Farë është pajtueshmëria me PCI? Gjeni Web Hosting më të mirë në përputhje me PCI

01.06.2020
Artikuj dhe më shumë… 'Farë është pajtueshmëria me PCI? Gjeni Web Hosting më të mirë në përputhje me PCI
0 11 мин.

hosti më i mirë i pajtueshëm pci


Industria e Kartave të Pagesave – Standardet e Sigurisë së të Dhënave (PCI-DSS) janë një grup i gjerë kërkesash të miratuara nga Këshilli i Standardeve të Sigurisë PCI, dhe ka për qëllim të sigurojë masa të qëndrueshme për sigurinë e të dhënave në të gjithë tregtarët në internet. Këshilli i Standardeve të Sigurisë PCI (PCI SSC) përfshin JCB International, American Express, Discover Services Financial, VISA dhe MasterCard në të gjithë botën. Do tregtar në internet që pranon pagesa përmes kompanive kryesore të kartave të kreditit është i detyruar nga kërkesat e PCI-DSS.

Arritja dhe mirëmbajtja e pajtueshmërisë mund të jetë një përvojë shqetësuese nervore edhe për kompanitë e mëdha në internet, e lëre më tregtarë të vegjël. Por pasojat e kushtueshme të shkeljes së të dhënave dhe mos përmbushjes së kërkesave të pajtueshmërisë e bëjnë të domosdoshme që ofruesit e shërbimeve online të sigurojnë që klientët e tyre po transaksionojnë në mënyrë të sigurt.

Në këtë artikull, ne po diskutojmë disa nga kërkesat më të rëndësishme për pajtueshmërinë e PCI dhe si ta gjeni mbajtja më e mirë në përputhje me PCI-në për të menaxhuar më mirë strategjinë tuaj të pajtueshmërisë PCI.

Farë do të thotë të jesh në përputhje me PCI?

Pajtueshmëria e PCI është një domosdoshmëri për të gjitha bizneset e tregtisë elektronike që pranojnë kartën e kreditit, pavarësisht nga të ardhurat dhe vëllimi i transaksioneve. Prandaj, këta dy faktorë nuk do të përcaktojnë nëse ju duhet të respektoni rregullat e sigurisë së të dhënave të përcaktuara nga PCI SSC, duke pasur parasysh që edhe biznesi më i vogël i tregtisë elektronike që pranon kartën e kreditit është i detyruar nga standardet PCI-DSS; sidoqoftë, numri i transaksioneve të kartave të kreditit / debitit proceset e biznesit tuaj çdo vit do të përcaktojë se cili nga katër nivelet e pajtueshmërisë duhet të arrini. Niveli 1 ka vështirësinë më të lartë të përputhshmërisë dhe është një standard sigurie që duhet të arrihet nga bizneset e tregtisë elektronike që përpunojnë më shumë se 6.000,000 karta krediti ose debiti për një periudhë 12-mujore. Nga ana tjetër, niveli 4 ka vështirësinë më të ulët të përputhshmërisë, dhe ka të bëjë me bizneset në internet që përpunojnë më pak se 20,000 transaksione të kartave të kreditit në vit.

Ndërsa standardet PCI-DSS të përcaktuara nga PCI SSC nuk janë ligj, pajtueshmëria me këto standarde zbatohet nga vetë kompanitë e kreditit. Bizneset që zbulohet se janë në shkelje mund të presin gjobë të konsiderueshme (5,000 $ – 100,000 dollarë në muaj) dhe gjobitje (humbje e së drejtës për të përpunuar pagesa të kartave të kreditit, rritje në tarifat e përpunimit për transaksione, pagesa për kartat e kreditit të komprometuara për shkak të shkeljes, lëvizjes deri në një nivel pajtueshmërie, etj). Këto gjoba dhe gjobitje mund të dëshmojnë se janë katastrofike për një biznes, për të mos përmendur humbjen e reputacionit që një biznes mund të pësojë si rezultat i një shkelje.

