Tuân thủ PCI là gì? Tìm Web Hosting tuân thủ PCI tốt nhất

lưu trữ web tuân thủ pci tốt nhất


Công nghiệp thẻ thanh toán – Tiêu chuẩn bảo mật dữ liệu (PCI-DSS) là một loạt các yêu cầu được Hội đồng tiêu chuẩn bảo mật PCI áp dụng và nó có nghĩa là đảm bảo các biện pháp bảo mật dữ liệu nhất quán trên tất cả các thương nhân trực tuyến. Các Hội đồng tiêu chuẩn bảo mật PCI (PCI SSC) bao gồm JCB International, American Express, Discover Financial Services, VISA và MasterCard Worldwide. Bất kỳ thương gia trực tuyến nào chấp nhận thanh toán thông qua các công ty thẻ tín dụng lớn đều bị ràng buộc bởi các yêu cầu PCI-DSS.

Đạt được và duy trì sự tuân thủ có thể là một kinh nghiệm căng thẳng ngay cả đối với các công ty trực tuyến lớn, chứ đừng nói đến các thương nhân nhỏ. Nhưng hậu quả đắt đỏ của việc vi phạm dữ liệu và không đáp ứng các yêu cầu tuân thủ khiến các nhà cung cấp dịch vụ trực tuyến bắt buộc phải đảm bảo rằng khách hàng của họ giao dịch an toàn.

Trong bài viết này, chúng tôi đã thảo luận về một số yêu cầu quan trọng nhất đối với việc tuân thủ PCI và cách tìm ra lưu trữ web tuân thủ PCI tốt nhất để quản lý tốt hơn chiến lược tuân thủ PCI của bạn.

Việc tuân thủ PCI có nghĩa là gì?

Tuân thủ PCI là bắt buộc đối với tất cả các doanh nghiệp thương mại điện tử chấp nhận thẻ tín dụng, không phân biệt doanh thu và khối lượng giao dịch. Do đó, hai yếu tố này sẽ không xác định liệu bạn có phải tuân thủ các quy tắc bảo mật dữ liệu do PCI SSC quy định hay không, do các doanh nghiệp thương mại điện tử nhỏ nhất chấp nhận thẻ tín dụng bị ràng buộc bởi các tiêu chuẩn PCI-DSS; tuy nhiên, số lượng giao dịch thẻ tín dụng / thẻ ghi nợ mà quy trình kinh doanh của bạn hàng năm sẽ xác định mức độ tuân thủ nào bạn phải đạt được. Cấp 1 có độ khó tuân thủ cao nhất và đó là một tiêu chuẩn bảo mật cần đạt được bởi các doanh nghiệp thương mại điện tử xử lý hơn 6.000.000 thẻ tín dụng hoặc thẻ ghi nợ trong khoảng thời gian 12 tháng. Mặt khác, cấp 4 chịu độ khó tuân thủ thấp nhất và nó liên quan đến các doanh nghiệp trực tuyến xử lý ít hơn 20.000 giao dịch thẻ tín dụng hàng năm.

Mặc dù các tiêu chuẩn PCI-DSS được xác định bởi PCI SSC không phải là luật, việc tuân thủ các tiêu chuẩn này được thực thi bởi chính các công ty tín dụng. Các doanh nghiệp bị phát hiện vi phạm có thể bị phạt tiền đáng kể (5.000 – 100.000 đô la mỗi tháng) và phạt (mất quyền xử lý thanh toán thẻ tín dụng, tăng phí xử lý trên mỗi giao dịch, thanh toán cho thẻ tín dụng bị xâm phạm vì vi phạm, di chuyển lên một mức độ tuân thủ, vv). Những khoản tiền phạt và hình phạt này có thể chứng minh là thảm họa đối với một doanh nghiệp, chưa kể đến việc mất danh tiếng mà một doanh nghiệp có thể phải chịu do vi phạm.

Mặc dù các tiêu chuẩn được xác định và duy trì bởi PCI SSC cuối cùng có khả năng bảo mật dữ liệu chủ thẻ, việc đạt được tuân thủ PCI đặt ra nhiều rào cản cho người bán trực tuyến trung bình.

Tóm lại, đây là các yêu cầu về tuân thủ PCI được nêu trong các tiêu chuẩn PCI DSS đầy đủ mà các nhà cung cấp dịch vụ trực tuyến phải tuân thủ:

  • Xây dựng và duy trì một mạng an toàn, bao gồm các cấu hình tường lửa và bộ định tuyến, thử nghiệm liên quan đến các mạng này, tần suất thử nghiệm và quản lý mật khẩu an toàn;
  • Bảo vệ dữ liệu chủ thẻ bằng cách xác định lưu trữ, lưu giữ dữ liệu và các tham số sử dụng dữ liệu và yêu cầu mã hóa, cũng như đặt ra việc thực hiện các giao thức mã hóa và bảo mật (SSL / TLS, SSH hoặc IPSec) để bảo vệ dữ liệu của chủ thẻ khi được truyền qua mở, mạng công cộng;
  • Thực hiện chương trình quản lý lỗ hổng, bao gồm việc sử dụng chương trình chống vi-rút thường xuyên được cập nhật, hoạt động mọi lúc và tạo ra nhật ký kiểm toán. Một khía cạnh khác của chương trình quản lý lỗ hổng là phát triển và bảo trì các hệ thống và ứng dụng bảo mật, đạt được thông qua việc tuân thủ các nguyên tắc mã hóa an toàn và xem xét mã của bên thứ ba hoặc các ứng dụng tùy chỉnh đối với các lỗ hổng;
  • Thực hiện các biện pháp kiểm soát truy cập an toàn của người dùng bằng cách bảo vệ dữ liệu nhạy cảm khỏi truy cập trái phép, hạn chế quyền truy cập bằng cách thiết lập kiểm soát truy cập dựa trên vai trò được xác định rõ (RBAC), gán ID người dùng duy nhất để truy xuất nguồn gốc, sử dụng quy trình xác thực hai yếu tố, hạn chế quyền truy cập vật lý vào chủ thẻ dữ liệu;
  • Sử dụng các cơ chế ghi nhật ký để theo dõi và giám sát truy cập vào dữ liệu mạng và chủ thẻ, tạo ra một bản kiểm toán phải được giữ lại ít nhất một năm;
  • Chạy quét an ninh mạng nội bộ thường xuyên (hàng quý và sau mỗi lần thay đổi, nâng cấp hoặc sửa đổi đáng kể trong mạng hoặc cơ sở hạ tầng), gửi tới ASV (Nhà cung cấp quét quét được phê duyệt) hàng quý sau khi quét quét tuân thủ ban đầu, hệ thống triển khai (xâm nhập hệ thống phát hiện và hệ thống giám sát tệp) để cảnh báo về việc sửa đổi trái phép các tệp quan trọng và thỏa hiệp hệ thống;
  • Tạo và duy trì chính sách bảo mật thông tin sẽ bao gồm các khía cạnh liên quan đến sàng lọc nhân sự, đánh giá rủi ro, đánh giá lỗ hổng, truy cập từ xa, v.v..

Các doanh nghiệp thiếu chuyên môn và / hoặc nguồn lực nội bộ để thực hiện chương trình tuân thủ hiệu quả nên tìm kiếm sự giúp đỡ của đối tác bên ngoài và cố vấn bảo mật đủ điều kiện, người sẽ cung cấp hướng dẫn về Câu hỏi tự đánh giá PCI-DSS mà họ phải hoàn thành, các yêu cầu phải hoàn thành họ cần đáp ứng mức độ tuân thủ, sự thiếu hụt cơ sở hạ tầng mà họ phải giải quyết, v.v..

Một số gánh nặng của việc đáp ứng các yêu cầu này có thể được chia sẻ với các đối tác giải pháp, chẳng hạn như nhà cung cấp dịch vụ lưu trữ, những người có thể giúp triển khai và duy trì các điều khiển vật lý, mạng và hệ thống.

Làm thế nào để tìm Web Hosting tuân thủ PCI tốt nhất

Chọn một máy chủ web tốt có thể là một nhiệm vụ phức tạp. Việc thêm tuân thủ PCI-DSS vào danh sách các yêu cầu của bạn có thể khiến quá trình trở nên phức tạp hơn. Dưới đây là những điều chính cần làm khi tìm kiếm một máy chủ lưu trữ web tuân thủ PCI:

Thảo luận về các thành phần tuân thủ PCI được thực hiện bởi máy chủ của bạn

Hỏi nhà cung cấp dịch vụ lưu trữ web về các thành phần tuân thủ PCI mà họ có thể xử lý cho bạn. Ví dụ, HostGator nêu rõ trên trang web của họ rằng VSP và máy chủ chuyên dụng của họ đã được cập nhật để đáp ứng các yêu cầu tuân thủ PCI của máy chủ. Tuy nhiên, HostGator sẽ không cung cấp hỗ trợ để đảm bảo rằng các giỏ hàng, phần mềm cổng thanh toán, plugin của giỏ hàng, v.v. được sử dụng bởi trang web của bạn tuân thủ PCI, do đó, nhiệm vụ này bao gồm bạn là người dùng các giải pháp này.

Nhận thêm chi tiết về từng thành phần

Do việc không đáp ứng các yêu cầu tuân thủ PCI mang đến nhiều rủi ro có khả năng đe dọa đến sự tồn tại của doanh nghiệp của bạn, hãy luôn đọc bản in đẹp của các dịch vụ bổ sung được thực hiện bởi công ty lưu trữ của bạn để nỗ lực tuân thủ PCI và hỏi thêm chi tiết về việc áp dụng các giải pháp để xem các dịch vụ này có phù hợp với các yêu cầu tuân thủ PCI-DSS của bạn không. Các công ty lưu trữ như Rackspace, vượt xa việc cung cấp cho bạn máy chủ tuân thủ PCI bằng cách cung cấp một loạt các dịch vụ khác (ví dụ: tường lửa được quản lý, chứng chỉ SSL, giải pháp chống vi-rút được quản lý, dịch vụ đánh giá lỗ hổng, tường lửa ứng dụng web, v.v.).

Xem về hỗ trợ

Điều hướng mê cung trở nên tuân thủ các tiêu chuẩn ngành được áp đặt bởi các công ty thẻ tín dụng chắc chắn là một quá trình vất vả cho bất cứ ai, dù là doanh nghiệp nhỏ hay lớn. Hỗ trợ được cung cấp trong việc thảo luận về nhu cầu của bạn và giúp khám phá các dịch vụ bạn cần có thể giúp giảm sự phức tạp của những nỗ lực của bạn trong việc tuân thủ.

Phần kết luận

Điều quan trọng cần nhớ là tuân thủ PCI là trách nhiệm chung và bằng cách chọn tham gia Lưu trữ tuân thủ PCI, một không tự động trở thành tuân thủ PCI. Có được một cái nhìn rõ ràng từ việc thực hiện các trách nhiệm được thực hiện bởi mỗi đối tác giải pháp là một bước quan trọng để đạt được và duy trì sự tuân thủ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map