Vad är PCI-överensstämmelse? Hitta bästa PCI-webbhotell

01.06.2020
Artiklar och mer ... 'Vad är PCI-överensstämmelse? Hitta bästa PCI-webbhotell
0 7 мин.

bästa pci-kompatibla webbhotell


Betalningskortsbransch – Data Security Standards (PCI-DSS) är en enorm uppsättning krav som antagits av PCI Security Standards Council, och det är tänkt att säkerställa konsekventa datasäkerhetsåtgärder i alla onlinehandlare. De PCI Security Standards Council (PCI SSC) inkluderar JCB International, American Express, Discover Financial Services, VISA och MasterCard Worldwide. Alla onlinehandlare som accepterar betalningar via större kreditkortsföretag är bundna av PCI-DSS-kraven.

Att uppnå och upprätthålla efterlevnad kan vara en nervupplevande upplevelse även för stora onlineföretag, än mindre små handlare. Men de kostsamma följderna av dataöverträdelse och underlåtenhet att uppfylla efterlevnadskraven gör det nödvändigt för leverantörer av onlinetjänster att se till att deras kunder handlar säkert.

I den här artikeln diskuterar vi några av de viktigaste kraven för PCI-efterlevnad och hur man hittar det bästa PCI-kompatibla webbhotell för att bättre hantera din PCI-efterlevnadsstrategi.

Vad betyder det att vara PCI-kompatibel?

PCI-efterlevnad är ett måste för alla e-handelsföretag som accepterar kreditkort, oavsett intäkter och transaktionsvolym. Därför kommer dessa två faktorer inte att avgöra om du måste följa datasäkerhetsreglerna som anges av PCI SSC, med tanke på att även den minsta e-handelsföretag som accepterar kreditkort är bunden av PCI-DSS-standarderna; antalet kredit- / betalkorttransaktioner som dina affärsprocesser årligen kommer att avgöra vilken av de fyra nivåerna för efterlevnad du måste uppnå. Nivå 1 har högst efterlevnadssvårigheter och det är en säkerhetsstandard som måste uppnås av e-handelsföretag som behandlar mer än 6 000 000 kredit- eller betalkort under en tolvmånadersperiod. Å andra sidan har nivå 4 den lägsta svårigheterna för efterlevnad, och det gäller onlineföretag som behandlar färre än 20 000 kreditkortstransaktioner årligen.

Medan PCI-DSS-standarderna som definierats av PCI SSC inte är en lag, verkställs efterlevnaden av dessa standarder av kreditföretagen själva. Företag som visar sig vara i strid kan förvänta sig betydande böter ($ 5 000 – $ 100 000 per månad) och påföljder (förlust av rätten att behandla kreditkortsbetalningar, ökning av behandlingsavgifterna per transaktion, betala för kreditkort som äventyras på grund av överträdelsen, flytta upp en nivå av efterlevnad, etc.). Dessa böter och påföljder kan visa sig vara katastrofala för ett företag, för att inte tala om förlusten av rykte som ett företag kan drabbas av till följd av ett brott.

Även om de standarder som definieras och upprätthålls av PCI SSC i slutändan bygger på att säkerställa korthållardata, uppnår PCI-överensstämmelse många vägspärrar för den genomsnittliga onlinehandlaren.

Här är i korthet kraven för PCI-överensstämmelse som täcks i de fullständiga PCI DSS-standarderna som leverantörer av onlinetjänster måste följa:

  • Att bygga och underhålla ett säkert nätverk, som involverar brandväggs- och routerkonfigurationer, tester relaterade till dessa, testfrekvens och säker lösenordshantering;
  • Skydda korthållardata genom att definiera lagrings-, datalagrings- och datanvändningsparametrar och krypteringskrav samt fastställa implementeringen av krypterings- och säkerhetsprotokoll (SSL / TLS, SSH eller IPSec) för att skydda korthållardata när de överförs över öppet, offentliga nätverk;
  • Utföra ett sårbarhetshanteringsprogram som involverar användning av ett antivirusprogram som regelbundet uppdateras, är aktivt hela tiden och som genererar revisionsloggar. En annan aspekt av sårbarhetshanteringsprogrammet är utveckling och underhåll av säkra system och applikationer, som uppnås genom att följa säker kodning riktlinjer och granskning av tredje parts kod eller anpassade applikationer med avseende på sårbarheter;
  • Implementera säkra användaråtkomstkontrollåtgärder genom att skydda känsliga data från obehörig åtkomst, begränsa åtkomst genom att sätta upp väldefinierad rollbaserad åtkomstkontroll (RBAC), tilldela unika användar-ID för spårbarhet, använda tvåfaktors autentiseringsprocesser, begränsa fysisk åtkomst till korthållare data;
  • Använda loggningsmekanismer för att spåra och övervaka åtkomst till data om nätverk och kortinnehavare, skapa ett revisionsspår som måste bevaras i minst ett år;
  • Köra regelbundna interna nätverkssäkerhetsskanningar (kvartalsvis och efter varje betydande förändring, uppgradering eller modifiering i nätverket eller infrastrukturen), skicka till kvartalsvisa ASV (Approved Scanning Vendor) -skanningar efter att den initiala efterlevnadsscanningen har genomförts, implementeringssystem (intrång) detekteringssystem och filövervakningssystem) för att varna om obehörig modifiering av kritiska filer och systemkompromiss;
  • Skapa och upprätthålla en informationssäkerhetspolicy som ska täcka aspekter relaterade till personalscreening, riskbedömning, sårbarhetsbedömning, fjärråtkomst osv..

Företag som saknar kompetens och / eller interna resurser för att genomföra ett effektivt efterlevnadsprogram bör söka hjälp av en extern partner och kvalificerad säkerhetsrådgivare, som kommer att erbjuda vägledning med avseende på PCI-DSS självutvärderingsfrågeformulär som de måste fylla i, kraven de måste mötas för sin nivå av efterlevnad, de infrastrukturbrister som de måste lösa osv.

En del av bördan att uppfylla dessa krav kan delas med lösningspartners som värdleverantörer som kan hjälpa till med att implementera och underhålla fysiska, nätverks- och systemkontroller.

Hur man hittar det bästa PCI-kompatibla webbhotellet

Att välja en bra webbhotell kan vara en komplicerad uppgift i sig. Att lägga till PCI-DSS-överensstämmelse i listan över dina krav kan göra processen ännu mer komplicerad. Här är de viktigaste sakerna att göra när du söker efter en PCI-kompatibel webbhotell:

Diskutera komponenter för PCI-överensstämmelse som utförts av din värd

Fråga webbhotellleverantören om komponenterna i PCI-efterlevnaden som de kan hantera för dig. Till exempel säger HostGator tydligt på sin webbplats att deras VSP och dedikerade servrar har uppdaterats för att uppfylla kraven på server PCI-överensstämmelse. HostGator kommer emellertid inte att ge support för att se till att kundvagnar, betalnings gateway-programvara, kundvagnsplugins, etc. som används av din webbplats är PCI-kompatibla, därför besvärar denna uppgift dig som användare av dessa lösningar.

Få mer information om varje komponent

Eftersom underlåtenhet att uppfylla kraven på PCI-överensstämmelse medför en mängd risker som kan hota ditt företags existens, läs alltid det finstilta av de extra tjänster som ditt värdföretag har gjort för att bli PCI-kompatibla och be om mer information om antagna lösningar för att se om dessa tjänster överensstämmer med dina PCI-DSS-krav. Värdföretag som Rackspace går utöver att helt enkelt erbjuda dig PCI-överensstämmelse genom att tillhandahålla en mängd andra tjänster (t.ex. hanterad brandvägg, SSL-certifikat, hanterade antiviruslösningar, bedömning av sårbarhetsbedömningar, brandvägg för webbapplikationer etc.).

Se om support

Att navigera i labyrinten av att uppfylla de branschstandarder som kreditkortsföretag har infört är utan tvekan en ansträngande process för någon, vare sig det är små eller stora företag. Support som erbjuds för att diskutera dina behov och hjälp med att utforska de tjänster du behöver kan bidra till att minska komplexiteten i dina ansträngningar för att bli kompatibla.

Slutsats

Det är viktigt att komma ihåg att PCI-efterlevnad är ett delat ansvar och genom att välja en PCI-kompatibel värd, en blir inte automatiskt PCI-kompatibel. Att få en tydlig bild av att få tag på de ansvar som varje lösningspartner tar är ett viktigt steg för att uppnå och upprätthålla efterlevnaden.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector