Ano ang Pagsunod sa PCI? Maghanap ng Pinakamahusay na Pag-host sa Web ng PCI

01.06.2020
Mga Artikulo at Iba pa ... 'Ano ang Pagsunod sa PCI? Maghanap ng Pinakamahusay na Pag-host sa Web ng PCI
0 8 мин.

pinakamahusay na sumusunod na web hosting


Ang Industriya ng Payment Card – Data Security Standards (PCI-DSS) ay isang malawak na hanay ng mga kinakailangan na pinagtibay ng PCI Security Standards Council, at nilalayon nitong tiyakin na pare-pareho ang mga hakbang sa seguridad ng data sa lahat ng mga online na mangangalakal. Ang Konseho ng Pamantayan ng Mga Security sa PCI (Ang PCI SSC) ay may kasamang JCB International, American Express, Discover Discover Services, VISA at MasterCard sa buong mundo. Ang anumang online na negosyante na tumatanggap ng mga pagbabayad sa pamamagitan ng mga pangunahing kumpanya ng credit card ay nakasalalay sa mga kinakailangan ng PCI-DSS.

Ang pagkamit at pagpapanatili ng pagsunod ay maaaring maging isang karanasan na nakagambala ng nerbiyos kahit na para sa mga pangunahing kumpanya sa online, hayaan ang maliit na mangangalakal. Ngunit ang magastos na pag-uulat ng paglabag sa data at pagkabigo upang matugunan ang mga kinakailangan sa pagsunod ay kinakailangan para sa mga online service provider upang matiyak na ang kanilang mga customer ay ligtas na nakikipagtransaksyon.

Sa artikulong ito, tinatalakay namin ang ilan sa mga pinakamahalagang kinakailangan para sa pagsunod sa PCI at kung paano mahahanap ang pinakamahusay na PCI na sumusunod sa web hosting upang mas mahusay na pamahalaan ang iyong diskarte sa pagsunod sa PCI.

Ano ang Kahulugan nito na maging Pagsunod sa PCI?

Ang pagsunod sa PCI ay dapat para sa lahat ng mga negosyong e-commerce na tumatanggap ng credit card, anuman ang kita at dami ng mga transaksyon. Samakatuwid, ang dalawang kadahilanan na ito ay hindi matukoy kung kailangan o sumunod sa mga patakaran ng seguridad ng data na itinakda ng PCI SSC, na ibinigay na kahit na ang pinakamaliit na negosyo ng e-commerce na tumatanggap ng credit card ay nakasalalay sa mga pamantayan ng PCI-DSS; gayunpaman, ang bilang ng mga transaksyon sa credit / debit card sa iyong mga proseso ng negosyo taun-taon ay matukoy kung alin sa apat na antas ng pagsunod ang dapat mong makamit. Ang Antas 1 ay may pinakamataas na kahirapan sa pagsunod, at ito ay isang pamantayan sa seguridad na kailangang makamit ng mga negosyong e-commerce na nagpoproseso ng higit sa 6,000,000 credit o debit cards sa loob ng 12-buwan na panahon. Sa kabilang banda, ang antas 4 ay nagdadala ng pinakamababang kahirapan sa pagsunod, at may kinalaman ito sa mga negosyong online na nagpoproseso ng mas kaunti sa 20,000 mga transaksiyon sa credit card taun-taon.

Habang ang mga pamantayang PCI-DSS na tinukoy ng PCI SSC ay hindi isang batas, ang pagsunod sa mga pamantayang ito ay ipinatutupad ng mga kumpanya ng kredito mismo. Ang mga negosyong natagpuan na lumalabag ay maaaring asahan ang malaking multa ($ 5,000 – $ 100,000 bawat buwan) at mga parusa (pagkawala ng karapatan upang maproseso ang mga pagbabayad sa credit card, pagtaas sa mga bayad sa pagproseso ng bawat transaksyon, pagbabayad para sa mga credit card na nakompromiso dahil sa paglabag, paglipat isang antas ng pagsunod, atbp.). Ang mga multa at parusa ay maaaring patunayan na maging sakuna sa isang negosyo, hindi sa banggitin ang pagkawala ng reputasyon na maaaring magdusa ang isang negosyo bilang isang resulta ng isang paglabag.

Bagaman ang mga pamantayang tinukoy at pinananatili ng PCI SSC sa huli ay kumulo sa pag-secure ng data ng cardholder, ang pagkamit ng pagsunod sa PCI ay nagdudulot ng maraming mga hadlang para sa average na online merchant.

Narito, sa madaling sabi, ang mga kinakailangan para sa pagsunod sa PCI na sakop sa buong pamantayan ng DSS ng PCI na dapat sundin ng mga online service provider na:

  • Pagbuo at pagpapanatili ng isang ligtas na network, na nagsasangkot ng mga pagsasaayos ng firewall at router, pagsubok na nauugnay sa mga ito, dalas ng pagsubok, at secure na pamamahala ng password;
  • Pagprotekta sa data ng cardholder sa pamamagitan ng pagtukoy ng imbakan, pagpapanatili ng data, at mga parameter ng paggamit ng data at mga kinakailangan sa pag-encrypt, pati na rin ang pagtatakda ng pagpapatupad ng mga protocol ng pag-encrypt at seguridad (SSL / TLS, SSH o IPSec) para sa proteksyon ng data ng cardholder kapag nailipat nang bukas. mga pampublikong network;
  • Ang pagsasagawa ng isang programa ng pamamahala ng kahinaan, na kinabibilangan ng paggamit ng isang program na anti-virus na regular na na-update, aktibo sa lahat ng oras, at bumubuo ng mga tala ng pag-audit. Ang isa pang aspeto ng programa ng pamamahala ng kahinaan ay ang pag-unlad at pagpapanatili ng mga secure na system at aplikasyon, na nakamit sa pamamagitan ng pagsunod sa pag-secure ng mga alituntunin ng coding at pagsusuri ng mga third-party code o pasadyang aplikasyon na may paggalang sa mga kahinaan;
  • Ang pagpapatupad ng mga panukalang kontrol sa pag-access ng gumagamit sa pamamagitan ng pagprotekta ng sensitibong data mula sa hindi awtorisadong pag-access, paglilimita sa pag-access sa pamamagitan ng pag-set up ng mahusay na tinukoy na role-based na control control (RBAC), nagtatalaga ng mga natatanging mga ID ng gumagamit para sa pagsubaybay, gamit ang mga proseso ng pagpapatunay ng two-factor, paghihigpitan sa pisikal na pag-access sa cardholder data;
  • Paggamit ng mga mekanismo ng pag-log upang masubaybayan at subaybayan ang pag-access sa data ng network at cardholder, lumilikha ng isang trail sa pag-audit na dapat mapanatili nang hindi bababa sa isang taon;
  • Ang pagpapatakbo ng regular na panloob na pag-scan ng seguridad sa network (quarterly at pagkatapos ng bawat isa sa bawat makabuluhang pagbabago, pag-upgrade, o pagbabago sa network o imprastraktura), pagsumite sa quarterly ASV (Approved Scanning Vendor) na sinusundan matapos ang pagpasa ng paunang pag-scan sa pagsunod, pagpapatupad ng mga sistema (panghihimasok mga sistema ng deteksyon at mga sistema ng pagsubaybay ng file) upang alerto tungkol sa hindi awtorisadong pagbabago ng mga kritikal na file at kompromiso ng system;
  • Paglikha at pagpapanatili ng isang patakaran sa seguridad ng impormasyon na dapat sakupin ang mga aspeto na may kaugnayan sa screening ng mga tauhan, pagtatasa ng peligro, pagtatasa ng kahinaan, remote access, atbp.

Ang mga negosyong kulang sa kadalubhasaan at / o mga panloob na mapagkukunan upang magsagawa ng isang mahusay na programa sa pagsunod ay dapat humingi ng tulong ng isang panlabas na kasosyo at kwalipikadong tagapayo sa seguridad, na mag-alok ng patnubay na may paggalang sa tanong na Pagsusulat sa Sariling Pagsuri ng PCI-DSS na dapat nilang kumpletuhin, ang mga kinakailangan kailangan nilang matugunan para sa kanilang antas ng pagsunod, mga kakulangan sa imprastraktura na kailangan nilang malutas, atbp.

Ang ilan sa pasanin ng pagtugon sa mga kinakailangang ito ay maaaring maibahagi sa mga kasosyo sa solusyon tulad ng mga tagabigay ng pagho-host, na makakatulong sa pagpapatupad at pagpapanatili ng pisikal, network, at mga kontrol sa system.

Paano Makahanap ang Pinakamahusay na Pag-host sa Web ng PCI

Ang pagpili ng isang mahusay na web hosting ay maaaring maging isang kumplikadong gawain sa sarili nito. Ang pagdaragdag ng pagsunod sa PCI-DSS sa listahan ng iyong mga kinakailangan ay maaaring gawing mas kumplikado ang proseso. Narito ang mga pangunahing bagay na dapat gawin kapag naghahanap para sa isang sumusunod na web hosting ng PCI:

Talakayin ang mga bahagi ng pagsunod sa PCI na isinagawa ng iyong host

Tanungin ang provider ng web hosting tungkol sa mga bahagi ng pagsunod sa PCI na maaari nilang hawakan para sa iyo. Halimbawa, malinaw na sinabi ng HostGator sa kanilang website na ang kanilang VSP at dedikadong mga server ay na-update upang matugunan ang mga kinakailangan sa pagsunod sa server ng PCI. Gayunpaman, ang HostGator ay hindi magbibigay ng suporta para sa pagtiyak na ang mga shopping cart, software ng gateway ng pagbabayad, mga plugin ng shopping cart, atbp na ginagamit ng iyong website ay sumusunod sa PCI, samakatuwid, ang gawaing ito ay pumapalibot sa iyo bilang gumagamit ng mga solusyon na ito.

Kumuha ng higit pang mga detalye tungkol sa bawat sangkap

Dahil ang kabiguan upang matugunan ang mga kinakailangan sa pagsunod sa PCI ay nagdadala ng isang host ng mga panganib na potensyal na nagbabanta sa mismong pagkakaroon ng iyong negosyo, palaging basahin ang pinong pag-print ng mga labis na serbisyo na isinagawa ng iyong kumpanya ng hosting sa iyong pagsisikap na maging sumusunod sa PCI, at humingi ng higit pang mga detalye tungkol sa pinagtibay solusyon upang makita kung ang mga serbisyong ito ay nakahanay sa iyong mga kinakailangan sa pagsunod sa PCI-DSS. Ang mga nagho-host ng mga kumpanya tulad ng Rackspace, ay lumalampas sa simpleng pag-aalok sa iyo ng pagsunod sa server ng server sa pamamagitan ng pagbibigay ng isang host ng iba pang mga serbisyo (hal. Pinamamahalaang firewall, SSL sertipiko, pinamamahalaang mga solusyon sa antivirus, mga serbisyo ng pagtatasa ng kahinaan, firewall ng aplikasyon ng web, atbp.).

Tingnan ang tungkol sa suporta

Ang pag-navigate sa maze ng pagiging sumusunod sa mga pamantayan sa industriya na ipinataw ng mga kumpanya ng credit card ay walang alinlangan na isang mahigpit na proseso para sa sinuman, maging ito ay maliit o malaking negosyo. Ang suportang inaalok sa pagtalakay sa iyong mga pangangailangan at tulong sa paggalugad ng mga serbisyong kailangan mo ay makakatulong na mabawasan ang pagiging kumplikado ng iyong mga pagsisikap sa pagiging sumusunod.

Konklusyon

Mahalagang tandaan na ang pagsunod sa PCI ay isang ibinahaging responsibilidad, at sa pamamagitan ng pagpili ng isang Pagsunod sa pag-host ng PCI, ang isa ay hindi awtomatikong naging sumusunod sa PCI. Ang pagkuha ng isang malinaw na pagtingin mula sa pagkuha ng mga responsibilidad na isinasagawa ng bawat kasosyo sa solusyon ay isang mahalagang hakbang sa pagkamit at pagpapanatili ng pagsunod.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector