Co to jest zgodność z PCI? Znajdź najlepszy hosting zgodny z PCI

01.06.2020
Artykuły i więcej… 'Co to jest zgodność z PCI? Znajdź najlepszy hosting zgodny z PCI
0 8 мин.

najlepszy hosting zgodny z PCI


Przemysł kart płatniczych – standardy bezpieczeństwa danych (PCI-DSS) to szeroki zestaw wymagań przyjętych przez Radę Bezpieczeństwa Standardów PCI, które mają zapewnić spójne środki bezpieczeństwa danych wszystkim sprzedawcom internetowym. The Rada Bezpieczeństwa Standardów PCI (PCI SSC) obejmuje JCB International, American Express, Discover Financial Services, VISA i MasterCard Worldwide. Każdy sprzedawca internetowy akceptujący płatności za pośrednictwem głównych firm obsługujących karty kredytowe jest związany wymogami PCI-DSS.

Osiągnięcie i utrzymanie zgodności może być denerwującym doświadczeniem nawet dla dużych firm internetowych, nie mówiąc już o małych kupcach. Jednak kosztowne konsekwencje naruszenia bezpieczeństwa danych i niespełnienia wymogów zgodności sprawiają, że dostawcy usług internetowych muszą bezwzględnie upewnić się, że ich klienci dokonują bezpiecznych transakcji.

W tym artykule omawiamy niektóre z najważniejszych wymagań dotyczących zgodności z PCI i jak je znaleźć najlepszy hosting zgodny z PCI aby lepiej zarządzać strategią zgodności PCI.

Co to znaczy być zgodnym z PCI?

Zgodność z PCI jest koniecznością dla wszystkich firm e-commerce, które akceptują karty kredytowe, niezależnie od przychodów i liczby transakcji. Dlatego te dwa czynniki nie będą decydować o tym, czy musisz przestrzegać zasad bezpieczeństwa danych określonych przez PCI SSC, biorąc pod uwagę, że nawet najmniejsza firma handlu elektronicznego akceptująca kartę kredytową jest związana standardami PCI-DSS; jednak liczba transakcji kartą kredytową / debetową przeprowadzanych rocznie przez firmę będzie determinować, który z czterech poziomów zgodności musisz osiągnąć. Poziom 1 ma najwyższy poziom zgodności i jest to standard bezpieczeństwa, który muszą zostać osiągnięte przez firmy e-commerce, które przetwarzają ponad 6 000 000 kart kredytowych lub debetowych w okresie 12 miesięcy. Z drugiej strony poziom 4 wiąże się z najmniejszymi trudnościami w zakresie zgodności i dotyczy firm internetowych, które przetwarzają mniej niż 20 000 transakcji kartami kredytowymi rocznie.

Chociaż standardy PCI-DSS określone przez PCI SSC nie są prawem, zgodność z tymi standardami jest egzekwowana przez same firmy kredytowe. Firmy, w przypadku których stwierdzono naruszenie, mogą liczyć na wysokie grzywny (5000–100 000 USD miesięcznie) i kary (utrata prawa do przetwarzania płatności kartami kredytowymi, wzrost opłat za przetwarzanie transakcji, płacenie za karty kredytowe zagrożone z powodu naruszenia, przeprowadzka wyższy poziom zgodności itp.). Te grzywny i kary mogą okazać się katastrofalne dla firmy, nie mówiąc już o utracie reputacji, jaką może ponieść firma w wyniku naruszenia.

Chociaż standardy określone i utrzymywane przez PCI SSC ostatecznie sprowadzają się do zabezpieczenia danych posiadaczy kart, osiągnięcie zgodności z PCI stwarza wiele przeszkód dla przeciętnego kupca internetowego.

Oto, w skrócie, wymagania dotyczące zgodności PCI objęte wszystkimi standardami PCI DSS, które dostawcy usług internetowych muszą przestrzegać:

  • Budowanie i utrzymywanie bezpiecznej sieci, która obejmuje konfiguracje zapory i routera, związane z nimi testy, częstotliwość testowania i bezpieczne zarządzanie hasłami;
  • Ochrona danych posiadaczy kart poprzez zdefiniowanie parametrów przechowywania, przechowywania danych oraz wykorzystania danych i wymagań dotyczących szyfrowania, a także określenie implementacji szyfrowania i protokołów bezpieczeństwa (SSL / TLS, SSH lub IPSec) w celu ochrony danych posiadacza karty, gdy są przesyłane przez otwarte, sieci publiczne;
  • Wykonywanie programu do zarządzania podatnością na zagrożenia, który polega na użyciu programu antywirusowego, który jest regularnie aktualizowany, aktywny przez cały czas i generuje dzienniki kontroli. Innym aspektem programu zarządzania podatnością na zagrożenia jest rozwój i utrzymanie bezpiecznych systemów i aplikacji, które osiąga się poprzez przestrzeganie wytycznych bezpiecznego kodowania i przegląd kodu zewnętrznego lub niestandardowych aplikacji pod kątem luk;
  • Wdrażanie bezpiecznych środków kontroli dostępu użytkowników poprzez ochronę wrażliwych danych przed nieautoryzowanym dostępem, ograniczenie dostępu poprzez ustanowienie dobrze zdefiniowanej opartej na rolach kontroli dostępu (RBAC), przypisywanie unikalnych identyfikatorów użytkowników w celu śledzenia, stosowanie procesów uwierzytelniania dwuskładnikowego, ograniczanie fizycznego dostępu do posiadacza karty dane;
  • Wykorzystanie mechanizmów rejestrowania do śledzenia i monitorowania dostępu do danych sieci i posiadaczy kart, tworząc ścieżkę audytu, którą należy przechowywać przez co najmniej rok;
  • Przeprowadzanie regularnych skanów bezpieczeństwa sieci wewnętrznej (kwartalnie i po każdej znaczącej zmianie, aktualizacji lub modyfikacji sieci lub infrastruktury), przesyłanie kwartalnych skanów ASV (zatwierdzonego dostawcy skanującego) po przejściu wstępnego skanowania zgodności, wdrażanie systemów (wtargnięcie systemy wykrywania i systemy monitorowania plików) w celu ostrzeżenia o nieautoryzowanej modyfikacji plików krytycznych i naruszeniu bezpieczeństwa systemu;
  • Tworzenie i utrzymywanie polityki bezpieczeństwa informacji, która powinna obejmować aspekty związane z kontrolą personelu, oceną ryzyka, oceną podatności, zdalnym dostępem itp..

Firmy, które nie mają specjalistycznej wiedzy i / lub zasobów wewnętrznych, aby przeprowadzić skuteczny program zgodności, powinny zwrócić się o pomoc do zewnętrznego partnera i wykwalifikowanego doradcy ds. Bezpieczeństwa, który udzieli wskazówek dotyczących kwestionariusza samooceny PCI-DSS, który muszą wypełnić, wymagania muszą spełnić swój poziom zgodności, braki w infrastrukturze, które muszą rozwiązać itp.

Część obowiązków związanych z spełnieniem tych wymagań można podzielić na partnerów rozwiązań, takich jak dostawcy hostingu, którzy mogą pomóc we wdrażaniu i utrzymywaniu kontroli fizycznych, sieciowych i systemowych.

Jak znaleźć najlepszy hosting zgodny z PCI

Wybór dobrego hostingu może być skomplikowanym zadaniem samym w sobie. Dodanie zgodności PCI-DSS do listy wymagań może jeszcze bardziej skomplikować proces. Oto najważniejsze rzeczy, które należy zrobić, szukając hostingu zgodnego z PCI:

Omów komponenty zgodności PCI podjęte przez twojego hosta

Zapytaj dostawcę usług hostingowych o składniki zgodności PCI, które są w stanie obsłużyć. Na przykład HostGator wyraźnie stwierdza na swojej stronie internetowej, że ich VSP i serwery dedykowane zostały zaktualizowane w celu spełnienia wymagań zgodności z PCI dla serwerów. HostGator nie zapewni jednak wsparcia dla zapewnienia, że ​​koszyki, oprogramowanie bramki płatności, wtyczki koszyków itp. Używane przez twoją stronę są zgodne z PCI, dlatego to zadanie obciąża cię jako użytkownika tych rozwiązań.

Uzyskaj więcej informacji o każdym elemencie

Ponieważ niespełnienie wymagań zgodności z PCI niesie ze sobą wiele ryzyk potencjalnie zagrażających samemu istnieniu Twojej firmy, zawsze czytaj drobny druk dodatkowych usług podejmowanych przez Twoją firmę hostingową w celu uzyskania zgodności z PCI i poproś o więcej szczegółów na temat przyjętych rozwiązania pozwalające sprawdzić, czy usługi te są zgodne z wymaganiami zgodności PCI-DSS. Firmy hostingowe, takie jak Rackspace, wykraczają poza zwykłe oferowanie zgodności PCI z serwerem, oferując szereg innych usług (np. Zarządzana zapora ogniowa, certyfikaty SSL, zarządzane rozwiązania antywirusowe, usługi oceny podatności, zapora aplikacji internetowych itp.).

Zobacz o pomocy technicznej

Poruszanie się po labiryncie zgodności ze standardami branżowymi narzuconymi przez firmy wydające karty kredytowe jest bez wątpienia uciążliwym procesem dla każdego, czy to małego, czy dużego biznesu. Wsparcie oferowane w zakresie omawiania potrzeb i pomoc w badaniu potrzebnych usług może pomóc w ograniczeniu złożoności wysiłków związanych z zapewnieniem zgodności.

Wniosek

Ważne jest, aby pamiętać, że zgodność z PCI to wspólna odpowiedzialność, a wybierając opcję Hosting zgodny z PCI, jeden nie staje się automatycznie zgodny z PCI. Uzyskanie jasnego obrazu na początku obowiązków każdego partnera rozwiązań jest ważnym krokiem w osiąganiu i utrzymywaniu zgodności.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector