Kas ir PCI atbilstība? Atrodiet labāko ar PCI saderīgu Web mitināšanu

01.06.2020
Raksti un vēl ... 'Kas ir PCI atbilstība? Atrodiet labāko ar PCI saderīgu Web mitināšanu
0 9 мин.

labākais ar PCI saderīgs tīmekļa mitināšana


Maksājumu karšu nozare – datu drošības standarti (PCI-DSS) ir plašs prasību kopums, ko pieņēmusi PCI drošības standartu padome, un to mērķis ir nodrošināt konsekventus datu drošības pasākumus visiem tiešsaistes tirgotājiem. PCI drošības standartu padome (PCI SSC) ietilpst JCB International, American Express, Discover Financial Services, VISA un MasterCard Worldwide. Ikvienam tiešsaistes tirgotājam, kurš pieņem maksājumus, izmantojot lielākās kredītkaršu firmas, ir saistošas ​​PCI-DSS prasības.

Atbilstības sasniegšana un uzturēšana var radīt nervu sabojājošu pieredzi pat lielākajiem tiešsaistes uzņēmumiem, nemaz nerunājot par mazajiem tirgotājiem. Bet datu pārkāpumu un atbilstības prasību neievērošanas dārgās sekas tiešsaistes pakalpojumu sniedzējiem obligāti nodrošina, ka viņu klienti veic drošus darījumus..

Šajā rakstā mēs apspriežam dažas no vissvarīgākajām PCI atbilstības prasībām un to, kā atrast labākais ar PCI saderīgs tīmekļa mitināšana lai labāk pārvaldītu PCI atbilstības stratēģiju.

Ko nozīmē būt saderīgam ar PCI??

PCI ievērošana ir obligāta visiem e-komercijas uzņēmumiem, kas pieņem kredītkartes, neatkarīgi no ieņēmumiem un darījumu apjoma. Tādēļ šie divi faktori nenoteiks, vai jums ir jāievēro PCI SSC noteiktie datu drošības noteikumi, ņemot vērā, ka PCI-DSS standarti ir saistoši pat vismazākajam e-komercijas uzņēmumam, kas pieņem kredītkarti; tomēr kredītkaršu / debetkaršu darījumu skaits, ko jūsu biznesa procesi veic gadā, noteiks, kurš no četriem atbilstības līmeņiem jums jāpanāk. 1. līmenim ir visaugstākās atbilstības grūtības, un tas ir drošības standarts, kas jāsasniedz e-komercijas uzņēmumiem, kuri 12 mēnešu laikā apstrādā vairāk nekā 6 000 000 kredītkaršu vai debetkaršu. No otras puses, 4. līmenim ir viszemākās atbilstības grūtības, un tas attiecas uz tiešsaistes uzņēmumiem, kas gadā apstrādā mazāk nekā 20 000 kredītkaršu darījumu..

Kaut arī PCI-DSS noteiktie PCI-DSS standarti nav tiesību akti, atbilstību šiem standartiem nodrošina pašas kredītkompānijas. Uzņēmumi, par kuriem tiek konstatēts pārkāpums, var sagaidīt ievērojamas soda naudas (USD 5 000 – USD 100 000 mēnesī) un soda naudas (zaudētas tiesības apstrādāt kredītkaršu maksājumus, palielinās maksu par katru darījumu apstrāde, maksājumi par kredītkartēm, kas ir apdraudēta pārkāpuma dēļ, pārcelšanās paaugstināt atbilstības līmeni utt.). Šie naudas sodi var izrādīties katastrofāli biznesam, nemaz nerunājot par reputācijas zaudēšanu, ko uzņēmumam var ciest pārkāpuma rezultātā.

Kaut arī PCI SSC noteiktie un uzturētie standarti galu galā ir saistīti ar karšu īpašnieku datu drošību, PCI ievērošanas panākšana rada daudzus šķēršļus vidējam tiešsaistes tirgotājam..

Īsumā ir PCI atbilstības prasības, kas ietvertas pilnajos PCI DSS standartos, kas tiešsaistes pakalpojumu sniedzējiem jāievēro:

  • Droša tīkla izveidošana un uzturēšana, kas ietver ugunsmūra un maršrutētāja konfigurācijas, ar tām saistīto testēšanu, testēšanas biežumu un drošu paroļu pārvaldību;
  • Kartes turētāja datu aizsardzība, definējot glabāšanas, datu saglabāšanas un datu izmantošanas parametrus un šifrēšanas prasības, kā arī šifrēšanas un drošības protokolu (SSL / TLS, SSH vai IPSec) ieviešana kartes turētāja datu aizsardzībai, ja tos pārsūta pa atvērtu, publiskie tīkli;
  • Ievainojamības pārvaldības programmas izpilde, kas ietver pretvīrusu programmas izmantošanu, kas tiek regulāri atjaunināta, visu laiku aktīva un ģenerē audita žurnālus. Vēl viens ievainojamības pārvaldības programmas aspekts ir drošu sistēmu un lietojumprogrammu izstrāde un uzturēšana, kas tiek panākta, ievērojot drošas kodēšanas vadlīnijas un pārskatot trešo personu kodus vai pielāgotas lietojumprogrammas attiecībā uz ievainojamību;
  • Drošu lietotāju piekļuves kontroles pasākumu ieviešana, aizsargājot sensitīvus datus no nesankcionētas piekļuves, piekļuves ierobežošana, iestatot precīzi definētu, uz lomu balstītu piekļuves kontroli (RBAC), piešķirot izsekojamībai unikālus lietotāja ID, izmantojot divu faktoru autentifikācijas procesus, ierobežojot fizisku piekļuvi kartes īpašniekam dati;
  • Reģistrēšanas mehānismu izmantošana, lai izsekotu un uzraudzītu piekļuvi tīkla un karšu īpašnieku datiem, izveidojot audita pierakstu, kas jāsaglabā vismaz gadu;
  • Regulāru iekšējā tīkla drošības skenēšanu (katru ceturksni un pēc visām nozīmīgām tīkla, infrastruktūras izmaiņām, jauninājumiem vai modifikācijām), pēc ceturkšņa ASV (Apstiprināts skenēšanas piegādātājs) skenēšanas iesniegšana pēc sākotnējās atbilstības skenēšanas, sistēmu ieviešanas (ielaušanās) detektēšanas sistēmas un failu uzraudzības sistēmas), lai brīdinātu par neatļautu kritisko failu modificēšanu un sistēmas kompromitēšanu;
  • Informācijas drošības politikas izveidošana un uzturēšana, kurai būtu jāaptver aspekti, kas saistīti ar personāla pārbaudi, riska novērtējumu, ievainojamības novērtēšanu, attālinātu piekļuvi utt..

Uzņēmumiem, kuriem trūkst kompetences un / vai iekšēju resursu efektīvas atbilstības programmas izpildei, vajadzētu meklēt palīdzību no ārēja partnera un kvalificēta konsultanta drošības jautājumos, kurš piedāvās norādījumus attiecībā uz PCI-DSS pašnovērtējuma anketu, kas viņiem jāaizpilda, un prasībām. viņiem ir jāatbilst atbilstības līmenim, infrastruktūras trūkumiem, kas viņiem jāatrisina, utt.

Daļu no šo prasību izpildes sloga var dalīt ar risinājumu partneriem, piemēram, mitināšanas pakalpojumu sniedzējiem, kuri var palīdzēt fizisko, tīkla un sistēmas vadības ieviešanā un uzturēšanā..

Kā atrast labāko ar PCI saderīgu tīmekļa mitināšanu

Laba tīmekļa mitināšanas izvēle pati par sevi var būt sarežģīts uzdevums. PCI-DSS atbilstības pievienošana jūsu prasību sarakstam var padarīt procesu vēl sarežģītāku. Šīs ir galvenās lietas, kas jādara, meklējot ar PCI saderīgu tīmekļa mitināšanu:

Pārrunājiet PCI atbilstības komponentus, ko uzņēmusies jūsu uzņēmēja

Jautājiet tīmekļa mitināšanas pakalpojumu sniedzējam par PCI atbilstības komponentiem, ar kuriem viņi var tikt galā jūsu labā. Piemēram, HostGator savā vietnē skaidri norāda, ka viņu VSP un īpaši serveri ir atjaunināti, lai atbilstu servera PCI atbilstības prasībām. Tomēr HostGator nesniegs atbalstu, lai nodrošinātu, ka jūsu vietnē izmantotie iepirkumu grozi, norēķinu vārtejas programmatūra, iepirkumu groza spraudņi utt. Ir saderīgi ar PCI, tāpēc šis uzdevums apgrūtina jūs kā šo risinājumu lietotāju..

Iegūstiet sīkāku informāciju par katru komponentu

Tā kā PCI atbilstības prasību neizpilde rada virkni risku, kas potenciāli var apdraudēt jūsu biznesa pastāvēšanu, vienmēr izlasiet papildu pakalpojumus, ko jūsu hostinga uzņēmums veicis, cenšoties kļūt par PCI, un lūdziet sīkāku informāciju par pieņemtajiem. risinājumi, lai noskaidrotu, vai šie pakalpojumi atbilst jūsu PCI-DSS atbilstības prasībām. Hostinga kompānijas, piemēram, Rackspace, pārsniedz jūsu servera PCI ievērošanu, piedāvājot daudzus citus pakalpojumus (piemēram, pārvaldītu ugunsmūri, SSL sertifikātus, pārvaldītus pretvīrusu risinājumus, ievainojamības novērtēšanas pakalpojumus, tīmekļa lietojumprogrammu ugunsmūri utt.)..

Skatīt par atbalstu

Navigācija par labirintu, lai panāktu atbilstību nozares standartiem, kurus nosaka kredītkaršu firmas, bez šaubām, ir grūts process ikvienam, neatkarīgi no tā, vai tas ir mazs vai liels bizness. Atbalsts, kas tiek piedāvāts, apspriežot jūsu vajadzības, un palīdzība nepieciešamo pakalpojumu izpētē, var palīdzēt mazināt jūsu centienus kļūt atbilstošiem.

Secinājums

Ir svarīgi atcerēties, ka PCI ievērošana ir dalīta atbildība, un izvēloties a PCI saderīga mitināšana, viens automātiski nekļūst saderīgs ar PCI. Lai iegūtu skaidru priekšstatu par katra risinājumu partnera pienākumiem, ir svarīgs solis atbilstības sasniegšanā un uzturēšanā.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector