Kaj je skladnost PCI? Poiščite spletno gostovanje, skladno s PCI

01.06.2020
Članki in več ... 'Kaj je skladnost PCI? Poiščite spletno gostovanje, skladno s PCI
0 6 мин.

najboljše spletno gostovanje, skladno s pci


Industrija plačilnih kartic – Standardi varnosti podatkov (PCI-DSS) so ogromen nabor zahtev, ki jih je sprejel Svet za varnostne standarde PCI, namenjen pa je zagotavljanju doslednih ukrepov za varnost podatkov pri vseh spletnih trgovcih. The Svet za varnostne standarde PCI (PCI SSC) vključuje JCB International, American Express, Discover Financial Services, VISA in MasterCard Worldwide. Vsakega spletnega trgovca, ki sprejema plačila prek večjih podjetij s kreditnimi karticami, zavezujejo zahteve PCI-DSS.

Doseganje in ohranjanje skladnosti je lahko živčna izkušnja celo za velika spletna podjetja, kaj šele za male trgovce. Toda drage posledice kršitve podatkov in neizpolnjevanje zahtev skladnosti nujno zagotavljajo ponudnikom spletnih storitev, da zagotovijo, da njihovi kupci varno poslujejo.

V tem članku razpravljamo o nekaterih najpomembnejših zahtevah glede skladnosti PCI in kako najti najboljše spletno gostovanje, skladno s PCI za boljše upravljanje strategije skladnosti PCI.

Kaj pomeni, da je združljiv s PCI?

Skladnost s PCI je nujna za vsa podjetja, ki sprejemajo kreditno kartico, ne glede na prihodke in obseg transakcij. Zato ta dva dejavnika ne bosta določala, ali se morate držati pravil o varnosti podatkov, ki jih določa PCI SSC, glede na to, da tudi najmanjši posel za e-poslovanje, ki sprejema kreditno kartico, veže standard PCI-DSS; vendar pa bo število transakcij s kreditnimi / debetnimi karticami, ki jih vaš poslovni postopek letno določi, določil, katero od štirih stopenj skladnosti morate doseči. Stopnja 1 ima največje težave pri izpolnjevanju zahtev in to je varnostni standard, ki ga morajo doseči podjetja za e-trgovino, ki v 12-mesečnem obdobju obdelajo več kot 6.000.000 kreditnih ali debetnih kartic. Po drugi strani je raven 4 najnižja težava skladnosti in zadeva spletna podjetja, ki letno obdelajo manj kot 20.000 transakcij s kreditnimi karticami.

Medtem ko standardi PCI-DSS, ki jih določa PCI SSC, niso zakon, skladnost s temi standardi uveljavljajo kreditne družbe same. Podjetja, za katera se ugotovi kršitev, lahko pričakujejo velike globe (5000 do 100 000 USD na mesec) in kazni (izguba pravice do obdelave plačil s kreditnimi karticami, povečanje pristojbin za obdelavo transakcij, plačilo za kreditne kartice, ogrožene zaradi kršitve, premikanje višja raven skladnosti itd.). Te globe in kazni se lahko izkažejo za katastrofalne za podjetje, da ne omenjam izgube ugleda, ki ga podjetje lahko trpi zaradi kršitve.

Čeprav se standardi, ki jih opredeljuje in vzdržuje PCI SSC, na koncu vsebujejo tudi podatke o imetnikih kartic, doseganje skladnosti s PCI pomeni veliko zaporov za povprečnega spletnega trgovca.

Na kratko, zahteve za skladnost PCI, zajete v celotnih standardih PCI DSS, ki se jih morajo držati ponudniki spletnih storitev:

  • Izdelava in vzdrževanje varnega omrežja, ki vključuje konfiguracijo požarnega zidu in usmerjevalnikov, preizkušanje v zvezi s njimi, pogostost testiranja in varno upravljanje gesla;
  • Zaščita podatkov imetnika kartice z določitvijo pomnilnika, hrambe podatkov in parametrov uporabe podatkov ter šifrirnimi zahtevami ter določanjem izvajanja šifrirnih in varnostnih protokolov (SSL / TLS, SSH ali IPSec) za zaščito podatkov imetnika kartice, kadar se prenašajo prek odprtih, javna omrežja;
  • Izvajanje programa za upravljanje ranljivosti, ki vključuje uporabo protivirusnega programa, ki se redno posodablja, je ves čas aktiven in ustvarja revizijske dnevnike. Druga plat programa za upravljanje ranljivosti je razvoj in vzdrževanje varnih sistemov in aplikacij, kar dosežemo z upoštevanjem smernic za varno kodiranje in pregledovanjem kode tretjih oseb ali prilagojenih aplikacij glede na ranljivosti;
  • Izvajanje varnih ukrepov za nadzor dostopa uporabnikov z zaščito občutljivih podatkov pred nepooblaščenim dostopom, omejevanje dostopa z nastavitvijo dobro definiranega nadzora dostopa na podlagi vlog (RBAC), dodeljevanje edinstvenih uporabniških ID-jev za sledljivost, z uporabo dvofaktorskih postopkov overjanja, ki omejujejo fizični dostop do imetnika kartice podatki;
  • Z mehanizmi beleženja za sledenje in spremljanje dostopa do podatkov o omrežju in imetniku kartice ustvarite revizijsko sled, ki ga je treba hraniti najmanj eno leto;
  • Izvajanje rednih pregledov varnosti notranjega omrežja (četrtletno in po vsaki pomembni spremembi, nadgradnji ali spremembi v omrežju ali infrastrukturi), predložitev četrtletnih pregledov ASV (odobreni ponudnik za skeniranje) po opravljenem začetnem skeniranju skladnosti in izvajanje sistemov (vdori sistemi za zaznavanje in sistemi za spremljanje datotek), ki opozarjajo na nepooblaščeno spreminjanje kritičnih datotek in kompromise sistema;
  • Oblikovanje in vzdrževanje politike informacijske varnosti, ki bi morala zajemati vidike, povezane z pregledovanjem osebja, oceno tveganja, oceno ranljivosti, oddaljenim dostopom itd..

Podjetja, ki nimajo strokovnega znanja in / ali notranjih virov za izvajanje učinkovitega programa skladnosti, morajo poiskati pomoč zunanjega partnerja in usposobljenega varnostnega svetovalca, ki bo ponudil smernice v zvezi z vprašalnikom o samooceni PCI-DSS, ki ga morajo izpolniti, zahteve izpolnjevati jih morajo zaradi svoje ravni skladnosti, pomanjkljivosti v infrastrukturi, ki jih morajo odpraviti itd.

Nekaj ​​bremena izpolnjevanja teh zahtev lahko delite s partnerji rešitev, kot so ponudniki gostovanja, ki lahko pomagajo pri izvajanju in vzdrževanju fizičnega, omrežnega in sistemskega nadzora.

Kako najti najboljše spletno gostovanje, skladno s PCI

Izbira dobrega spletnega gostovanja je sama po sebi lahko zapletena naloga. Če dodate skladnost PCI-DSS na seznam vaših zahtev, lahko postopek še bolj zaplete. Tu je nekaj glavnih stvari pri iskanju spletnega gostovanja, skladnega s PCI:

Pogovorite se o komponentah skladnosti PCI, ki jih je prevzel vaš gostitelj

Vprašajte ponudnika spletnega gostovanja o sestavnih delih PCI skladnosti, ki jih lahko uporabljajo za vas. Na primer, HostGator na svojem spletnem mestu jasno navaja, da so bili njihovi VSP in namenski strežniki posodobljeni, da izpolnjujejo zahteve skladnosti PCI s strežnikom. Vendar HostGator ne bo zagotovil podpore za zagotavljanje, da so nakupovalni vozički, programska oprema za prehod plačil, vtičniki nakupovalnih košaric itd., Ki jih uporablja vaše spletno mesto, skladni s PCI, zato vas ta naloga obremeni kot uporabnika teh rešitev.

Preberite več podrobnosti o vsaki komponenti

Ker neizpolnjevanje zahtev skladnosti s PCI prinaša veliko tveganj, ki potencialno ogrožajo obstoj vašega podjetja, vedno preberite drobni tisk dodatnih storitev, ki jih je prevzelo vaše podjetje za gostovanje v svojih prizadevanjih, da postanete skladni s PCI, in povprašajte za več podrobnosti o sprejetih rešitve, da preverite, ali te storitve ustrezajo vašim zahtevam skladnosti PCI-DSS. Gostovalska podjetja, kot je Rackspace, presegajo preprosto ponudbo skladnosti strežnika PCI z zagotavljanjem številnih drugih storitev (npr. Upravljani požarni zid, SSL certifikati, upravljane protivirusne rešitve, storitve ocene ranljivosti, požarni zid spletne aplikacije itd.).

Glej o podpori

Krmarjenje po labirintu za uskladitev z industrijskimi standardi, ki jih nalagajo podjetja s kreditnimi karticami, je nedvomno naporen postopek za vsakogar, pa naj gre za mala ali velika podjetja. Podpora, ki se ponuja pri razpravljanju o vaših potrebah in pomoč pri raziskovanju storitev, ki jih potrebujete, lahko pripomore k zmanjšanju zahtevnosti vaših prizadevanj za skladnost.

Zaključek

Pomembno si je zapomniti, da je skladnost PCI deljena odgovornost in se odločite za Gostovanje skladno s PCI, eno ne postane samodejno združljivo s PCI. Pomemben korak pri doseganju in ohranjanju skladnosti je jasen pregled od prevzema odgovornosti, ki jih prevzame vsak partner za rešitve..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector