Čo je súlad s PCI? Nájdite najlepší webhosting kompatibilný s PCI

01.06.2020
Články a ďalšie… 'Čo je súlad s PCI? Nájdite najlepší webhosting kompatibilný s PCI
0 9 мин.

najlepší pci kompatibilný web hosting


Odvetvie platobných kariet – štandardy bezpečnosti údajov (PCI-DSS) sú obrovské požiadavky, ktoré prijala Rada pre bezpečnostné štandardy PCI, a ich cieľom je zabezpečiť jednotné opatrenia na zabezpečenie údajov vo všetkých online obchodoch. Rada bezpečnostných štandardov PCI (PCI SSC) zahŕňa JCB International, American Express, Discover Financial Services, VISA a MasterCard Worldwide. Všetci obchodníci online, ktorí prijímajú platby prostredníctvom významných spoločností vydávajúcich kreditné karty, sú viazaní požiadavkami PCI-DSS.

Dosiahnutie a udržanie súladu s predpismi môže byť zážitkom, ktorý ničí nervy aj pre veľké online spoločnosti, nieto pre malých obchodníkov. Avšak nákladné následky porušenia údajov a nedodržania požiadaviek sú pre poskytovateľov služieb online nevyhnutné, aby sa ubezpečili, že ich zákazníci bezpečne obchodujú..

V tomto článku diskutujeme o niektorých najdôležitejších požiadavkách na dodržiavanie PCI a o tom, ako ich nájsť najlepší webový hosting kompatibilný s PCI lepšie spravovať svoju stratégiu súladu s PCI.

Čo to znamená byť v súlade s PCI?

Súlad s PCI je nevyhnutnosťou pre všetky podniky elektronického obchodu, ktoré prijímajú kreditné karty, bez ohľadu na príjem a objem transakcií. Preto tieto dva faktory neurčujú, či musíte alebo nemusíte dodržiavať pravidlá bezpečnosti údajov stanovené v PCI SSC, vzhľadom na to, že aj najmenší elektronický obchod prijímajúci kreditnú kartu je viazaný štandardmi PCI-DSS; počet transakcií kreditnou / debetnou kartou, ktoré vaše obchodné procesy ročne určia, však určí, ktorú zo štyroch úrovní súladu musíte dosiahnuť. Úroveň 1 má najväčšie problémy s dodržiavaním predpisov. Je to bezpečnostný štandard, ktorý musia podniky elektronického obchodu, ktoré spracúvajú viac ako 6 000 000 kreditných alebo debetných kariet v priebehu 12 mesiacov, dosiahnuť. Na druhej strane úroveň 4 má najmenšie problémy s dodržiavaním predpisov a týka sa online spoločností, ktoré ročne spracúvajú menej ako 20 000 transakcií kreditnými kartami..

Aj keď normy PCI-DSS definované v PCI SSC nie sú zákonom, súlad s týmito normami sa vynucuje samotnými úverovými spoločnosťami. Podniky, o ktorých sa zistí, že porušujú pravidlá, môžu očakávať značné pokuty (5 000 – 100 000 dolárov mesačne) a pokuty (strata práva na spracovanie platieb kreditnými kartami, zvýšenie poplatkov za spracovanie transakcií, platby za kreditné karty ohrozené z dôvodu porušenia, pohybujúce sa úroveň zhody atď.). Tieto pokuty a pokuty sa môžu ukázať ako katastrofické pre podnik, nehovoriac o strate dobrého mena, ktoré podnik môže utrpieť v dôsledku porušenia.

Aj keď normy definované a udržiavané v PCI SSC nakoniec znižujú zabezpečenie údajov držiteľa karty, dosiahnutie súladu s PCI predstavuje pre priemerného obchodníka online mnoho prekážok..

Stručne povedané, požiadavky na súlad s PCI sú obsiahnuté v úplných štandardoch PCI DSS, ktoré musia poskytovatelia online služieb dodržiavať:

  • Budovanie a údržba zabezpečenej siete, ktorá vyžaduje konfiguráciu brány firewall a smerovača, testovanie s tým spojené, frekvenciu testovania a bezpečnú správu hesiel;
  • Ochrana údajov držiteľa karty definovaním parametrov ukladania, uchovávania údajov a použitia údajov a požiadaviek na šifrovanie, ako aj stanovenie vykonávania šifrovacích a bezpečnostných protokolov (SSL / TLS, SSH alebo IPSec) na ochranu údajov držiteľov karty pri prenose cez otvorené, verejné siete;
  • Vykonanie programu na správu zraniteľnosti, ktorý zahŕňa použitie antivírusového programu, ktorý je pravidelne aktualizovaný, aktívny za každých okolností a ktorý generuje protokoly auditu. Ďalším aspektom programu riadenia zraniteľností je vývoj a údržba zabezpečených systémov a aplikácií, čo sa dosahuje dodržiavaním pokynov týkajúcich sa bezpečného kódovania a kontroly kódu tretích strán alebo vlastných aplikácií s ohľadom na zraniteľné miesta;
  • Implementácia opatrení na kontrolu bezpečného prístupu používateľov prostredníctvom ochrany citlivých údajov pred neoprávneným prístupom, obmedzením prístupu nastavením dobre definovaného riadenia prístupu na základe rolí (RBAC), pridelením jedinečných ID používateľov na sledovanie, použitím dvojfaktorových autentifikačných procesov, obmedzením fyzického prístupu k držiteľovi karty údajov;
  • Pomocou mechanizmov protokolovania na sledovanie a monitorovanie prístupu k údajom o sieťach a držiteľoch kariet, vytvorenie protokolu auditu, ktorý sa musí uchovať najmenej rok;
  • Vykonávanie pravidelných kontrol vnútornej bezpečnosti siete (štvrťročne a po každej významnej zmene, aktualizácii alebo zmene v sieti alebo infraštruktúre), podrobenie sa štvrťročným kontrolám ASV (Approved Scanning Vendor) po absolvovaní počiatočnej kontroly súladu, implementácia systémov (prienik) detekčné systémy a systémy monitorovania súborov) na upozornenie týkajúce sa neoprávnenej zmeny kritických súborov a ohrozenia systému;
  • Vytvorenie a udržiavanie politiky informačnej bezpečnosti, ktorá by sa mala vzťahovať na aspekty týkajúce sa skríningu personálu, posudzovania rizika, posudzovania zraniteľností, vzdialeného prístupu atď.

Podniky, ktoré nemajú odborné znalosti a / alebo interné zdroje na vykonávanie účinného programu súladu, by sa mali obrátiť na externého partnera a kvalifikovaného bezpečnostného poradcu, ktorý ponúkne usmernenie týkajúce sa dotazníka na sebahodnotenie PCI-DSS, ktorý musia vyplniť, požiadavky Musia sa stretnúť pre svoju úroveň zhody, nedostatky v infraštruktúre, ktoré musia vyriešiť atď.

Časť bremena pri plnení týchto požiadaviek sa môže zdieľať s partnermi v oblasti riešení, ako sú poskytovatelia hostingu, ktorí môžu pomôcť s implementáciou a udržiavaním fyzických, sieťových a systémových ovládacích prvkov..

Ako nájsť najlepší webhosting kompatibilný s PCI

Výber dobrého webhostingu môže byť sám o sebe komplikovanou úlohou. Pridanie súladu PCI-DSS do zoznamu vašich požiadaviek môže tento proces ešte skomplikovať. Pri hľadaní webhostingu kompatibilného s PCI je potrebné urobiť tieto hlavné kroky:

Diskutujte o komponentoch súladu s PCI, ktoré prijal váš hostiteľ

Spýtajte sa poskytovateľa webhostingu na komponenty súladu s PCI, ktoré sú pre vás schopné zvládnuť. HostGator napríklad na svojich webových stránkach jasne uvádza, že ich VSP a dedikované servery boli aktualizované, aby vyhovovali požiadavkám súladu PCI so servermi. HostGator však nebude poskytovať podporu na zabezpečenie toho, aby nákupné vozíky, softvér platobných brán, doplnky nákupného košíka atď., Ktoré používa váš web, boli kompatibilné s PCI, táto úloha vás preto ako používateľa týchto riešení zaťažuje..

Získajte viac podrobností o jednotlivých komponentoch

Keďže nesplnenie požiadaviek PCI spĺňa celý rad rizík, ktoré potenciálne ohrozujú samotnú existenciu vášho podnikania, vždy si prečítajte podrobnú tlač doplnkových služieb, ktoré podniká vaša hostiteľská spoločnosť vo vašom úsilí stať sa kompatibilným s PCI, a požiadajte o ďalšie podrobnosti o prijatých riešenia, aby ste zistili, či sú tieto služby v súlade s požiadavkami súladu s PCI-DSS. Hostingové spoločnosti, ako je Rackspace, idú nad rámec jednoduchého ponúkania súladu so serverom PCI poskytovaním množstva ďalších služieb (napr. Riadený firewall, certifikáty SSL, antivírusové riešenia, služby hodnotenia zraniteľnosti, firewall webových aplikácií atď.).

Viac informácií o podpore

Navigácia v bludisku súladu s priemyselnými normami, ktoré ukladajú spoločnosti vydávajúce kreditné karty, je bezpochyby namáhavým procesom pre každého, či už ide o malý alebo veľký podnik. Podpora ponúkaná pri diskusii o vašich potrebách a pomoc pri skúmaní služieb, ktoré potrebujete, vám môže pomôcť znížiť zložitosť vášho úsilia o dosiahnutie súladu s predpismi..

záver

Je dôležité pamätať na to, že súlad s PCI je spoločnou zodpovednosťou a že sa rozhodnete pre Hosting kompatibilný s PCI, jeden sa automaticky nestane kompatibilným s PCI. Dôležitým krokom pri dosahovaní a udržiavaní zhody je získanie jasného prehľadu o zodpovednosti, ktorú preberá každý partner v oblasti riešení.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector