Що таке відповідність PCI? Знайти найкращий веб-хостинг, сумісний з PCI

01.06.2020
Статті та більше ... 'Що таке відповідність PCI? Знайти найкращий веб-хостинг, сумісний з PCI
0 6 мин.

найкращий веб-хостинг, сумісний з ПКІ


Індустрія платіжних карток – Стандарти захисту даних (PCI-DSS) – це широкий набір вимог, прийнятих Радою стандартів безпеки PCI, і це покликане забезпечити послідовні заходи безпеки даних для всіх онлайн-продавців. The Рада стандартів безпеки PCI (PCI SSC) включає JCB International, American Express, Discover Financial Services, VISA та MasterCard Worldwide. Будь-який продавець в Інтернеті, який приймає платежі через великі компанії з кредитних карт, пов’язаний вимогами PCI-DSS.

Досягнення та підтримка відповідності може бути вражаючим досвідом навіть для великих інтернет-компаній, не кажучи вже про дрібних торговців. Але дорогі наслідки порушення даних та невиконання вимог дотримання зобов’язують постачальників онлайн-послуг гарантувати, що їхні клієнти здійснюють безпечну операцію..

У цій статті ми обговорюємо деякі найважливіші вимоги щодо відповідності PCI та способи їх пошуку найкращий веб-хостинг, сумісний з PCI щоб краще керувати вашою стратегією відповідності PCI.

Що означає бути сумісним із PCI?

Відповідність PCI є необхідною для всіх підприємств електронної комерції, які приймають кредитну карту, незалежно від доходу та обсягу транзакцій. Отже, ці два фактори не визначають, чи потрібно дотримуватися правил безпеки даних, встановлених PCI SSC, враховуючи, що навіть найменший бізнес з електронної комерції, що приймає кредитну карту, пов’язаний стандартами PCI-DSS; однак кількість транзакцій з кредитною / дебетовою карткою, які ваші бізнес-процеси обробляють щорічно, визначатиме, який із чотирьох рівнів відповідності вам потрібно досягти. Рівень 1 має найвищі труднощі з дотриманням вимог, і це стандарт безпеки, якого необхідно досягти підприємствам електронної комерції, які обробляють понад 6 000 000 кредитних чи дебетових карток протягом 12 місяців. З іншого боку, рівень 4 має найменші труднощі з дотриманням вимог, і це стосується інтернет-бізнесу, який обробляє менше 20 000 транзакцій кредитними картками щорічно.

Хоча стандарти PCI-DSS, визначені PCI SSC, не є законом, відповідність цим стандартам забезпечується самими кредитними компаніями. Компанії, за яких виявлено порушення, можуть очікувати значних штрафів (5000 – 100 000 доларів на місяць) та штрафних санкцій (втрата права на обробку платежів кредитною карткою, збільшення плати за обробку за транзакцію, оплата кредитних карток, порушених через порушення, переміщення підвищити рівень відповідності тощо). Ці штрафи та штрафи можуть виявитись катастрофічними для бізнесу, не кажучи вже про втрату репутації, яку бізнес може зазнати внаслідок порушення.

Хоча стандарти, визначені та підтримувані PCI SSC, врешті-решт зводяться до захисту даних власників картки, досягнення відповідності PCI створює багато перешкод для середнього онлайн-продавця.

Ось у двох словах, вимоги щодо відповідності PCI, які охоплюються повними стандартами PCI DSS, яких повинні дотримуватися постачальники послуг в Інтернеті:

  • Побудова та підтримка захищеної мережі, яка передбачає конфігурацію брандмауера та маршрутизатора, тестування, пов’язані з ними, частоту тестування та безпечне керування паролем;
  • Захист даних власників карт шляхом визначення сховища, збереження даних та параметрів використання даних та вимог до шифрування, а також встановлення реалізації протоколів шифрування та безпеки (SSL / TLS, SSH або IPSec) для захисту даних власників карт при передачі через відкриті, публічні мережі;
  • Виконання програми управління вразливістю, яка передбачає використання антивірусної програми, яка регулярно оновлюється, є активною у будь-який час та створює журнали аудиту. Ще одна грань програми управління вразливістю – це розробка та підтримка захищених систем та додатків, що досягається завдяки дотриманню вказівок щодо безпечного кодування та огляду сторонніх кодів або спеціальних програм щодо вразливості;
  • Реалізація безпечних заходів контролю доступу користувачів шляхом захисту конфіденційних даних від несанкціонованого доступу, обмеження доступу шляхом встановлення чітко визначеного рольового контролю доступу (RBAC), призначення унікальних ідентифікаторів користувачів для відстеження, використовуючи двофакторні процеси аутентифікації, обмежуючи фізичний доступ власнику картки дані;
  • Використовуючи механізми ведення журналу для відстеження та моніторингу доступу до даних власників мережі та картки, створюючи аудиторський слід, який повинен зберігатися принаймні рік;
  • Запуск регулярних сканувань безпеки внутрішньої мережі (щоквартально та після кожної суттєвої зміни, оновлення чи зміни в мережі чи інфраструктурі), подання щоквартальних сканувань ASV (затвердженого скануючого постачальника) після проходження початкового сканування відповідності, впровадження систем (вторгнення системи виявлення та системи моніторингу файлів) для попередження щодо несанкціонованої модифікації критичних файлів та системного компромісу;
  • Створення та підтримка політики захисту інформації, яка повинна охоплювати аспекти, пов’язані з обстеженням персоналу, оцінкою ризику, оцінкою вразливих ситуацій, віддаленим доступом тощо.

Компанії, яким не вистачає досвіду та / або внутрішніх ресурсів для виконання ефективної програми відповідності, повинні звернутися за допомогою до зовнішнього партнера та кваліфікованого радника з питань безпеки, який запропонує керівництво стосовно Анкети PCS-DSS щодо самооцінки, яку вони повинні заповнити, вимог вони повинні задовольняти рівень їх відповідності, недоліки в інфраструктурі, які вони мають вирішити тощо.

Деякий тягар виконання цих вимог можна поділити з партнерами з рішень, такими як хостинг-провайдери, які можуть допомогти у впровадженні та підтримці фізичного, мережевого та системного контролю.

Як знайти найкращий веб-хостинг, сумісний з PCI

Вибір хорошого веб-хостингу може бути складним завданням сам по собі. Додавання відповідності PCI-DSS до списку ваших вимог може зробити процес ще складнішим. Ось основні речі, які потрібно зробити при пошуку веб-хостингу, сумісного з PCI:

Обговоріть компоненти відповідності PCI, прийняті вашим хостом

Запитайте постачальника веб-хостингу про компоненти відповідності PCI, з якими вони можуть працювати. Наприклад, HostGator чітко зазначає на своєму веб-сайті, що їх VSP та виділені сервери були оновлені, щоб відповідати вимогам відповідності сервера PCI. Однак HostGator не надасть підтримку для того, щоб кошики для покупок, програмне забезпечення для платіжних шлюзів, плагіни кошика тощо, які використовуються на вашому веб-сайті, сумісні з PCI, тому ця задача обтяжує вас як користувача цих рішень.

Отримати детальну інформацію про кожен компонент

Оскільки невиконання вимог дотримання вимог PCI несе в собі безліч ризиків, які можуть загрожувати самому існуванню вашого бізнесу, завжди читайте тонкий шрифт додаткових послуг, здійснених вашою компанією, що займається хостингом, у своїх зусиллях, щоб стати сумісними з PCI, і запитайте більше інформації про прийняті рішення, щоб побачити, чи ці послуги відповідають вашим вимогам відповідності PCI-DSS. Хостингові компанії, такі як Rackspace, виходять за рамки простого пропонування сервісної PCI відповідності, надаючи безліч інших послуг (наприклад, керований брандмауер, сертифікати SSL, керовані антивірусні рішення, послуги з оцінки вразливості, брандмауер веб-додатків тощо)..

Дивіться про підтримку

Навігація по лабіринту щодо відповідності галузевим стандартам, накладеним компаніями з кредитних карток, без сумніву, є важким процесом для будь-кого, будь то малий чи великий бізнес. Підтримка в обговоренні ваших потреб та допомога в дослідженні потрібних вам послуг можуть допомогти зменшити складність ваших зусиль щодо досягнення сумісності..

Висновок

Важливо пам’ятати, що відповідність PCI – це спільна відповідальність, а також вибрати вибір Хостинг, сумісний з PCI, один автоматично не стає сумісним із PCI. Досягнення чіткого погляду від виконання обов’язків кожного партнера з рішень є важливим кроком у досягненні та підтримці відповідності.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector