Полное руководство по соблюдению требований PCI для электронной коммерции

Следующая статья поможет вам: Полное руководство по соблюдению требований PCI для электронной коммерции

В настоящее время продажи в электронной коммерции растут быстрее, чем когда-либо. Согласно инсайдерской информации, только розничные продажи электронной коммерции в США увеличатся на 16,1% в 2022 году до $1,06 трлн.

В исследовательской статье 2022 года также утверждается, что на 10% больше, чем в 2020 году, более 56% покупателей предпочитают делать покупки в Интернете.

Люди предоставляют заслуживающим доверия брендам дополнительную личную и финансовую информацию, когда все больше людей совершают покупки в Интернете. Это делает необходимым для вас инвестировать в соответствие PCI для вашего веб-сайта электронной коммерции.

К сожалению, хакеры выходят из укрытия, чтобы попытаться украсть конфиденциальные данные аутентификации, которыми пользователи делятся в Интернете. Кроме того, если ваш бизнес принимает платежи в Интернете, вы в его целевом списке.

В соответствии с исследовать, хакеры не останавливаются. Пик мошеннических попыток входа в систему составил от 84,71% до 93,84% за год, увеличившись на 9,13%. Несколько крупнейших предприятий электронной коммерции, в том числе Facebook, Amazonи Bonobos сталкивались с утечками данных за последние 18 месяцев.

В то время как люди предпочитают делать покупки в Интернете, предприятия и продавцы должны понимать, что клиенты будут использовать ваш бизнес только в том случае, если они будут чувствовать себя в безопасности, совершая там покупки. Поскольку они не доверяли веб-сайту информацию о своей кредитной карте, 18% потребителей отказались от своих корзин.

Заинтересованы в наших решениях для развития электронной коммерции?

• Достигните видения своего бренда
• Запустите превосходный цифровой опыт
• Ускорьте трансформацию бизнеса

Понимание PCI-совместимой электронной коммерции

Индустрия разработки веб-сайтов электронной коммерции знает, что стандарт безопасности данных индустрии платежных карт называется соответствием PCI DSS. Интеграция платежного шлюза разработала этот стандарт информационной безопасности для усиления контроля, процедур и проверок, которые защищают данные держателей карт.

Согласно компании-разработчику электронной коммерции, любой бизнес, который получает, обрабатывает или передает информацию о кредитных картах от таких компаний, как American Express, Visa, Discover, Mastercard и JCB, подпадает под действие этого правила.

Службы развития электронной коммерции знают, что стандарт PCI DSS был создан PCI SSC, созданным в декабре 2004 года крупными компаниями, выпускающими кредитные карты. По данным PCI SSC, с тех пор стандарты PCI DSS претерпели многочисленные обновления. В марте 2022 года стала доступна самая последняя редакция PCI DSS v4.0.

Электронная коммерция, соответствующая стандарту PCI, имеет преимущества, помимо защиты вашего бизнеса и данных ваших клиентов. Безопасный сайт электронной коммерции повышает уровень доверия клиентов, что необходимо для создания постоянного бизнеса.

Кроме того, соблюдение контрольного списка требований PCI создает прочную основу для соблюдения других законов, а также укрепляет вашу репутацию среди важных деловых партнеров. Соответствие PCI означает, что вы не только поддерживаете политику безопасности вашей организации, но и значительно продвигаете международные инициативы в области безопасности.

В документе совета указано, что PCI DSS v4.0 включает следующие модификации:

Расширение использования многофакторной аутентификации и изменение требований к паролям для постоянного удовлетворения требований безопасности платежного сектора.

Повышение безопасности — это непрерывный процесс предотвращения киберпреступлений. Одним из примеров является добавление инструкций, помогающих пользователям настроить и поддерживать безопасность.

Повышение организационной гибкости для поддержки разработки новых моделей платежных приложений. Разрешено использование общих, групповых и общих учетных записей.

Улучшение методов проверки и подходов для обеспечения прозрачности. Улучшенная отчетность является частью электронной коммерции PCI Compliance.

Целью стандартов соответствия PCI для электронной коммерции является защита эмитентов карт и держателей карт, гарантируя, что продавцы соблюдают международные операционные, технические стандарты и стандарты безопасности для защиты всех платежных данных.

Должен ли ваш бизнес электронной коммерции инвестировать в веб-сайт, соответствующий PCI?

Вы можете задаться вопросом, является ли обязательной необходимость перехода на PCI-совместимую электронную коммерцию. Да и нет, я полагаю.

Технически соответствие PCI для электронной коммерции не требуется федеральным законодательством США, но в некоторых штатах требуется. Кроме того, когда ваша фирма достигает определенного размера, все основные эмитенты кредитных карт требуют соблюдения требований PCI.

Если вы не соблюдаете требования, у эмитентов кредитных карт есть следующие варианты:

• Оценить штрафы (от 5000 до 500 000 долларов в месяц);
• Приостановить вашу способность использовать вашу кредитную карту
• Уведомление об общей точке покупки должно быть выпущено.
• Обвинение в мошенничестве против вас

Согласно разработке веб-сайта электронной коммерции, любая розничная организация, которая участвует в транзакциях с основными поставщиками кредитных карт, требует от этих программ соблюдения правил PCI DSS.

Информация о кредитных картах доступна для розничных продавцов, и они не просто хранят ее в закрытом ящике. Он передается и обрабатывается, часто с помощью сторонних поставщиков, с которыми магазин может вести дела.

Таким образом, розничные продавцы могут определить основные политики, средства контроля или практики, которые им необходимо внедрить, чтобы помочь снизить киберриски, характерные для розничной торговли, путем соблюдения требований PCI DSS.

Избежание штрафов не является целью соблюдения правил соответствия PCI для электронной коммерции. Речь идет о защите личной информации ваших клиентов. Легитимность вашей компании и доверие ваших потребителей повышаются, когда вы принимаете все меры предосторожности, чтобы уменьшить вероятность утечки данных.

Когда клиент оформляет заказ, ваш SSL должен передать данные его кредитной карты на ваш торговый счет. Таким образом третья сторона, которая работает с кредитными картами вместо вашей базы данных, получит зашифрованный номер карты. Информация о кредитной карте не должна храниться в вашей базе данных.

Хранение номеров может привести к проблемам с безопасностью, поскольку, если администрация вашего сайта будет взломана, номера кредитных карт могут быть украдены.

Несколько случаев утечки данных

В результате взлома базы данных компании российскими агентами и компрометации трех миллиардов учетных записей в 2013 году Yahoo! обвиняют в крупнейшей утечке данных в истории.

Вот несколько случаев самых последних утечек данных розничных кредитных карт.

Нейман Маркус

Нейман Маркус обнаружил утечку данных в 2021 году, в результате которой были скомпрометированы 4,6 миллиона учетных записей пользователей. Имена клиентов, пароли, контактная информация, имена пользователей, номера кредитных карт и даже виртуальные подарочные карты были среди украденных данных. Нейман Маркус потребовал от всех клиентов сбросить свои пароли в результате инцидента с данными.

NLA (Одежда следующего уровня)

После фишингового мошенничества Next Level Apparel предупредила клиентов в пресс-релизе в 2021 году. Номера социального страхования, номера кредитных карт, номера основных учетных записей и номера лицензий были среди данных, к которым хакеры получили неправомерный доступ. В результате NLA предложила своим клиентам улучшенные стандарты безопасности электронной почты и дополнительные меры защиты.

Взлом Black Friday Cyber ​​Monday в 2021 году

Из-за «известной уязвимости в Magento» хакеры атаковали 4151 магазин электронной коммерции в 2021 году во время крупнейших торговых выходных года.

Хакеры получили доступ к большинству этих самостоятельных магазинов электронной коммерции Magento, которые содержали информацию о клиентах и ​​платежах. Программа активной киберзащиты NCSC Великобритании обнаружила брешь в системе безопасности и посоветовала ритейлерам установить строгие обновления безопасности.

Требования соответствия PCI для электронной коммерции

В зависимости от того, являетесь ли вы поставщиком услуг или продавцом, ваш уровень соответствия будет меняться. Для продавцов электронной коммерции доступны четыре основных уровня соответствия, и каждый из них может значительно измениться из-за системы кредитных карт.

Количество транзакций, которые вы ежегодно проводите через каждого поставщика кредитных карт, поможет вам рассчитать ваш уровень соответствия PCI. Чтобы помочь вам определить свои собственные, давайте более подробно рассмотрим уровни соответствия Discover, Visa и Mastercard.

1-й уровень

Наивысшей степенью соответствия является Уровень 1. Он предназначен для предприятий, которые обрабатывают более шести миллионов транзакций в год. Все поставщики платежей, которые ежегодно обрабатывают более 300 000 транзакций, также включены в этот уровень.

Требования для проверки соответствия требованиям PCI для электронной коммерции уровня 1 включают:

• Ежегодная самооценка с помощью PCI SSC SAQ
• Программа управления уязвимостями или утвержденный поставщик средств сканирования должны ежеквартально проводить сканирование сетевых уязвимостей.
• Форма подтверждения соответствия и предоставляемые материалы

Квалифицированный оценщик безопасности (QSA) должен выполнять ежеквартальное сканирование сети и проверку соответствия в дополнение к годовому отчету о соответствии (ROC).

Уровень 2

Для компаний, которые обрабатывают от миллиона до шести миллионов транзакций в год, уровень 2 является подходящим уровнем. Сюда также входят платежные посредники, которые ежегодно обрабатывают менее 300 000 транзакций.

Требования для проверки соответствия PCI уровня 2 включают:

• Ежегодная самооценка с помощью PCI SSC SAQ
• Поставщик, получивший разрешение на ежеквартальное сканирование сети
• Форма подтверждения соответствия и предоставляемые материалы

Уровень 3

Уровень 3 предназначен для предприятий электронной коммерции среднего размера, которые ежегодно обрабатывают 20 000–1 000 000 транзакций.

Требования для проверки соответствия требованиям PCI уровня электронной коммерции 3 включают:

• Ежегодная самооценка с помощью PCI SSC SAQ
• Поставщик, получивший разрешение на ежеквартальное сканирование сети
• Форма подтверждения соответствия и предоставляемые материалы

Уровень 4

Уровень 4 предназначен для компаний, которые ежегодно проводят меньше транзакций. Продавцы уровня 4 — это те, кто ежегодно обрабатывает менее 20 000 транзакций.

Требования для проверки соответствия требованиям PCI для электронной коммерции уровня 4 включают:

• Ежегодная самооценка с помощью PCI SSC SAQ
• Поставщик, получивший разрешение на ежеквартальное сканирование сети
• Форма подтверждения соответствия и предоставляемые материалы

Веб-сайт PCI Compliance Типы платформ

Вопрос не в том, должны ли вы выполнять соответствие PCI. Вы делаете. Какой тип платформы следует выбрать для достижения соответствия требованиям PCI?

Существуют различные программные решения, которые могут помочь вашему веб-дизайну электронной коммерции стать совместимым с PCI, так же как существуют различные варианты создания, эксплуатации и размещения веб-сайтов в Интернете (например, самостоятельный, выделенный или общий).

Ваше решение будет зависеть от размера, знаний, ресурсов, ИТ-персонала и целей вашего магазина.

Ниже показаны три основных типа платформ соответствия требованиям PCI для электронной коммерции, а также подробная информация о том, как обеспечить соответствие каждому из них:

• Программное обеспечение с открытым исходным кодом
• Коммерческое программное обеспечение
• Хостинг SaaS

Программное обеспечение с открытым исходным кодом

Подобно WordPress, программное обеспечение с открытым исходным кодом для электронной коммерции, отвечающей требованиям PCI, позволяет просматривать исходный код и применять собственные модификации для повышения безопасности.

В этом случае вам придется заплатить за оборудование, но вы не будете беспокоиться о покупке лицензии на программное обеспечение.

Для крупной веб-разработки электронной коммерции с разработчиками, которые пишут свой собственный код, но хотят автоматизировать управление потоком, подходящим вариантом является программное обеспечение с открытым исходным кодом. Другими словами, программное обеспечение с открытым исходным кодом позволит развивать ваш онлайн-бизнес, гарантируя, что несовместимые элементы не попадут в кодовую базу.

Нижняя линия: Если вы создаете специализированный магазин электронной коммерции или приложение с оригинальным кодом, а не используете платформу, такую ​​​​как Shopify, но вам не хватает средств или технических ноу-хау, чтобы воспользоваться преимуществами коммерческого решения для соответствия требованиям PCI, программное обеспечение с открытым исходным кодом может быть правильным выбором для вас.

Коммерческое программное обеспечение

Выбор выделенного хостинга для веб-сайта аналогичен покупке сертифицированного коммерческого программного обеспечения PCI.

Вы покупаете и сохраняете свою собственную лицензию на технологию и коммерческое программное обеспечение, экономя деньги вместо того, чтобы нанимать хостинговую компанию, которая поможет вам со всеми деталями перехода к электронной коммерции, совместимой с PCI. Этот подход оставляет лицензирование и сертификацию вашего магазина полностью на ваше усмотрение, хотя использование коммерческого программного обеспечения PCI упростит эту задачу.

Крупные, известные магазины электронной коммерции со следующими характеристиками обычно выбирают этих специализированных коммерческих поставщиков решений PCI:

Суть в том, что этот выбор является чрезмерным и не для вас, если вы расширяете свой новый магазин электронной коммерции, вам не нужно отслеживать миллионы транзакций или вы только изучаете соответствие PCI электронной коммерции.

Хостинг SaaS

Аналогично созданию веб-сайта на платформе общего хостинга с использованием размещенного решения SaaS для электронной коммерции, соответствующего требованиям PCI.

Хостинг SaaS — обычная функция крупных сайтов электронной коммерции (таких как Shopify). Другими словами, поскольку Shopify построен в соответствии с PCI, вы можете запустить магазин Shopify, не беспокоясь о конфиденциальности своего веб-сайта.

Поскольку они размещены на платформе, такой как Shopify, большинству сайтов электронной коммерции обычно не нужно предпринимать какие-либо специальные шаги, чтобы стать совместимыми с PCI, согласно разработке веб-сайта электронной коммерции.

Однако важно помнить, что если вы являетесь продавцом уровня 2–4, вам все равно необходимо будет заполнить анкету самооценки независимо от того, какой вариант вы выберете (даже размещенный).

Вы должны пройти опрос и ROC, если вы являетесь продавцом уровня 1.

Нижняя линия: Если вы создаете интернет-магазин с помощью такой платформы, как Shopify, вам следует выбрать этот вариант. Вам не нужно будет тратить много денег на лицензирование или оборудование, и вы можете легко поддерживать соответствие требованиям PCI для электронной коммерции.

Структурированный контрольный список соответствия PCI

Хорошей новостью является то, что ваш магазин уже будет соответствовать требованиям PCI, если вы создадите его на платформе Saas, такой как Shopify. Вам не нужно каждый год повторять строгие процедуры, чтобы гарантировать соответствие PCI.

Лучший совет для нового владельца электронного бизнеса — выбрать решение, которое уже соответствует стандарту PCI для электронной коммерции, чтобы вы были защищены по умолчанию. По данным компании, занимающейся созданием веб-сайтов электронной коммерции, соответствие PCI невероятно дорого и нереалистично для небольших фирм. В него могут инвестировать более крупные и авторитетные магазины.

Ваша ИТ-команда должна выполнить эти 12 шагов, независимо от того, решите ли вы инвестировать в коммерческую платформу PCI или платформу электронной коммерции с открытым исходным кодом, отвечающую требованиям PCI.

Хотя это краткое изложение, рекомендуется ознакомиться с критериями PCI DSS.

Установите и контролируйте сетевую безопасность

Брандмауэр должен быть установлен для защиты данных держателей карт, когда необходимо поддерживать средства контроля сетевой безопасности (NSC). Это влечет за собой правильную настройку и обслуживание NSC, ограничение доступа к вашей среде данных о держателях карт (CDE) только доверенным трафиком и создание высокозащищенной области для хранения всех данных о картах.

Установите безопасные конфигурации для всех компонентов системы

Хакеры часто пытаются получить доступ к важным данным, используя системные настройки пароля по умолчанию. Применяйте безопасные конфигурации к компонентам, поскольку пароли по умолчанию можно легко угадать, используя общедоступную информацию. Делайте более надежные пароли и меняйте их.

Защитите и запишите данные учетной записи

Убедитесь, что у вас есть меры безопасности, такие как усечение, двухточечное шифрование, маскирование и хеширование, если вы храните конфиденциальные данные, такие как номера кредитных карт. Приложите все усилия, чтобы уменьшить опасность.

Это влечет за собой отказ от хранения дополнительной информации, сокращение информации о карте и недопущение передачи личной информации через мгновенные сообщения или электронную почту.

Надежная криптография защищает данные держателей карт

Используйте надежную криптографию для защиты данных, особенно при их передаче через сети, подверженные атакам, — желательно общедоступные сети.

Держите вредоносное ПО в страхе

Трояны, вирусы, шпионское ПО, черви, руткиты, программы-вымогатели и ссылки являются примерами вредоносных программ. Они используются хакерами для взлома компьютерной системы. Используйте антивирусное и антивирусное программное обеспечение для защиты держателей карт.

Ограниченный доступ к данным

Убедитесь, что только авторизованные системы с принципом служебной необходимости могут получить доступ к жизненно важным данным. Разработайте правила, которые позволят ИТ-персоналу выполнять только необходимые работы, предоставив им правильный доступ и привилегии.

Надежное программное обеспечение и системы

Используйте исправления безопасности, предоставляемые поставщиком, следите за жизненным циклом вашего программного обеспечения (SLC) и применяйте методы безопасного кодирования, чтобы помешать хакерам. Убедитесь, что компоненты системы имеют последние вредоносные программы и обновления программного обеспечения для защиты от компрометации.

Ограниченный физический доступ к данным о держателях карт

Сведите к минимуму физический доступ для защиты передачи данных держателей карт. Это влечет за собой отказ от любой материальной документации, содержащей конфиденциальную информацию, включая печатные копии. Если вам требуются печатные копии, сведите критический материал к минимуму.

Распознавание и аутентификация доступа к системным компонентам

Определите личности пользователей и внедрите процедуру проверки для аутентификации пользователей. Рассмотрите возможность запроса идентификации от пользователей для подтверждения их личности.

Введите и отслеживайте доступ к данным

Настройка методов ведения журналов и мониторинг действий пользователей — важный шаг в защите данных держателей карт. В случае нарушения журналы системных элементов помогают отслеживать, редактировать и анализировать.

Регулярная проверка безопасности

Не откладывайте проверку защиты вашей системы, потому что хакеры никогда не спят. Используйте инструменты, процедуры и тестовые сети для частого стресс-тестирования вашей безопасности.

Преимущества найма PCI-совместимого эксперта по электронной коммерции

В современном мире высоких технологий хакеры повсюду, и они постоянно становятся все умнее. Согласно сообщениям, в период с января по 31 июля 2021 года было зарегистрировано 2084 сообщения о программах-вымогателях, что на 62% больше, чем в предыдущем году.

Предприятия электронной коммерции должны действовать сейчас, чтобы усилить безопасность, поскольку Интернет развивается, а хакеры становятся все более опытными.

Следующий контрольный список требований соответствия требованиям PCI является наилучшим подходом к защите конфиденциальных данных и сохранению доверия потребителей.

Следование рекомендациям PCI SSC гарантирует, что вы применили наилучшие меры для защиты от кибератак и снижения рисков, влияющих на предприятия розничной торговли при разработке веб-сайтов электронной коммерции.

Кроме того, многие платежные системы с кредитными картами не позволят вам хранить, передавать или даже проводить транзакции по кредитным картам, если вы не можете продемонстрировать, что ваш магазин электронной коммерции соответствует стандарту PCI.

Завоевание доверия ваших потребителей необходимо для развития фирмы электронной коммерции, и вы не можете этого сделать, если их данные не защищены с вами.

Поощряйте информационную безопасность

Потратьте некоторое время на то, чтобы записать детали соответствия требованиям и безопасности. Затем сообщите каждому сотруднику о ваших процедурах соответствия и о том, как они могут сыграть жизненно важную роль в защите данных ваших клиентов.

Подведение итогов

Когда это важно, вы должны защитить важные данные, такие как номера кредитных карт и другую информацию о клиентах.

Лучший способ защиты данных потребителей — это небольшая помощь, если только вы не являетесь высококвалифицированным разработчиком с опытом защиты сайтов электронной коммерции и гарантируете, что они на 100 % соответствуют требованиям PCI.

Поэтому для защиты информации о кредитных картах ваших клиентов лучше всего заручиться помощью такого профессионала, как JanBask Digital Design. Вы можете быть уверены, что ваш интернет-магазин будет соответствовать требованиям PCI, когда вы его разместите.

Ищете услуги по разработке веб-сайтов для электронной коммерции?

• Индивидуальные услуги по разработке веб-сайтов электронной коммерции
• Упростите покупательский путь ваших пользователей!
• Интуитивно понятный макет сайта

Часто задаваемые вопросы

Q1. Что означает соответствие требованиям PCI для электронной коммерции?

Ответ Если ваш бизнес соответствует стандарту PCI, это означает, что он соответствует всем критериям Стандарта безопасности данных PCI и стремится защищать данные потребителей.

Набор рекомендаций, известный как соответствие PCI, призван гарантировать безопасность данных кредитных карт, хранящихся в компьютерных системах. В целях повышения безопасности данных и предотвращения мошенничества индустрия платежей разработала эти стандарты.

Q2. Вам нужна электронная коммерция, совместимая с PCI?

Ответ Для предприятий электронной коммерции, которые обрабатывают финансовые транзакции, хранят данные кредитных карт или принимают платежи от клиентов с использованием дебетовых карт, кредитных карт, карт предоплаты и других способов оплаты, электронная коммерция, соответствующая стандарту PCI, необходима. Вы рискуете получить комиссию или закрыть свою учетную запись, если не подчинитесь. Хуже того, вы рискуете потерять доверие клиентов и нанести ущерб своему бренду.

Электронная коммерция, совместимая с PCI, имеет важное значение, поскольку она влияет на все области вашей компании.

Q3. Что требуется для электронной коммерции, совместимой с PCI?

Ответ Соответствие PCI требует, чтобы небольшие фирмы управляли брандмауэрами, поддерживали антивирусное программное обеспечение, назначали уникальные идентификаторы каждому пользователю с доступом к компьютеру и шифровали данные держателей карт.

Использование услуг по разработке электронной коммерции может помочь вам с процедурой и оценкой. Лучший ответ для вашего бренда могут предложить эксперты, когда они полностью изучат вашу компанию.