Megjithëse standardet e përcaktuara dhe të mirëmbajtura nga PCI SSC përfundimisht zvogëlohen për të siguruar të dhëna për mbajtësin e kartelave, arritja e pajtueshmërisë PCI paraqet shumë pengesa për tregtarin mesatar në internet.

Këtu janë, me pak fjalë, kërkesat për pajtueshmërinë e PCI të përfshira në standardet e plota PCI DSS që ofruesit e shërbimeve online duhet t’u përmbahen:

  • Ndërtimi dhe mirëmbajtja e një rrjeti të sigurt, i cili përfshin konfigurimin e firewall-it dhe ruterit, testimin në lidhje me këto, shpeshtësinë e provave dhe menaxhimin e sigurt të fjalëkalimit;
  • Mbrojtja e të dhënave të mbajtësit të kartelave duke përcaktuar parametrat e ruajtjes, ruajtjes së të dhënave dhe parametrave të përdorimit të të dhënave dhe kërkesave të kriptimit, si dhe përcaktimin e zbatimit të protokolleve të kriptimit dhe sigurisë (SSL / TLS, SSH ose IPSec) për mbrojtjen e të dhënave të mbajtësit të kartelave kur transmetohen të hapura, rrjetet publike;
  • Ekzekutimi i një programi të menaxhimit të cenueshmërisë, i cili përfshin përdorimin e një programi antivirus, i cili azhurnohet rregullisht, aktiv në çdo kohë, dhe që gjeneron regjistrat e auditimit. Një aspekt tjetër i programit të menaxhimit të cenueshmërisë është zhvillimi dhe mirëmbajtja e sistemeve dhe aplikacioneve të sigurta, e cila arrihet përmes respektimit të udhëzimeve të sigurimit të kodimit dhe rishikimit të kodit të palëve të treta ose aplikacioneve me porosi në lidhje me dobësitë;
  • Zbatimi i masave të sigurta të kontrollit të hyrjes së përdoruesit duke mbrojtur të dhëna të ndjeshme nga aksesi i paautorizuar, duke kufizuar hyrjen duke vendosur një kontroll të qasjes të përcaktuar mirë (RBAC), duke caktuar ID të përdoruesve unik për gjurmueshmërinë, duke përdorur procese të vërtetimit me dy faktorë, duke kufizuar qasjen fizike te mbajtësi i kartelave të dhënave;
  • Përdorimi i mekanizmave të prerjeve për të gjurmuar dhe monitoruar hyrjen në të dhënat e rrjetit dhe mbajtësit të kartave, duke krijuar një gjurmë auditimi që duhet të ruhet të paktën për një vit;
  • Drejtimi i skanimeve të rregullta të sigurisë së rrjetit të brendshëm (tremujor dhe pas secilit ndryshim, përmirësim ose modifikim domethënës në rrjet ose infrastrukturë), paraqitja në skanime tremujore ASV (Miratimi i Skanimit të Shitësit) pas kalimit të skanimit fillestar të përputhjes, sistemeve implementuese (ndërhyrje sistemet e zbulimit dhe sistemet e monitorimit të skedarëve) për të paralajmëruar në lidhje me modifikimin e paautorizuar të skedarëve kritikë dhe kompromisin e sistemit;
  • Krijimi dhe ruajtja e një politike të sigurisë së informacionit që duhet të përfshijë aspektet që lidhen me kontrollimin e personelit, vlerësimin e rrezikut, vlerësimin e cenueshmërisë, qasjen në distancë, etj..

Bizneset që nuk kanë ekspertizë dhe / ose burime të brendshme për të ekzekutuar një program efikas të pajtueshmërisë, duhet të kërkojnë ndihmën e një partneri të jashtëm dhe këshilltarit të kualifikuar të sigurisë, i cili do të ofrojë udhëzime në lidhje me Pyetësorin e Vetëvlerësimit PCI-DSS që duhet të plotësojnë, kërkesat ata duhet të plotësojnë për nivelin e tyre të përputhshmërisë, mangësitë e infrastrukturës që duhet të zgjidhin, etj.

Disa nga barra e përmbushjes së këtyre kërkesave mund të ndahen me partnerë të zgjidhjeve siç janë ofruesit e pritjes, të cilët mund të ndihmojnë në zbatimin dhe mirëmbajtjen e kontrollit fizik, të rrjetit dhe sistemit..

Si të gjeni Web Hosting më të mirë në përputhje PCI

Zgjedhja e një pritjeje të mirë në internet mund të jetë një detyrë e ndërlikuar në vetvete. Shtimi i pajtueshmërisë PCI-DSS në listën e kërkesave tuaja mund ta bëjë procesin edhe më të komplikuar. Këtu janë gjërat kryesore që duhet të bëni kur kërkoni për një web hosting në përputhje me PCI:

Diskutoni për komponentët e pajtueshmërisë PCI të ndërmarra nga hosti juaj

Pyetni ofruesin e mbajtjes së faqeve në internet për komponentët e pajtueshmërisë PCI që ata janë në gjendje të trajtojnë për ju. Për shembull, HostGator në mënyrë të qartë deklaron në faqen e tyre të internetit se VSP dhe serverët e tyre të dedikuar janë azhurnuar për të përmbushur kërkesat e pajtueshmërisë PCI të serverit. Sidoqoftë, HostGator nuk do të sigurojë mbështetje për të siguruar që karrocat e blerjeve, programi i portës së pagesave, shtojcat e shportave të blerjeve, etj. Të përdorura nga faqja juaj e internetit janë në përputhje me PCI, prandaj, kjo detyrë ju ngulit si përdorues i këtyre zgjidhjeve.

Merrni më shumë detaje rreth secilit komponent

Meqenëse dështimi për të përmbushur kërkesat e pajtueshmërisë PCI mbart një mori rreziqesh që kërcënojnë potencialisht ekzistencën e biznesit tuaj, gjithmonë lexoni printimin e mirë të shërbimeve shtesë të ndërmarrura nga kompania juaj pritëse në përpjekjet tuaja për t’u bërë në përputhje me PCI-në, dhe kërkoni më shumë detaje rreth të miratuara zgjidhje për të parë nëse këto shërbime përputhen me kërkesat tuaja të pajtueshmërisë PCI-DSS. Kompanitë pritëse si Rackspace, shkojnë përtej thjesht duke ju ofruar pajtueshmërinë PCI të serverit duke siguruar një mori shërbimesh të tjera (p.sh. firewall i menaxhuar, certifikata SSL, zgjidhje të menaxhuara antivirus, shërbime të vlerësimit të cenueshmërisë, firewall i aplikacionit në internet, etj.).

Shih në lidhje me mbështetjen

Lundrimi në labirint për t’u bërë në përputhje me standardet e industrisë të imponuara nga kompanitë e kartave të kreditit është pa dyshim një proces i fortë për këdo, qoftë biznes i vogël apo i madh. Mbështetja e ofruar në diskutimin e nevojave tuaja dhe ndihmë në eksplorimin e shërbimeve që ju nevojiten mund të ndihmojnë në zvogëlimin e kompleksitetit të përpjekjeve tuaja për tu bërë në përputhje.

përfundim

Shtë e rëndësishme të mbani mend se pajtueshmëria me PCI është një përgjegjësi e përbashkët dhe duke zgjedhur një Hosting PCI në përputhje, një nuk bëhet automatikisht i pajtueshëm për PCI-në. Marrja e një pamje të qartë nga marrja e përgjegjësive të ndërmarra nga secili partner i zgjidhjeve është një hap i rëndësishëm në arritjen dhe ruajtjen e pajtueshmërisë.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector