Что такое PCI-совместимость? Найти лучший PCI-совместимый хостинг

01.06.2020
Статьи & Больше… 'Что такое PCI-совместимость? Найти лучший PCI-совместимый хостинг
0 5 мин.

лучший веб-хостинг, совместимый с pci


Индустрия платежных карт – стандарты безопасности данных (PCI-DSS) представляют собой обширный набор требований, принятых Советом по стандартам безопасности PCI, и призваны обеспечить согласованные меры безопасности данных для всех онлайн-продавцов. Совет по стандартам безопасности PCI (PCI SSC) включает в себя JCB International, American Express, Discover Financial Services, VISA и MasterCard Worldwide. Любой онлайн-продавец, принимающий платежи через крупные компании-эмитенты кредитных карт, связан требованиями PCI-DSS..

Достижение и поддержание соответствия может быть нервным переживанием даже для крупных онлайн-компаний, не говоря уже о мелких продавцах. Но дорогостоящие последствия взлома данных и несоблюдения требований соответствия заставляют поставщиков онлайн-услуг обеспечивать безопасную работу своих клиентов..

В этой статье мы обсуждаем некоторые из наиболее важных требований к соответствию PCI и как найти лучший PCI-хостинг чтобы лучше управлять вашей стратегией соответствия PCI.

Что значит быть PCI-совместимым?

Соответствие PCI является обязательным для всех предприятий электронной коммерции, которые принимают кредитные карты, независимо от дохода и объема транзакций. Следовательно, эти два фактора не будут определять, следует ли вам придерживаться правил безопасности данных, установленных PCI SSC, учитывая, что даже самая маленькая коммерческая компания, принимающая кредитную карту, связана стандартами PCI-DSS; однако количество транзакций по кредитным / дебетовым картам, которые ваши бизнес-процессы будут проводить ежегодно, будет определять, какого из четырех уровней соответствия вам необходимо достичь. Уровень 1 имеет наибольшую сложность соответствия, и это стандарт безопасности, которого должны придерживаться предприятия электронной коммерции, которые обрабатывают более 6 000 000 кредитных или дебетовых карт в течение 12-месячного периода. С другой стороны, уровень 4 сопряжен с наименьшей сложностью соблюдения требований и касается онлайн-предприятий, которые обрабатывают менее 20 000 транзакций по кредитным картам в год..

Хотя стандарты PCI-DSS, определенные PCI SSC, не являются законом, соответствие этим стандартам обеспечивается самими кредитными компаниями. Компании, уличенные в нарушении, могут ожидать значительных штрафов (от 5000 до 100 000 долларов США в месяц) и штрафов (потеря права на обработку платежей по кредитным картам, увеличение сборов за обработку транзакций, оплата за кредитные карты, скомпрометированные из-за нарушения, перемещение уровень соответствия и т. д.). Эти штрафы и штрафы могут оказаться катастрофическими для бизнеса, не говоря уже о потере репутации, которую бизнес может понести в результате нарушения.

Хотя стандарты, определенные и поддерживаемые PCI SSC, в конечном итоге сводятся к защите данных держателей карт, достижение соответствия PCI создает множество препятствий для среднего интернет-продавца..

Вот, в двух словах, требования к соответствию PCI, охватываемые полными стандартами PCI DSS, которых должны придерживаться поставщики онлайн-услуг:

  • Создание и поддержание защищенной сети, которая включает в себя настройки брандмауэра и маршрутизатора, тестирование, связанное с ними, частоту тестирования и безопасное управление паролями;
  • Защита данных держателя карты путем определения параметров хранения, хранения данных и использования данных, а также требований к шифрованию, а также определения реализации протоколов шифрования и безопасности (SSL / TLS, SSH или IPSec) для защиты данных держателя карты при передаче через открытый, публичные сети;
  • Выполнение программы управления уязвимостями, которая включает использование антивирусной программы, которая регулярно обновляется, постоянно работает и генерирует журналы аудита. Другим аспектом программы управления уязвимостями является разработка и обслуживание безопасных систем и приложений, что достигается за счет соблюдения руководящих принципов безопасного кодирования и анализа стороннего кода или пользовательских приложений на предмет уязвимостей;
  • Внедрение безопасных мер контроля доступа пользователей путем защиты конфиденциальных данных от несанкционированного доступа, ограничения доступа путем настройки четко определенного контроля доступа на основе ролей (RBAC), назначения уникальных идентификаторов пользователей для отслеживания, использования процессов двухфакторной аутентификации, ограничения физического доступа для держателя карты данные;
  • Использование механизмов регистрации для отслеживания и мониторинга доступа к данным сети и держателей карт, создание контрольного журнала, который должен храниться не менее года;
  • Выполнение регулярных проверок безопасности внутренней сети (ежеквартально и после каждого существенного изменения, обновления или модификации в сети или инфраструктуре), отправка на ежеквартальные проверки ASV (утвержденный поставщик сканирования) после прохождения начального сканирования соответствия, внедрение систем (вторжение системы обнаружения и системы контроля файлов) для предупреждения о несанкционированном изменении критических файлов и взломе системы;
  • Создание и поддержание политики информационной безопасности, которая должна охватывать аспекты, связанные с проверкой персонала, оценкой рисков, оценкой уязвимостей, удаленным доступом и т. Д..

Компании, которым не хватает опыта и / или внутренних ресурсов для выполнения эффективной программы обеспечения соответствия, должны обратиться за помощью к внешнему партнеру и квалифицированному советнику по безопасности, который предложит рекомендации относительно анкеты самооценки PCI-DSS, которую они должны заполнить, требований они должны соответствовать их уровню соответствия, недостаткам инфраструктуры, которые они должны решить, и т. д..

Некоторое бремя выполнения этих требований можно разделить с партнерами по решениям, такими как хостинг-провайдеры, которые могут помочь с внедрением и поддержанием физических, сетевых и системных элементов управления.

Как найти лучший PCI-хостинг

Выбор хорошего веб-хостинга может быть сложной задачей сам по себе. Добавление соответствия PCI-DSS в список ваших требований может сделать процесс еще более сложным. Вот основные действия при поиске веб-хостинга, соответствующего PCI:

Обсудите компоненты соответствия PCI, принятые вашим хостом

Спросите поставщика услуг веб-хостинга о компонентах соответствия PCI, которые они могут обработать для вас. Например, HostGator четко заявляет на своем веб-сайте, что их VSP и выделенные серверы были обновлены в соответствии с требованиями соответствия PCI сервера. Однако HostGator не будет предоставлять поддержку для обеспечения того, чтобы корзины для покупок, программное обеспечение шлюза платежей, плагины корзин покупок и т. Д., Используемые на вашем веб-сайте, были совместимы с PCI, поэтому эта задача обременяет вас как пользователя этих решений.

Получить более подробную информацию о каждом компоненте

Поскольку несоблюдение требований соответствия PCI сопряжено с множеством рисков, потенциально угрожающих самому существованию вашего бизнеса, всегда читайте мелкий шрифт дополнительных услуг, предоставляемых вашей хостинговой компанией, чтобы стать PCI-совместимым, и запрашивайте более подробную информацию о принятых решения, чтобы увидеть, соответствуют ли эти услуги вашим требованиям соответствия PCI-DSS. Такие хостинговые компании, как Rackspace, выходят за рамки простого предоставления вам соответствия PCI сервера, предоставляя множество других услуг (например, управляемый брандмауэр, сертификаты SSL, управляемые антивирусные решения, службы оценки уязвимостей, брандмауэр веб-приложений и т. Д.).

Смотрите о поддержке

Навигация в лабиринте соответствия отраслевым стандартам, установленным компаниями-эмитентами кредитных карт, без сомнения, является сложным процессом для всех, будь то малый или крупный бизнес. Поддержка, предлагаемая при обсуждении ваших потребностей и помощь в изучении необходимых вам услуг, может помочь снизить сложность ваших усилий по достижению соответствия.

Вывод

Важно помнить, что соблюдение PCI является общей ответственностью, и выбрав PCI-совместимый хостинг, один автоматически не становится PCI-совместимым. Получение четкого представления об обязанностях каждого партнера по решениям является важным шагом в достижении и поддержании соответствия.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector