มาตรฐาน PCI คืออะไร ค้นหาเว็บโฮสติ้งที่ได้มาตรฐาน PCI ที่ดีที่สุด

เว็บโฮสติ้งที่ดีที่สุดที่สอดคล้องกับ pci


อุตสาหกรรมบัตรชำระเงิน – มาตรฐานความปลอดภัยของข้อมูล (PCI-DSS) เป็นข้อกำหนดจำนวนมากที่นำมาใช้โดยสภามาตรฐานความปลอดภัยของ PCI และมีไว้เพื่อให้มั่นใจว่ามาตรการรักษาความปลอดภัยข้อมูลที่สอดคล้องกันสำหรับผู้ค้าออนไลน์ทั้งหมด มาตรฐานความปลอดภัย PCI (PCI SSC) รวมถึง JCB International, American Express, Discover บริการด้านการเงิน, วีซ่าและมาสเตอร์การ์ดทั่วโลก ผู้ค้าออนไลน์ที่รับชำระเงินผ่าน บริษัท บัตรเครดิตรายใหญ่ต้องปฏิบัติตามข้อกำหนด PCI-DSS.

การประสบความสำเร็จและการคงไว้ซึ่งการปฏิบัติตามอาจเป็นประสบการณ์ที่น่าวิตกแม้แต่กับ บริษัท ออนไลน์ชั้นนำ แต่ผลกระทบที่เกิดจากการรั่วไหลของข้อมูลและความล้มเหลวในการปฏิบัติตามข้อกำหนดด้านค่าใช้จ่ายทำให้ผู้ให้บริการออนไลน์มีความจำเป็นเพื่อให้แน่ใจว่าลูกค้าของพวกเขาจะทำธุรกรรมอย่างปลอดภัย.

ในบทความนี้เรากำลังพูดถึงข้อกำหนดที่สำคัญที่สุดสำหรับการปฏิบัติตาม PCI และวิธีการค้นหา สุดยอดเว็บโฮสติ้งที่ได้มาตรฐาน PCI เพื่อจัดการกลยุทธ์การปฏิบัติตาม PCI ของคุณให้ดีขึ้น.

มันหมายความว่าอะไรที่จะได้มาตรฐาน PCI?

การปฏิบัติตาม PCI เป็นสิ่งจำเป็นสำหรับทุกธุรกิจอีคอมเมิร์ซที่รับบัตรเครดิตโดยไม่คำนึงถึงรายได้และปริมาณธุรกรรม ดังนั้นทั้งสองปัจจัยจะไม่พิจารณาว่าคุณต้องปฏิบัติตามกฎความปลอดภัยของข้อมูลที่กำหนดโดย PCI SSC หรือไม่เนื่องจากแม้แต่ธุรกิจอีคอมเมิร์ซที่มีขนาดเล็กที่สุดที่รับบัตรเครดิตก็ต้องปฏิบัติตามมาตรฐาน PCI-DSS อย่างไรก็ตามจำนวนการทำธุรกรรมบัตรเครดิต / เดบิตกระบวนการทางธุรกิจของคุณเป็นประจำทุกปีจะกำหนดว่าคุณต้องปฏิบัติตามสี่ระดับ ระดับ 1 มีความยุ่งยากในการปฏิบัติตามกฎระเบียบสูงสุดและเป็นมาตรฐานความปลอดภัยที่จำเป็นสำหรับธุรกิจอีคอมเมิร์ซที่ดำเนินการมากกว่า 6,000,000 บัตรเครดิตหรือบัตรเดบิตในช่วง 12 เดือน ในทางตรงกันข้ามระดับ 4 มีปัญหาการปฏิบัติตามขั้นต่ำและเกี่ยวข้องกับธุรกิจออนไลน์ที่ดำเนินธุรกรรมบัตรเครดิตน้อยกว่า 20,000 รายการต่อปี.

ในขณะที่มาตรฐาน PCI-DSS ที่กำหนดโดย PCI SSC ไม่ใช่กฎหมายการปฏิบัติตามมาตรฐานเหล่านี้จะถูกบังคับใช้โดย บริษัท เครดิตเอง ธุรกิจที่พบว่ามีการฝ่าฝืนสามารถคาดหวังค่าปรับจำนวนมาก ($ 5,000 – $ 100,000 ต่อเดือน) และค่าปรับ (การสูญเสียสิทธิ์ในการดำเนินการชำระเงินด้วยบัตรเครดิตเพิ่มค่าธรรมเนียมการดำเนินการต่อธุรกรรมการจ่ายเงินสำหรับบัตรเครดิตที่ถูกละเมิด ขึ้นอยู่กับระดับของการปฏิบัติตาม ฯลฯ ) ค่าปรับและบทลงโทษเหล่านี้สามารถพิสูจน์ได้ว่าเป็นหายนะต่อธุรกิจไม่ต้องพูดถึงการสูญเสียชื่อเสียงที่ธุรกิจสามารถประสบอันเป็นผลมาจากการละเมิด.

แม้ว่ามาตรฐานที่กำหนดและบำรุงรักษาโดย PCI SSC ในท้ายที่สุดจะต้มลงเพื่อรักษาความปลอดภัยข้อมูลผู้ถือบัตร แต่การบรรลุมาตรฐาน PCI นั้นก่อให้เกิดอุปสรรคมากมายสำหรับผู้ค้าออนไลน์ทั่วไป.

สั้น ๆ นี้ข้อกำหนดสำหรับการปฏิบัติตาม PCI ที่ครอบคลุมในมาตรฐาน PCI DSS เต็มรูปแบบที่ผู้ให้บริการออนไลน์ต้องปฏิบัติตาม:

  • การสร้างและบำรุงรักษาเครือข่ายที่ปลอดภัยซึ่งเกี่ยวข้องกับการกำหนดค่าไฟร์วอลล์และเราเตอร์การทดสอบที่เกี่ยวข้องกับความถี่ในการทดสอบและการจัดการรหัสผ่านที่ปลอดภัย
  • การปกป้องข้อมูลผู้ถือบัตรโดยการกำหนดที่เก็บข้อมูลการเก็บข้อมูลและพารามิเตอร์การใช้ข้อมูลและข้อกำหนดการเข้ารหัสรวมถึงการตั้งค่าการใช้งานการเข้ารหัสและโปรโตคอลความปลอดภัย (SSL / TLS, SSH หรือ IPSec) สำหรับการปกป้องข้อมูลผู้ถือบัตร เครือข่ายสาธารณะ
  • การดำเนินการโปรแกรมการจัดการช่องโหว่ซึ่งเกี่ยวข้องกับการใช้โปรแกรมป้องกันไวรัสที่มีการปรับปรุงเป็นประจำใช้งานอยู่ตลอดเวลาและสร้างบันทึกการตรวจสอบ อีกประการหนึ่งของโปรแกรมการจัดการช่องโหว่คือการพัฒนาและบำรุงรักษาระบบและแอพพลิเคชั่นที่ปลอดภัยซึ่งทำได้โดยการปฏิบัติตามแนวทางการเข้ารหัสที่ปลอดภัยและการตรวจสอบโค้ดของบุคคลที่สามหรือแอปพลิเคชันที่กำหนดเอง
  • การนำมาตรการควบคุมการเข้าถึงของผู้ใช้มาใช้อย่างปลอดภัยโดยการปกป้องข้อมูลที่สำคัญจากการเข้าถึงที่ไม่ได้รับอนุญาต จำกัด การเข้าถึงโดยการตั้งค่าการควบคุมการเข้าถึงตามบทบาทที่กำหนดไว้อย่างดี (RBAC) กำหนด ID ผู้ใช้เฉพาะสำหรับการตรวจสอบย้อนกลับ ข้อมูล;
  • ใช้กลไกการบันทึกเพื่อติดตามและตรวจสอบการเข้าถึงเครือข่ายและข้อมูลผู้ถือบัตรสร้างหลักฐานการตรวจสอบที่ต้องเก็บรักษาไว้อย่างน้อยหนึ่งปี
  • การเรียกใช้การสแกนความปลอดภัยเครือข่ายภายในเป็นประจำ (ทุก ๆ ไตรมาสและหลังจากการเปลี่ยนแปลงอัพเกรดหรือดัดแปลงที่สำคัญในเครือข่ายหรือโครงสร้างพื้นฐาน) ส่งไปยัง ASV รายไตรมาส (ผู้ขายสแกนที่ได้รับอนุมัติ) สแกนหลังจากผ่านการสแกนตามมาตรฐานเริ่มต้น ระบบตรวจจับและระบบตรวจสอบไฟล์) เพื่อแจ้งเตือนเกี่ยวกับการแก้ไขไฟล์สำคัญและระบบที่ไม่ได้รับอนุญาต
  • การสร้างและรักษานโยบายความปลอดภัยของข้อมูลที่ควรครอบคลุมประเด็นที่เกี่ยวข้องกับการคัดกรองบุคลากรการประเมินความเสี่ยงการประเมินช่องโหว่การเข้าถึงระยะไกล ฯลฯ.

ธุรกิจที่ไม่มีความเชี่ยวชาญและ / หรือทรัพยากรภายในเพื่อดำเนินการตามโปรแกรมที่มีประสิทธิภาพควรขอความช่วยเหลือจากพันธมิตรภายนอกและที่ปรึกษาด้านความปลอดภัยที่มีคุณสมบัติเหมาะสมซึ่งจะให้คำแนะนำเกี่ยวกับแบบสอบถามการประเมินตนเอง PCI-DSS ที่พวกเขาต้องกรอก พวกเขาต้องพบกับระดับความสอดคล้อง, ข้อบกพร่องของโครงสร้างพื้นฐานที่พวกเขาต้องแก้ไข, ฯลฯ.

ภาระในการปฏิบัติตามข้อกำหนดเหล่านี้บางอย่างสามารถแบ่งปันกับคู่ค้าด้านการแก้ปัญหาเช่นผู้ให้บริการโฮสติ้งซึ่งสามารถช่วยในการติดตั้งและบำรุงรักษาระบบเครือข่ายและระบบควบคุม.

วิธีการค้นหาเว็บโฮสติ้งที่ได้มาตรฐาน PCI

เลือกเว็บโฮสติ้งที่ดีอาจเป็นงานที่ซับซ้อนในตัวเอง การเพิ่มการปฏิบัติตาม PCI-DSS ให้กับรายการความต้องการของคุณสามารถทำให้กระบวนการซับซ้อนยิ่งขึ้น นี่คือสิ่งสำคัญที่ต้องทำเมื่อค้นหาเว็บโฮสติ้งที่ได้มาตรฐาน PCI:

หารือเกี่ยวกับองค์ประกอบการปฏิบัติตาม PCI ที่โฮสต์ของคุณดำเนิน

ถามผู้ให้บริการเว็บโฮสติ้งเกี่ยวกับองค์ประกอบของการปฏิบัติตาม PCI ที่พวกเขาสามารถจัดการให้คุณได้ ตัวอย่างเช่น HostGator ระบุไว้อย่างชัดเจนในเว็บไซต์ว่า VSP และเซิร์ฟเวอร์เฉพาะของพวกเขาได้รับการอัปเดตเพื่อให้เป็นไปตามข้อกำหนด PCI PCI ของเซิร์ฟเวอร์ อย่างไรก็ตาม HostGator จะไม่ให้การสนับสนุนเพื่อให้มั่นใจว่าตะกร้าสินค้าซอฟต์แวร์เกตเวย์การชำระเงินปลั๊กอินตะกร้าสินค้า ฯลฯ ที่เว็บไซต์ของคุณใช้นั้นเป็นไปตามมาตรฐาน PCI ดังนั้นงานนี้รบกวนคุณในฐานะผู้ใช้โซลูชันเหล่านี้.

รับรายละเอียดเพิ่มเติมเกี่ยวกับแต่ละองค์ประกอบ

เนื่องจากความล้มเหลวในการปฏิบัติตามข้อกำหนด PCI นั้นเป็นโฮสต์ของความเสี่ยงที่อาจคุกคามการดำรงอยู่ของธุรกิจของคุณมากอ่านรายละเอียดของบริการพิเศษที่ บริษัท โฮสติ้งของคุณดำเนินการเพื่อให้เป็นไปตามมาตรฐาน PCI และสอบถามรายละเอียดเพิ่มเติมเกี่ยวกับการรับรอง โซลูชั่นเพื่อดูว่าบริการเหล่านี้สอดคล้องกับข้อกำหนดการปฏิบัติตาม PCI-DSS ของคุณหรือไม่ บริษัท ที่ให้บริการโฮสติ้งเช่น Rackspace ไม่เพียง แต่มอบการปฏิบัติตาม PCI เซิร์ฟเวอร์ให้คุณโดยการให้บริการโฮสต์อื่น ๆ (เช่นไฟร์วอลล์ที่มีการจัดการใบรับรอง SSL, โซลูชั่นแอนติไวรัสที่มีการจัดการ, บริการประเมินความเสี่ยง, ไฟร์วอลล์แอปพลิเคชันเว็บเป็นต้น).

ดูเกี่ยวกับการสนับสนุน

การนำเขาวงกตของการเป็นไปตามมาตรฐานอุตสาหกรรมที่กำหนดโดย บริษัท บัตรเครดิตไม่ต้องสงสัยเลยว่ากระบวนการที่มีพลังสำหรับทุกคนไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือใหญ่ การสนับสนุนที่มีให้ในการพูดคุยเกี่ยวกับความต้องการของคุณและช่วยในการสำรวจบริการที่คุณต้องการสามารถช่วยลดความซับซ้อนของความพยายามในการเป็นไปตามข้อกำหนด.

ข้อสรุป

สิ่งสำคัญคือต้องจำไว้ว่าการปฏิบัติตาม PCI เป็นความรับผิดชอบร่วมกันและโดยการเลือก การโฮสต์ตามมาตรฐาน PCI, จะไม่เข้ากันได้กับ PCI โดยอัตโนมัติ การรับมุมมองที่ชัดเจนจากการได้รับความรับผิดชอบที่ดำเนินการโดยแต่ละโซลูชันคู่ค้าเป็นขั้นตอนสำคัญในการบรรลุและรักษาความสอดคล้อง.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map