya memenuhi syarat untuk memastikan data pemegang kad, mencapai kepatuhan PCI menimbulkan banyak sekatan jalan bagi pedagang dalam talian rata-rata.

Berikut ini, secara ringkasnya, syarat untuk pematuhan PCI yang diliputi dalam standard PCI DSS penuh yang mesti dipatuhi oleh penyedia perkhidmatan dalam talian:

  • Membangun dan menjaga jaringan yang selamat, yang melibatkan konfigurasi firewall dan router, pengujian yang berkaitan dengan ini, kekerapan ujian, dan pengurusan kata laluan yang selamat;
  • Melindungi data pemegang kad dengan menentukan penyimpanan, penyimpanan data, dan parameter penggunaan data dan keperluan enkripsi, serta menetapkan pelaksanaan protokol enkripsi dan keselamatan (SSL / TLS, SSH atau IPSec) untuk perlindungan data pemegang kartu ketika dikirimkan secara terbuka, rangkaian awam;
  • Melaksanakan program pengurusan kerentanan, yang melibatkan penggunaan program anti-virus yang selalu dikemas kini, aktif setiap saat, dan yang menghasilkan log audit. Aspek lain dari program pengurusan kerentanan adalah pengembangan dan pemeliharaan sistem dan aplikasi yang selamat, yang dicapai melalui kepatuhan kepada pedoman pengekodan yang selamat dan kajian semula kod pihak ketiga atau aplikasi khusus berkenaan dengan kerentanan;
  • Melaksanakan langkah-langkah kawalan akses pengguna yang selamat dengan melindungi data sensitif dari akses yang tidak sah, membatasi akses dengan menetapkan kawalan akses berdasarkan peranan (RBAC) yang ditentukan dengan baik, menetapkan ID pengguna unik untuk dikesan, menggunakan proses pengesahan dua faktor, membatasi akses fizikal kepada pemegang kad data;
  • Menggunakan mekanisme pembalakan untuk mengesan dan memantau akses ke data rangkaian dan pemegang kad, mewujudkan jejak audit yang mesti dikekalkan sekurang-kurangnya satu tahun;
  • Menjalankan imbasan keselamatan rangkaian dalaman berkala (setiap suku tahun dan setelah setiap perubahan, peningkatan, atau pengubahsuaian yang ketara dalam rangkaian atau infrastruktur), menyerahkan kepada imbasan ASV (Approved Scanning Vendor) setiap suku tahun setelah berlalunya imbasan pematuhan awal, sistem pelaksanaan (pencerobohan sistem pengesanan dan sistem pemantauan fail) untuk memberi amaran mengenai pengubahsuaian fail kritikal dan kompromi sistem yang tidak dibenarkan;
  • Membuat dan mengekalkan polisi keselamatan maklumat yang harus merangkumi aspek yang berkaitan dengan pemeriksaan personel, penilaian risiko, penilaian kerentanan, akses jarak jauh, dll..

Perniagaan yang tidak mempunyai kepakaran dan / atau sumber dalaman untuk melaksanakan program pematuhan yang cekap harus meminta bantuan rakan kongsi luar dan penasihat keselamatan yang berkelayakan, yang akan memberikan panduan berkenaan dengan Kuesioner Penilaian Diri PCI-DSS yang harus mereka lengkapkan, syarat-syarat mereka perlu memenuhi tahap kepatuhan mereka, kekurangan infrastruktur yang harus mereka atasi, dll.

Sebilangan beban memenuhi syarat-syarat ini dapat dibagi dengan rakan penyelesaian seperti penyedia hosting, yang dapat membantu melaksanakan dan menjaga kawalan fizikal, jaringan, dan sistem.

Bagaimana Mencari Web Hosting yang Mematuhi PCI Terbaik

Memilih web hosting yang baik boleh menjadi tugas yang rumit dengan sendirinya. Menambah kepatuhan PCI-DSS ke dalam senarai keperluan anda boleh menjadikan prosesnya lebih rumit. Berikut adalah perkara utama yang perlu dilakukan semasa mencari hosting web yang mematuhi PCI:

Bincangkan komponen pematuhan PCI yang dilakukan oleh hos anda

Tanyakan kepada penyedia hosting web mengenai komponen pematuhan PCI yang dapat mereka kendalikan untuk anda. Sebagai contoh, HostGator menyatakan dengan jelas di laman web mereka bahawa pelayan VSP dan khusus mereka telah dikemas kini untuk memenuhi keperluan pematuhan PCI pelayan. Walau bagaimanapun, HostGator tidak akan memberikan sokongan untuk memastikan bahawa troli membeli-belah, perisian gerbang pembayaran, plugin keranjang belanja, dan lain-lain yang digunakan oleh laman web anda mematuhi PCI, oleh itu, tugas ini membebankan anda sebagai pengguna penyelesaian ini.

Dapatkan lebih banyak maklumat mengenai setiap komponen

Oleh kerana kegagalan untuk memenuhi syarat pematuhan PCI membawa banyak risiko yang berpotensi mengancam kewujudan perniagaan anda, selalu baca baik-baik sahaja perkhidmatan tambahan yang dilakukan oleh syarikat hosting anda dalam usaha anda untuk mematuhi PCI, dan minta lebih banyak maklumat mengenai penggunaan penyelesaian untuk melihat apakah perkhidmatan ini sesuai dengan keperluan pematuhan PCI-DSS anda. Syarikat hosting seperti Rackspace, melampaui hanya menawarkan kepatuhan PCI pelayan kepada anda dengan menyediakan sejumlah perkhidmatan lain (mis. Firewall terkelola, sijil SSL, penyelesaian antivirus terurus, perkhidmatan penilaian kerentanan, firewall aplikasi web, dll.).

Lihat mengenai sokongan

Menjelajah labirin untuk mematuhi piawaian industri yang dikenakan oleh syarikat kad kredit tidak diragukan lagi merupakan proses yang berat bagi siapa pun, sama ada perniagaan kecil atau besar. Sokongan yang ditawarkan dalam membincangkan keperluan anda dan bantuan dalam meneroka perkhidmatan yang anda perlukan dapat membantu mengurangkan kerumitan usaha anda untuk menjadi patuh.

Kesimpulannya

Penting untuk diingat bahawa pematuhan PCI adalah tanggungjawab bersama, dan dengan memilih Hosting yang mematuhi PCI, seseorang tidak secara automatik mematuhi PCI. Mendapatkan pandangan yang jelas dari melepaskan tanggungjawab yang dipikul oleh setiap rakan penyelesaian adalah langkah penting dalam mencapai dan menjaga kepatuhan.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map