Соответствие стандарту PCI DSS: руководство и контрольный список для предприятий электронной коммерции

Источник · Перевод автора

«Мошенничество с электронной коммерцией (e-commerce) приводит к потере около 660 000 долларов США в час согласно RSA Anti-Fraud Command Center (AFCC). Основной вклад в них — мошенничество с платежами».

Растет риск кражи денег для клиентов электронной коммерции, что вызывает у нас тревожную ситуацию. Ситуация ухудшается из-за продолжающейся небрежности со стороны малых и средних компаний по развитию электронной коммерции. Единственный недостаток в политике и оформлении их интернет-магазинов может стоить покупателям целое состояние.

Вы должны быть обеспокоены безопасностью и репутацией вашего бизнеса электронной коммерции.

Понимая проблемы малого бизнеса, я попытался решить следующие вопросы в этом блоге:

  • Что означает быть PCI DSS-совместимым для электронной коммерции?
  • Требуется ли совместимость с PCI DSS, если у меня небольшой бизнес в сфере электронной коммерции?
  • Почему соответствие PCI DSS важно для компаний электронной коммерции?
  • Каковы риски пренебрежения PCI DSS?
  • Каков контрольный список для того, чтобы стать компанией электронной коммерции, совместимой с PCI DSS?
  • Трудно ли получить соответствие PCI DSS?
  • Сайты электронной коммерции подвергаются большому риску, когда речь заходит о киберпреступности, потому что это каналы оплаты без карт (card-not-present, CNP). Платежные функции интернет-магазинов электронной коммерции и мобильных приложений часто имеют лазейки, которые создают серьезные последствия.

Для предотвращения последствий рекомендуется, чтобы веб-сайты электронной коммерции следовали стандартам безопасности, установленным несколькими организациями. Крупные компании, выпускающие кредитные карты, рекомендовали определенные требования, названные PCI DSS, которым должны следовать компании электронной коммерции.

Эти рекомендации не являются юридической консультацией, но очень помогают в защите информации держателя карты. Угроза их частной жизни была четко отражена в статистике. На самом деле, согласно оценкам Juniper Research, мошенничество с онлайн-платежами достигнет 22 миллиардов долларов в 2019 году и 48 миллиардов долларов к 2023 году.

Поэтому, чтобы уберечь своих клиентов от таких мошенничеств с платежами, обязательно наймите лучшие компаний по разработке программного обеспечения в Индии, которые могут создать страницу оформления заказа, полностью защищенную от мошенников.

Кроме того, спросите их, могут ли они сделать ваш сайт электронной коммерции совместимым с PCI DSS или нет. Если вы думаете, что это обеспечит только безопасную транзакцию для клиентов, то вы ошибаетесь. Есть много других преимуществ, которыми вы можете воспользоваться, следуя этим стандартам.

Прежде чем перейти к преимуществам и возможностям PCI DSS, давайте сначала выясним его происхождение и значение.

Что значит соответствие стандарту PCI DSS?

В двух словах, Стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) является требованием, которому должно следовать любое лицо, которое хранит, обрабатывает и передает данные держателя карты.

Эти требования разрабатываются ведущими карточными компаниями, такими как American Express, Mastercard, JCB, Discover и VISA. Они были созданы для защиты конфиденциальных данных клиентов, которые делятся данными своих карт с компанией-разработчиком электронной коммерции.

PCI DSS — это формальный набор стандартов, который может охватывать все бренды и предназначен для защиты всех сторон, включая бренды карт, клиентов и розничных продавцов. Эти стандарты рекомендуются для всех размеров предприятий, включая малые предприятия.

С помощью рекомендаций PCI вы можете создать программу внутренней безопасности для своего магазина электронной коммерции. Получите помощь от компаний-разработчиков электронной коммерции в Индии, чтобы разработать ее в соответствии с вашими бизнес-целями и потребностями.

Почему для компаний, занимающихся электронной коммерцией, важно быть совместимым с PCI DSS?

Вам должно быть интересно, почему я должен быть PCI-совместимым? Вот основные преимущества, которые вам нужно знать:

  • Эти требования являются более техническими, чем любые другие промышленные стандарты.
  • Следуя этим рекомендациям, вы сможете управлять платежной IT-инфраструктурой вашего бизнеса в сфере электронной коммерции с высокой квалификацией.
  • Риск потери личных данных владельцев карт может быть уменьшен в несколько раз, как только электронная коммерческая компания получит PSI DSS-совместимость.
  • Это может усилить и улучшить вашу общую программу информационной безопасности.
  • PCI DSS поможет завоевать доверие ваших клиентов, что укрепит репутацию вашего бизнеса.

Каков риск несоответствия стандарту PCI DSS для предприятий электронной коммерции?

До сих пор мы обсуждали различные преимущества соответствия PCI DSS веб-сайтам электронной коммерции. Вот некоторые последствия, с которыми может столкнуться бизнес электронной коммерции, если он не совместим с PCI DSS:

  • Запрет на использование кредитных карт. Эти стандарты устанавливаются крупными компаниями, выпускающими кредитные карты, поэтому, когда происходит мошенничество через ваш сайт электронной торговли, они быстро вас ловят. Безответственным продавцам запрещено использовать свои кредитные карты.
  • Штрафы. В случае обнаружения нарушения данных будет наложен штраф в размере от 86 500 до 4 миллионов долларов. Наказания будут наложены, если будет установлено, что ваши клиенты совершают мошеннические операции.
  • Судебно-медицинская экспертиза: после нескольких нарушений данных вам потребуется нанять профессионалов и провести длительное расследование. Для малого бизнеса такое расследование будет стоить от 20 до 50 тысяч долларов.
  • Требования об ответственности: Обязательство может быть заявлено в судебном порядке, если в вашем интернет-магазине есть утечка данных. Это сделано для того, чтобы вы поняли, что защита информации ваших клиентов — ваша ответственность.
  • Переоценка: будет проведена полная переоценка соответствия PCI. Это выполнит внешний Qualified Security Accessor (QSA), чтобы вы могли снова принимать кредитные карты.
  • Нести стоимость переоформления. Компании, выпускающие кредитные карты, потребуют от владельцев магазина электронной торговли оплатить стоимость перевыпуска в размере от 3 до 10 долларов за карту. Это включает в себя стоимость активации, связи и доставки.

Как сделать ваш бизнес электронной коммерции совместимым с PCI DSS?

В стандарте безопасности данных индустрии платежных карт указаны различные требования. Кроме того, они подразделяются на подкатегории, и вам придется выполнить множество действий, чтобы сделать ваш веб-сайт электронной коммерции совместимым с PCI DSS.

Это может показаться беспокойной работой для веб-сайтов электронной коммерции меньших размеров, но я объяснил эти требования простыми словами. Если у вас ограниченная инфраструктура, вы можете выполнить следующие шаги, чтобы сделать ваш бизнес PCI DSS-совместимым.

Вот полный контрольный список PCI DSS для вашего сайта электронной коммерции:

Получите безопасную сеть:

Это может быть сделано путем тщательного документирования вашей работы. Для этого вам нужно воспользоваться лучшими услугами веб-разработки в Индии. Они способны предложить вам такие услуги, как написание процесса брандмауэра.

Здесь вам нужно перечислить все ваши сетевые серверы и определить среду данных вашей карты. Это поможет вам выяснить данные, которые доступны внутри. Принять меры по ограничению доступа с помощью брандмауэра.

Отключите учетные записи по умолчанию:

Одна из наиболее распространенных ошибок, которую совершает каждый бизнесмен в области электронной коммерции, — это использование настроек по умолчанию, предоставляемых поставщиком. Они должны быть изменены или отключены перед выполнением первого шага сетевой установки.

Уязвимости безопасности необходимо минимизировать, установив надежные стандарты конфигурации. Убедитесь, что вы нанимаете индийских разработчиков программного обеспечения, которые гарантируют написание кодов в надежной криптографии.

Кроме того, если вы используете хостинг-провайдеров, убедитесь, что каждая сторона защищает данные друг друга. Как организация, вы должны быть эффективными в создании и поддержании политик с высокой степенью защиты и соблюдении безопасных операционных процедур.

Избегайте хранения данных держателя карты:

Знаете ли вы, что уровень мошенничества в электронной коммерции растет? Согласно отчету о киберпреступности, эти показатели увеличились на 88% в 2018 году по сравнению с 2017 годом. В таких случаях, как вы можете рисковать безопасностью данных ваших пользователей?

Данные держателя карты носят конфиденциальный характер и содержат информацию о держателе карты, номера карт и пароли. Вы должны избегать хранения этой информации в своей сети, чтобы избежать какой-либо мошеннической деятельности и предлагать все преимущества онлайн-платежей.

Если вы храните, используйте надежное шифрование. Для этого вы можете использовать технологию под названием SSL / TLS. Это помогает в шифровании данных (информация о владельце карты), которые перемещаются между системами.

В соответствии с PCI DSS обязательно принимать платежи с использованием SSL-сертификата. Это позволит вашему веб-сайту электронной коммерции получать доступ по протоколу HTTPS вместо HTTP. Есть много хостинговых сайтов, которые предоставляют эти сертификаты бесплатно или за определенную плату.

Более того, SSL-сертификаты помогают завоевать доверие в индустрии электронной коммерции среди обширной клиентской базы. Это также поможет улучшить ваш SEO-рейтинг, поскольку Google начал придавать больше значения веб-сайтам с HTTPS.

Регулярно обновляйте антивирусную программу:

Знаете ли вы, что плохие актеры никогда не ищут уязвимые сайты вручную? Есть боты, которые ищут такие сайты, которые не защищены и могут быть атакованы. Вам необходимо эффективно управлять этими уязвимостями.

Это можно сделать, установив и обновив антивирусные программы на всех компьютерах и серверах. Убедитесь, что эти программы работают бесперебойно. Доступ к остановке этих программ не должен предоставляться пользователям вообще.

Только авторизованный персонал должен иметь возможность отключать или изменять антивирусные механизмы на ваших серверах. Более того, они должны быть задокументированы, чтобы все заинтересованные стороны имели четкое представление об этих механизмах.

Используйте защищенную CMS:

Планируете ли вы создать компанию электронной коммерции? Убедитесь, что наняли лучшую компанию по развитию электронной коммерции Magento в Индии. Неважно, если вы только начинаете с этого или уже имеете хорошую базу пользователей, безопасность CMS всегда под угрозой.

Это потому, что если у вас есть уязвимая CMS и не слишком сильные расширения и плагины, то вы будете в уязвимом состоянии независимо от трафика, который у вас есть. Вот почему надежная компания по развитию электронной коммерции имеет важное значение.

Даже если вы наслаждаетесь безопасной работой сегодня, у вас будет риск привлечь вредоносного бота в будущем. Следовательно, кодирование каждого компонента вашего сайта должно быть сделано с особой тщательностью и эффективностью.

В случае, если вы застряли с уязвимой CMS, вы можете использовать брандмауэр. Это поможет в проведении виртуальных исправлений и защитит ваш сервер от всех возможных уязвимостей.

Обеспечте контроль доступа:

Очень немногие люди, чья работа требует доступа, должны иметь доступ к вашим защищенным сетям. Более того, вы должны иметь возможность контролировать их деятельность. Ограничив доступ, вы можете сократить вероятность мошенничества.

Убедитесь, что вы написали политику, связанную с этими разрешениями доступа. Эта политика должна быть предоставлена каждой заинтересованной стороне, включая клиентов, чьи личные данные должны быть защищены.

Кроме того, вы можете предоставить уникальные идентификаторы каждому человеку, имеющему доступ к вашей сети. Другие методы аутентификации могут также использоваться для обеспечения защищенного доступа к сети высшего класса.

Злоумышленники обычно ищут сайты со слабой аутентификацией. Для этого вы можете использовать методы многоэтапной аутентификации для своей серверной среды или следовать рекомендациям по безопасности паролей.

5 самых распространенных мифов, связанных с соответствием PCI DSS электронной коммерции

  • PCI необоснован и требует больших усилий: большинство требований этих стандартов — это политики безопасности, которые должны соблюдаться во всех случаях.
  • PCI делает магазин электронной коммерции безопасным: он делает вас безопасным, но соблюдение мер безопасности — это непрерывный процесс, который не может закончиться тем, что вы будете компанией, совместимой с PCI.
  • Одна транзакция не требует PCI: соответствие PCI требуется во всех случаях, когда оплата принимается через карты. Неважно, есть ли у вас какие-либо платежи или только один.
  • PCI говорит хранить данные карты: это самый беспочвенный миф. На самом деле, карточные компании настоятельно не рекомендуют хранить данные о держателях карт на любом сервере. Соответствие PCI DSS не требует этого вообще.
  • PCI сложный: у вас тоже может быть такое мнение раньше. Но я надеюсь, что после прочтения этого блога вы поняли, что это всего лишь несколько шагов, и соответствие стандарту PCI DSS вовсе не является сложной задачей.

Заключение:

Обеспечение совместимости PCI DSS с вашим бизнесом электронной коммерции не должно беспокоить вас (по крайней мере, после прочтения этого блога). Фактически, это то, что поможет повысить доверие клиентов и продажи ваших продуктов, предлагая покупателям высоконадежную сеть.

PCI DSS не предназначена для того, чтобы что-то доказывать ведущим карточным компаниям, а для устранения всех барьеров для вашего бизнеса в процессе достижения пиков успеха. Преимущества соответствия PCI намного больше, чем те усилия, которые вам придется приложить.