ما هو التوافق مع Magento PCI ولماذا يحتاجه متجر Magento الخاص بك؟

نشرت: 2022-06-01

تطورت التجارة الإلكترونية أكثر فأكثر بسرعة مؤخرًا. لذلك ، تفتح العديد من الشركات متجرها عبر الإنترنت على منصات مختلفة مثل Woocommerce و Shopify ... خاصة Magento بسبب الميزات الرائعة. ومع ذلك ، إلى جانب الفوائد الهائلة ، يعد الأمان أيضًا الشغل الشاغل لكل من العملاء والمالكين. لا يرغب المشترون في الكشف عن معلوماتهم الشخصية للطرف الثالث الذي يمكن أن يضرهم وتريد الشركات أن تظل صورة احترافية لكسب ثقة العملاء. لذلك ، في هذه المقالة سوف نقدم لك حلاً متميزًا لمساعدتك في حل المشكلة الصعبة: التوافق مع Magento PCI .

بادئ ذي بدء ، يجب أن تكون على دراية بامتثال PCI

إذن ، ما هو التوافق مع PCI؟

ما هو الامتثال PCI

PCI هو اختصار لصناعة بطاقات الدفع. الامتثال PCI عبارة عن مجموعة من المعايير والقوانين الأساسية بهدف تحسين أمان بيانات الدفع حول العالم. من بينها السياسات وإدارة الأمن وبنية الشبكة وتصميم البرامج والقيود الأخرى. يؤسس PCI DSS أفضل الممارسات لشركات التجارة الإلكترونية لتوفير بيئة آمنة للبيانات الحساسة. معلومة أخرى هي أن مجلس معايير أمان PCI يطور ويوزع جميع معايير الامتثال لـ PCI. تم إنشاء مجلس معايير أمان PCI في عام 2006 لتطوير هذه اللوائح والإشراف على امتثال PCI في صناعة التجارة الإلكترونية. تعد Visa و Mastercard و JCB International و Discover Financial Services و American Express من بين أكبر شبكات بطاقات الدفع العالمية الممثلة في المجلس.

يعد الامتثال لـ PCI إلزاميًا لأي شركة تدير متجرًا عبر الإنترنت. يُشار إلى الشركات التي تلتزم وتحقق الامتثال لـ PCI DSS (معايير أمان بيانات صناعة بطاقات الدفع) على أنها متوافقة مع PCI.

هناك مستويات مختلفة للامتثال لـ PCI DSS يجب أن تعرفها

يشتمل توافق PCI على أربع مراحل متنوعة ، تشير كل منها إلى تقييم سنوي بواسطة مقيم أمان مؤهل ومسح ربع سنوي بواسطة بائع فحص معتمد من نطاق متنوع.

مستوى الامتثال لـ PCI DSS 1

هذا هو المستوى الأولي لامتثال PCI للتجارة الإلكترونية ، ويتم استخدامه للمؤسسات التي تعالج ملايين المعاملات. تخضع الأنواع التالية من الأعمال لهذه القواعد:

  • تتكون شركات التجارة الإلكترونية التي تتعامل مع أكثر من 6 ملايين معاملة فيزا أو ماستركارد كل عام من المعاملات عبر الإنترنت وغير المتصلة بالإنترنت (إذا كان لدى الشركة وجود غير متصل بالإنترنت)
  • كل عام ، يقوم ميسرو الدفع بتنفيذ حوالي 300000 معاملة.
  • جميع المتاجر عبر الإنترنت التي تعتبرها Visa من المستوى 1
  • في كل عام ، يقوم مدقق PCI المعتمد بإجراء تدقيق للتحقق من امتثالهم. كل ربع سنة ، يجب أن يكون لدى مؤسسات المستوى 1 فحص PCI يتم إجراؤه بواسطة بائع مسح ضوئي معتمد أو ASV.

مستوى الامتثال لـ PCI DSS 2

عادة ما يكون هذا الشكل من التنظيم مناسبًا للشركات الكبيرة التي يقل حجم معاملاتها عن 6 ملايين:

  • يتم إجراء 1-6 ملايين معاملة فيزا سنويًا من قبل التجار ، مع الدفع عبر الإنترنت والدفع المادي.
  • مع وجود أكثر من 300000 معاملة سنوية ، يزداد الطلب على ميسري الدفع.
  • كل عام ، يجب على هذه الشركات إكمال استبيان التقييم الذاتي ، أو SAQ ، بالإضافة إلى فحص PCI كل ثلاثة أشهر.

مستوى الامتثال لـ PCI DSS 3

هذا المستوى من امتثال PCI للتجارة الإلكترونية مخصص للتجار الذين يجرون ما بين 20000 إلى 1 مليون معاملة فيزا للتجارة الإلكترونية سنويًا. يجب على هذه الشركات ، مثل المستوى 2 ، أن تكمل SAQ سنويًا ولكنها ملزمة فقط بتنفيذ عمليات المسح ربع السنوية في ظروف معينة.

مستوى الامتثال لـ PCI DSS 4

المستوى 4 يتعلق بشركات التجارة الإلكترونية الأصغر مع عدد أقل من المعاملات:

  • البائعون الذين يجرون أقل من 20،000 معاملة فيزا سنويًا غير مؤهلين.
  • التجار الذين ينفذون مليون أو أكثر من معاملات Visa سنويًا (عبر الإنترنت وغير متصل)

على الرغم من الحاجة إلى SAW سنويًا ، يتم إجراء فحص PCI ربع السنوي على أساس "حسب الحاجة". ستساعدك النظرة العامة على مستويات الامتثال PCI DSS الرئيسية الواردة أعلاه في تحديد مستوى الامتثال الذي يجب أن تحققه شركتك.

التوافق مع Magento PCI

التوافق مع Magento PCI

أولاً ، إصدار Magento Commerce

كما تعلم ، Magento 2 Commerce (Cloud) Edition ، وخاصة الإصدار الأخير Magento 2.4.4 ، حاصل على شهادة PCI كمزود حلول من المستوى 1 ، مع الاستمرار في إرث سابقه. أصبح الامتثال PCI أكثر سهولة للمؤسسات. قد يعتمدون على شهادة الامتثال PCI من Magento لمساعدتهم على إثبات أنهم استوفوا المعايير.

نظرًا لأن غالبية الأشخاص الذين يستخدمون الإصدار التجاري هم شركات متوسطة الحجم وكبيرة الحجم تتعامل مع أكثر من 6 ملايين معاملة سنويًا ، فهذا أمر بالغ الأهمية.

علاوة على ذلك ، ترتبط متاجر Magento ببوابات الدفع ، والتي ترسل البيانات مباشرة إلى بوابة الدفع بدلاً من تخزينها على خادم Magento. تتمتع كل من إصدارات Magento Open Source و Commerce بهذه الإمكانية.

بعد ذلك ، إصدار Magento مفتوح المصدر

لا يحتوي إصدار Open Source Edition على توافق PCI كميزة. ومع ذلك ، هناك بعض الخيارات لجعل موقع Magento الخاص بك متوافقًا مع PCI:

1. إجراء الدفع من خلال خدمة جهة خارجية (على سبيل المثال ، PayPal Express)

هذه هي الطريقة التي ذكرناها في قسم الإصدار التجاري.

لن تحتاج إلى أن تكون متوافقًا مع PCI إذا اخترت هذا الخيار لأنه لن يتم تخزين معلومات بطاقة الائتمان على الخادم الخاص بك. قد يتسبب استخدام بوابة دفع تابعة لجهة خارجية في الماضي في تعطيل عملية سداد العميل. ومع ذلك ، لم تعد هذه مشكلة.

من خلال بوابة دفع تابعة لجهة خارجية على سبيل المثال تكامل Magento Stripe ، يمكن للتجار الآن توفير تجربة دفع سلسة. يمكنك إجراء تغييرات على تطبيق Magento الأساسي للتجارة الإلكترونية دون الحاجة إلى إعادة التقييم ليكون متوافقًا مع PCI إذا لم يتم تخزين البيانات الحساسة على خادم Magento.

2. استخدم تطبيق دفع SaaS متوافق مع PCI.

يمكنك استخدام CRE Secure ، وهو متوافق مع PCI ، على سبيل المثال. يتم توجيه العميل إلى موقع ويب مختلف (يتغير عنوان URL) ، ولكن يمكن تعديل النموذج ليلائم تصميم متجرك.

والسؤال هو لماذا تحتاج إلى أن تكون متوافقًا مع PCI؟

قائمة التحقق المتوافقة مع PCI

ليس من قبيل المبالغة القول بأن التجارة الإلكترونية هيمنت على السوق خلال السنوات العديدة الماضية. إلى جانب هذا التطور ، هناك اهتمام متزايد بأمان بيانات العميل عندما يتعلق الأمر بالمعاملات المالية عبر الإنترنت. على الرغم من حقيقة أن الامتثال PCI ليس مطلوبًا بموجب القانون ، إلا أنه يعتبر ذلك من خلال سابقة. يحدث هذا لأنه ، أثناء قبول مدفوعات البطاقات ، تقع على عاتقك مسؤولية حماية المعلومات المالية الحساسة لعملائك.

تستفيد شركات التجارة الإلكترونية من توافقها مع PCI بطرق مختلفة ، بما في ذلك:

خروقات البيانات

  • بدون امتثال PCI ، فإن عملك معرض لخطر اختراق البيانات والتسريبات والمتسللين ، مما قد يؤدي إلى خسارة كبيرة في الإيرادات.
  • يعزز امتثال PCI دفاعاتك ضد الجرائم الإلكترونية ويساعد في منع انتهاكات البيانات.
  • إلى جانب ذلك ، يمكن أن تواجه شركتك دعاوى قضائية ورسوم استبدال البطاقة وتكاليف تعويض العملاء.
  • إذا تم اكتشاف خرق للبيانات وكانت شركتك متوافقة مع PCI ، فسيتم تقليل تكاليف الخرق.
  • تقليل عدد خروقات البيانات. والأهم من ذلك ، حماية بيانات حاملي البطاقات (عملائنا) من الهجمات الإلكترونية.

العقوبات والغرامات الباهظة

  • قد يؤدي عدم الامتثال لقواعد PCI إلى مجموعة متنوعة من الغرامات التي يمكن أن تستنفد مواردك المالية تمامًا.
  • اعتمادًا على حجم المعاملات ومدة عدم الامتثال ، قد تتراوح الغرامات من 5000 دولار إلى 100000 دولار شهريًا.
  • قد يؤدي فشل الامتثال الحكومي إلى غرامات كبيرة بالإضافة إلى العقوبات التي يفرضها مقدمو خدمات الدفع.
  • بالنسبة للانتهاكات الجسيمة ، قد تصل الغرامات إلى 20 مليون يورو.
  • قد يتم فرض رسوم الاحتيال وفحوصات الطب الشرعي وعقوبات إضافية إذا انتهكت الشركة القانون مرة أخرى

فقدان السمعة والإيرادات

  • وفقًا لاستطلاع أجرته شركة Verizon مؤخرًا ، سيتجنب 69 ٪ من العملاء التعامل مع شركة تعرضت لخرق في البيانات ، حتى لو قدموا صفقات أفضل من منافسيهم.
  • أصبح لدى المستهلكين الآن توقعات أمان عالية وتسامح منخفض مع الثغرات الأمنية لخصوصية البيانات ، وذلك بفضل المعرفة المتزايدة بقضايا خصوصية بيانات المستهلك.
  • يمكن أن تضر انتهاكات البيانات بسمعة علامتك التجارية مع تقليل ولاء العملاء أيضًا.

تعليق استخدام بطاقات الائتمان في متجر Magento الخاص بك

  • بعد خرق البيانات ، قد يؤدي عدم الامتثال لامتثال PCI إلى إلغاء قدرتك على سداد مدفوعات بطاقة الائتمان.
  • يعد تعليق حساب بطاقة الائتمان الخاصة بك خسارة أكثر خطورة لعملك لأنه يمنع متجرك من معالجة بطاقات الائتمان في المستقبل.
  • ستحتاج إلى سياسة أمنية صارمة تتوافق مع إرشادات PCI لتجنب مثل هذه الخسائر.

الآن ، ننتقل إلى قائمة التحقق من متطلبات الامتثال لـ PCI DSS

12 مفتاح متطلب

بالنسبة للشركات التي تدير بيانات حامل البطاقة وتحافظ على شبكة معالجة الدفع ، حدد PCI SSC 12 معيارًا مقسمة إلى ستة أقسام. يجب استيفاء كل هذه المتطلبات من قبل أي شركة ترغب في الامتثال.

بناء وصيانة شبكة آمنة

تشير المجموعة الأولى من المتطلبات إلى صيانة شبكة آمنة ، وتحدد أنه يجب على الشركة:

  • يثبت جدار الحماية ويحافظ عليه محدثًا.
  • في بيانات العميل ، يستخدم كلمات المرور الأصلية التي يختارها المستخدم بدلاً من كلمات المرور التي يوفرها البائع.

حماية بيانات حامل البطاقة

احمِ المعلومات المتعلقة بحاملي البطاقات التي تم تخزينها.

  • يتم استخدام عدة مستويات من الأمان للعناية ببيانات حامل البطاقة المخزنة.
  • من الأهمية بمكان تلبية متطلبات التوافق مع PCI عن طريق تجنب الاحتفاظ ببيانات حامل البطاقة لفترة أطول من اللازم.
  • اسمح للعملاء بإدخال معلومات بطاقة الائتمان الخاصة بهم من خلال بوابة دفع ، ولا ترسل معلومات الدفع مطلقًا بدون تشفير قوي.

تشفير البيانات حول حاملي البطاقات التي يتم نقلها عبر الإنترنت.

  • تشفير نقل بيانات حامل البطاقة عبر الشبكات المفتوحة والعامة.
  • قبل نقل بيانات البطاقة الحساسة إلى أنظمة متعددة ، من الضروري تشفيرها. باستخدام تقنيات SSL و TLS ، يمكنك تحقيق ذلك.
  • يعد تشفير البيانات أثناء النقل أمرًا بالغ الأهمية لأنه يحمي بيانات المستهلك حتى في حالة اختراق الشبكات أثناء النقل.
  • تزيد شهادة SSL من ثقة المستهلك مع الموافقة أيضًا على نقل البيانات الآمن.

إدارة الضعف

تتعلق الفئة الثالثة بكيفية إدارة الشركة لنقاط ضعف الشبكة ، وتتطلب أن تقوم الشركة بما يلي:

  • يجب أن تقوم برامج مكافحة الفيروسات بتطبيق وتحديثها بشكل منتظم.
  • يقوم بإنشاء برمجيات وأنظمة آمنة وصيانتها.

تنفيذ تدابير قوية للتحكم في الوصول

تقييد الوصول إلى بيانات البطاقة

  • يجب أن يكون الوصول إلى بيانات حامل البطاقة هو القيد لأولئك الذين لديهم حاجة عمل إلى معرفتها.
  • من خلال تقييد الوصول إلى بيانات حامل البطاقة لعدد صغير من الأشخاص ، قد تقلل من الاحتيال وسرقة البيانات.
  • يمكن للمسؤولين الذين لديهم تفويض ببيانات الاعتماد الوصول.
  • يساعدك أيضًا على تتبع جميع تعديلات النظام من خلال مراقبة التحكم في الوصول وتوثيقه.
  • يسمح لك الإدخال المحدود بتصنيف إجراءات الأمان بناءً على من يحتاج إلى معرفته ، مما يمنحك صورة واضحة لجميع مهام المسؤول.

معرفات فريدة للوصول إلى البيانات

  • يجب على كل شخص لديه إمكانية الوصول إلى جهاز الكمبيوتر إرسال معرّف فريد.
  • يمكنك تتبع نشاط كل فرد مخول باستخدام معرفات فريدة.
  • قم بإجراء تفويض ثنائي لمزيد من الحماية ، وقم بتغيير كلمات مرور الوصول بشكل منتظم ، واحتفظ بسجلات مفصلة.
  • تساعدك المعرفات الفريدة أيضًا على التحكم في حسابات المستخدمين وحماية وصول المستخدم على جميع المستويات ، مما يجعل إدارة الهوية والوصول (IAM) أسهل.

تقييد الوصول المادي إلى البيانات

  • يجب أن يكون الوصول المادي إلى بيانات حامل البطاقة مقيدًا
  • يتوسع أمان البيانات ليشمل مراكز البيانات والخوادم في العالم المادي.
  • يجب أن تكون البيانات في بيئة آمنة مع وصول مخول ، سواء في الموقع أو خارجه.
  • يجب أن تراقب مراكز البيانات الداخلية العمال والزوار غير الشرعيين. قبل منح الوصول إلى مركز البيانات ، يمكنك أيضًا تحديث فحوصات الأمان بشكل منتظم.
  • إذا كنت تحتفظ بالبيانات خارج الموقع ، فابحث في احتياطات الأمان التي يستخدمها موفر التخزين واختر خدمة استضافة Magento ذات السمعة الطيبة.

مراقبة واختبار الشبكات بانتظام

تركز المجموعة الخامسة من المعايير على كيفية قيام الشركة بمراقبة واختبار شبكتها ، وتفرض على الشركة:

  • سيكون لكل الوصول إلى بيانات حامل البطاقة وموارد الشبكة تتبع ومراقبة.
  • يقيم بانتظام أنظمة وبروتوكولات الأمان.

الحفاظ على سياسة أمن المعلومات

وأخيرًا ، يجب فحص جميع الأنظمة والإجراءات بشكل منتظم ، وفقًا لمتطلبات PCI DSS ، لضمان الحفاظ على الأمن.

إذن ، كيف تحصل على امتثال PCI؟

الامتثال PCI

يجب أن تكون أي شركة أو مؤسسة تقوم بسداد مدفوعات البطاقات عبر الإنترنت أو بيانات بطاقة ائتمان Keps متوافقة مع PCI ، عبر PCI Compliance Security Standard Council.

يجب أن تتحقق الشركات عادةً من امتثال PCI كل عام أو ربع سنوي عن طريق تعيين مقيِّم محترف أو شركة لتحديد ما إذا كانت تجري المعاملات بشكل صحيح.

إذن ، كيف تمتثل لـ PCI؟

  • حدد مستوى PCI الذي تريد استخدامه. تحدد كمية معاملات البطاقة التي تعالجها مؤسستك كل عام أيًا من المستويات الأربعة سيتم تعيينك. سوف يؤثرون على نهجك في الامتثال لـ PCI DSS.
  • اختر استبيانا للتقييم الذاتي الخاص بك (SAQ). استحث سبعة أنواع مختلفة بناءً على مستوى التاجر الخاص بك وكيفية معالجة معلومات بطاقة الائتمان. تشير كل فئة إلى مجموعة منفصلة من المعايير التي يجب أن توفر معيارًا كافيًا لتكون متوافقة مع PCI.
  • إنشاء شبكة آمنة لتلبية معايير شهادة PCI DSS. من فحص الثغرات الأمنية من خلال صيانة الأمان وإصلاحه ، يمكن لهذه الطريقة التعامل مع كل شيء. للتعامل مع كل الأحمال الثقيلة ، ستحتاج إلى مساعدة مقاول تكنولوجيا المعلومات.
  • املأ نموذج إقرار الامتثال (AOC) - مستند يتحقق من نتائج تدقيق PCI DSS.
  • قد يكون من الصعب التنقل في الطريق إلى توافق PCI. ومع ذلك ، إذا كنت ترغب في تأمين تصورات عملائك عنك وبياناتك الحيوية من المتسللين ، فإن الأمر يستحق الزيارة.

نقترح ، بصفتك مالك متجر Magento ، أن تقوم بإعداد مكون إضافي SecurePay متوافق مع PCI DSS. بالنسبة لتجار التجزئة ، ستكون هذه طريقة أكثر فعالية من حيث التكلفة لإرسال معلومات المعاملات إلى SecurePay للمعالجة.

إلى جانب ذلك ، يمكن أن تشعر بالقلق بشأن مقدار تكلفة الامتثال لـ PCI؟

تختلف تكاليف الامتثال لـ PCI وفقًا لحجم شركتك وإجراءات معالجة البطاقة واعتبارات أخرى.

يمكن أن يكلف الامتثال PCI DSS أقل من 300 دولار سنويًا للشركات الصغيرة ، اعتمادًا على العوامل التالية:

  • 50 دولار - 200 دولار لاستبيان التقييم الذاتي (SAQ).
  • يتكلف فحص الثغرات الأمنية ما بين 100 دولار و 200 دولار لكل عنوان IP.
  • حوالي 70 دولارًا لكل موظف للتدريب وصياغة السياسات.
  • من 100 دولار إلى 10000 دولار للمعالجة (اعتمادًا على حجم العمل المطلوب للوفاء بالامتثال والأمان).

تبلغ التكلفة الإجمالية لاختبار PCI DSS للشركات الكبرى حوالي 70.000 دولارًا متوقعًا ، بما في ذلك

  • التدقيق في الموقع: حوالي 40 ألف دولار
  • تبلغ تكلفة فحص الثغرات الأمنية حوالي 1000 دولار.
  • حوالي 15000 دولار لاختبار الاختراق
  • 5000 دولار لصياغة السياسات والتدريب.
  • الإصلاح (تحديثات البرامج والأجهزة ، وما إلى ذلك): 10000 دولار - 500000 دولار

سعر التوافق مع PCI على مستوى المؤسسة ليس رخيصًا. ومع ذلك ، فإن أي رسوم امتثال لـ PCI لا تستحق تعريض معلومات عملائك أو صورة شركتك طويلة المدى للخطر.

أخيرًا وليس آخرًا ، سنقدم لك بعض أفضل الممارسات لتوافق Magento PCI

كيف تحصل على التوافق مع PCI؟

تدريب الموظفين

يعد التوافق مع Magento PCI مطلبًا تقنيًا يتطلب معرفة وتدريبًا شاملين قبل التنفيذ.

تأكد من أن منصة Magento الخاصة بك تتمتع بأمان جيد بفضل فريق من الخبراء.

تفرغ لتدريب الموظفين أو توظيف خبراء الصناعة لمساعدتك في الامتثال والأمن لـ Magento.

استبيانات التقييم الذاتي (SAQs)

مع صغار تجار التجزئة ، أصدر PCI DSS تسعة استبيانات للتقييم الذاتي.

SAQ هو اختبار تقييم أمني أساسي بنعم / لا يسمح لك بتقييم أمنك وتنفيذ إجراءات إصلاح فعالة.

يمكنك إكمال التقييم وإضافة إقرار بالامتثال بمجرد تحديد الاستبيان المناسب لشركتك.

يعمل PCI SAQ بمثابة التحقق من الامتثال والأمان. عند التعاون مع شركات خارجية ، يكون ذلك مفيدًا.

سياسات توثيق وتقارير الامتثال

احتفظ بسجل للوائح الأمان من خلال توثيق التغييرات والعمليات التشغيلية في شركتك على أساس منتظم.

يعد تقرير PCI حول الامتثال والتصديق على الامتثال (RoC / AoC) تقييمًا للامتثال الأمني.

يتم إجراؤه بواسطة مقيم أمان مؤهل (QSA) أو مقيِّم داخلي مؤهل لتحديد ما إذا كان متجر Magento الخاص بك آمنًا لمعالجة بيانات حامل البطاقة.

إجراء الصيانة الدورية

يعد التوافق مع Magento PCI عملية إدارة مستمرة ، وليس تقييمًا لمرة واحدة.

يجب إجراء عمليات فحص الثغرات الأمنية على أساس منتظم ، ويجب تحديث الأمان ، ويجب توثيق إجراءات الامتثال بدقة.

تتغير تكوينات نظام Magento طوال الوقت ، وإذا لم تواكبها ، فستفقد عناصر التحكم في الامتثال وتعرض أمن البيانات للخطر.

استنتاج

في بيئة الإنترنت ، ليس من السهل التعامل مع مشكلة الأمان لكل من الأعمال والعملاء. لذلك ، يمكن أن يكون التوافق مع Magento PCI بمثابة مساعدة للشركات لتقليل المخاطر القادمة من بيئة الإنترنت. إنه لا يساعد المشترين على الشعور بالأمان عند التسوق في متجرك فحسب ، بل يمكنك أيضًا بناء إيمان العملاء الذي يمكن أن يعزز صورة العلامة التجارية ويجذب المزيد من العملاء. ثم إذا كنت مالك متجر Magento ، فلا تتردد في تنفيذ التوافق مع Magento PCI. إذا كنت لا تعرف ماذا تفعل ، يمكنك زيارة خدمتنا: تطوير Magento للعثور على الحل أو الاتصال بنا مباشرة للراحة.