Wat is PCI-compliance? Vind de beste PCI-compatibele webhosting

beste pci-compatibele webhosting


Betaalkaartindustrie – Gegevensbeveiligingsnormen (PCI-DSS) zijn een uitgebreide reeks vereisten die zijn aangenomen door de PCI Security Standards Council en zijn bedoeld om consistente gegevensbeveiligingsmaatregelen te garanderen voor alle online verkopers. De PCI Security Standards Council (PCI SSC) omvat JCB International, American Express, Discover Financial Services, VISA en MasterCard Worldwide. Elke online handelaar die betalingen via grote creditcardmaatschappijen accepteert, is gebonden aan de PCI-DSS-vereisten.

Het bereiken en handhaven van compliance kan zelfs voor grote online bedrijven, laat staan ​​voor kleine handelaren, een zenuwslopende ervaring zijn. Maar vanwege de kostbare gevolgen van datalekken en het niet voldoen aan nalevingsvereisten, is het voor online serviceproviders absoluut noodzakelijk om ervoor te zorgen dat hun klanten veilig transacties uitvoeren.

In dit artikel bespreken we enkele van de belangrijkste vereisten voor PCI-compliance en hoe u deze kunt vinden beste PCI-compatibele webhosting om uw PCI-compliancestrategie beter te beheren.

Wat betekent het om PCI-compatibel te zijn??

PCI-compliance is een must voor alle e-commercebedrijven die creditcards accepteren, ongeacht omzet en transactievolume. Daarom zullen deze twee factoren niet bepalen of u zich al dan niet moet houden aan de gegevensbeveiligingsregels van de PCI SSC, aangezien zelfs de kleinste e-commerceonderneming die een creditcard accepteert, gebonden is aan de PCI-DSS-normen; het aantal creditcard- / betaalkaarttransacties dat uw bedrijf jaarlijks verwerkt, bepaalt echter welk van de vier niveaus van naleving u moet bereiken. Level 1 heeft de hoogste compliance-moeilijkheid en het is een beveiligingsstandaard die moet worden bereikt door e-commercebedrijven die meer dan 6.000.000 creditcards of betaalpassen verwerken over een periode van 12 maanden. Aan de andere kant heeft niveau 4 de laagste compliance-moeilijkheid en betreft het online bedrijven die jaarlijks minder dan 20.000 creditcardtransacties verwerken.

Hoewel de PCI-DSS-standaarden die zijn gedefinieerd door de PCI SSC geen wet zijn, wordt de naleving van deze standaarden afgedwongen door de kredietmaatschappijen zelf. Bedrijven die in overtreding blijken te zijn, kunnen aanzienlijke boetes ($ 5.000 – $ 100.000 per maand) en boetes verwachten (verlies van het recht om creditcardbetalingen te verwerken, hogere verwerkingskosten per transactie, betalen voor creditcards die vanwege de inbreuk zijn gecompromitteerd), verhuizen een niveau van naleving, enz.). Deze boetes en straffen kunnen catastrofaal zijn voor een bedrijf, om nog maar te zwijgen van het reputatieverlies dat een bedrijf kan lijden als gevolg van een inbreuk.

Hoewel de standaarden die door de PCI SSC zijn gedefinieerd en worden gehandhaafd uiteindelijk neerkomen op het beveiligen van gegevens van kaarthouders, vormt het behalen van PCI-compliance veel obstakels voor de gemiddelde online handelaar.

Hier zijn in een notendop de vereisten voor PCI-compliance die worden gedekt door de volledige PCI DSS-standaarden waaraan online serviceproviders moeten voldoen:

  • Het bouwen en onderhouden van een veilig netwerk, dat firewall- en routerconfiguraties omvat, testen in verband hiermee, testfrequentie en veilig wachtwoordbeheer;
  • Kaarthoudergegevens beschermen door opslag-, gegevensbehoud- en gegevensgebruikparameters en versleutelingsvereisten te definiëren, evenals de implementatie van coderings- en beveiligingsprotocollen (SSL / TLS, SSH of IPSec) voor de bescherming van kaarthoudergegevens wanneer ze over open worden verzonden, openbare netwerken;
  • Het uitvoeren van een programma voor het beheer van kwetsbaarheden, waarbij gebruik wordt gemaakt van een antivirusprogramma dat regelmatig wordt bijgewerkt en te allen tijde actief is en dat auditlogboeken genereert. Een ander facet van het programma voor kwetsbaarheidsbeheer is de ontwikkeling en het onderhoud van veilige systemen en applicaties, die wordt bereikt door het naleven van veilige coderingsrichtlijnen en het herzien van code van derden of aangepaste applicaties met betrekking tot kwetsbaarheden;
  • Veilige toegangscontrolemaatregelen voor gebruikers implementeren door gevoelige gegevens te beschermen tegen ongeoorloofde toegang, toegang beperken door goed gedefinieerde rolgebaseerde toegangscontrole (RBAC) in te stellen, unieke gebruikers-ID’s toe te wijzen voor traceerbaarheid, met behulp van tweefactorauthenticatieprocessen, waardoor fysieke toegang tot kaarthouder wordt beperkt gegevens;
  • Logging-mechanismen gebruiken om de toegang tot netwerk- en kaarthoudergegevens te volgen en te bewaken, waardoor een controlespoor wordt gecreëerd dat minimaal een jaar moet worden bewaard;
  • Regelmatige interne netwerkbeveiligingsscans uitvoeren (driemaandelijks en na elke belangrijke wijziging, upgrade of wijziging in het netwerk of de infrastructuur), indienen bij driemaandelijkse ASV-scans (Approved Scanning Vendor) na het passeren van de initiële nalevingsscan, het implementeren van systemen (inbraak detectiesystemen en bestandsbewakingssystemen) om te waarschuwen met betrekking tot ongeoorloofde wijziging van kritieke bestanden en systeemcompromis;
  • Het creëren en onderhouden van een informatiebeveiligingsbeleid dat aspecten moet omvatten die verband houden met personeelsscreening, risicobeoordeling, beoordeling van kwetsbaarheden, toegang op afstand, enz.

Bedrijven die niet over de expertise en / of interne middelen beschikken om een ​​efficiënt nalevingsprogramma uit te voeren, moeten de hulp inroepen van een externe partner en gekwalificeerde beveiligingsadviseur, die begeleiding zal bieden met betrekking tot de PCI-DSS-zelfbeoordelingsvragenlijst die ze moeten invullen, de vereisten ze moeten voldoen aan hun niveau van naleving, de tekortkomingen in de infrastructuur die ze moeten oplossen, enz.

Een deel van de last om aan deze vereisten te voldoen, kan worden gedeeld met oplossingspartners zoals hostingproviders, die kunnen helpen bij het implementeren en onderhouden van fysieke, netwerk- en systeemcontroles.

Hoe u de beste PCI-compatibele webhosting kunt vinden

Het kiezen van een goede webhosting kan op zich al een ingewikkelde taak zijn. Het toevoegen van PCI-DSS-compliance aan de lijst met uw vereisten kan het proces nog ingewikkelder maken. Dit zijn de belangrijkste dingen die u moet doen bij het zoeken naar een PCI-compatibele webhosting:

Bespreek PCI-compliancecomponenten die door uw host zijn uitgevoerd

Vraag de webhostingprovider naar de componenten van de PCI-compliance die zij voor u kunnen afhandelen. HostGator vermeldt bijvoorbeeld duidelijk op hun website dat hun VSP en toegewijde servers zijn bijgewerkt om te voldoen aan de PCI PCI-compliancevereisten. HostGator biedt echter geen ondersteuning om ervoor te zorgen dat de winkelwagentjes, betalingsgateway-software, winkelwagen-plug-ins, enz. Die door uw website worden gebruikt, PCI-compatibel zijn, daarom belast deze taak u als gebruiker van deze oplossingen.

Krijg meer details over elk onderdeel

Aangezien het niet voldoen aan PCI-compliancevereisten een groot aantal risico’s met zich meebrengt die het voortbestaan ​​van uw bedrijf mogelijk bedreigen, leest u altijd de kleine lettertjes van de extra services die uw hostingbedrijf heeft ondernomen in uw pogingen om PCI-compliant te worden, en vraagt ​​u om meer informatie over goedgekeurde oplossingen om te zien of deze services aansluiten bij uw PCI-DSS-compliancevereisten. Hostingbedrijven zoals Rackspace gaan verder dan het simpelweg aanbieden van server PCI-compliance door een groot aantal andere services aan te bieden (bijv. Managed firewall, SSL-certificaten, managed antivirusoplossingen, services voor kwetsbaarheidsbeoordeling, firewall voor webapplicaties, enz.).

Zie over ondersteuning

Door het doolhof navigeren om te voldoen aan de industrienormen die door creditcardmaatschappijen worden opgelegd, is ongetwijfeld een inspannend proces voor iedereen, of het nu kleine of grote bedrijven zijn. Ondersteuning die wordt geboden bij het bespreken van uw behoeften en hulp bij het verkennen van de services die u nodig hebt, kan de complexiteit van uw inspanningen om compliant te worden helpen verminderen.

Conclusie

Het is belangrijk om te onthouden dat PCI-compliance een gedeelde verantwoordelijkheid is en door te kiezen voor een PCI-compatibele hosting, men wordt niet automatisch PCI-compliant. Vanaf het begin een duidelijk beeld krijgen van de verantwoordelijkheden van elke oplossingspartner is een belangrijke stap in het bereiken en behouden van naleving.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map