التوافق مع WooCommerce PCI: كل ما تحتاج إلى معرفته!

WooCommerce عبارة عن منصة تجارة إلكترونية مفتوحة المصدر لـ WordPress تُستخدم لبناء واجهات متاجر افتراضية جميلة وقابلة للتخصيص. ولكن ما مدى أمان طرق الدفع؟ هل تلتزم المنصة بمعايير التوافق مع معايير PCI؟

ما لم يكن موقع التجارة الإلكترونية الخاص بك متوافقًا مع معايير PCI-DSS ، فإنه يميل إلى المساومة على سلامة وخصوصية بيانات العملاء. وقد يؤثر ذلك على سمعة عملك على الإنترنت.

إليك كل ما يجب أن تعرفه لضمان حماية بيانات عملائك وأمانها في متجر WooCommerce الخاص بك.

هل WooCommerce PCI متوافق؟

المكوّن الإضافي WooCommerce الأساسي غير متوافق مع PCI-DSS. ومع ذلك ، يمكن تكوينه بسهولة ليكون متوافقًا تمامًا. في النهاية ، تقع مسؤولية جعل موقع الويب متوافقًا مع PCI على عاتق مالك المتجر. وبالتالي ، يجب عليهم اتخاذ جميع الخطوات للتأكد من أن موقع التجارة الإلكترونية الخاص بهم آمن ومأمون.

من الناحية المثالية ، فإن العديد من جوانب متطلبات الامتثال لـ PCI-DSS خارج نطاق WooCommerce أو WordPress. بدلاً من ذلك ، تقع ضمن نطاق مزود الاستضافة أو الممارسات التجارية التي يلتزم بها موقع الويب الخاص بك. تم تصميم المكون الإضافي WooCommerce مع مراعاة الأمان وهناك عدة طرق يمكنك من خلالها ضمان الأمان الكامل.

فيما يلي الميزات الرئيسية لـ WooCommerce التي يمكن أن تساعد موقع التجارة الإلكترونية الخاص بك على أن يصبح متوافقًا مع PCI في البداية:

وصول محدود:

يستخدم WooCommerce تسجيل دخول آمن إلى WordPress يمكّن المستخدمين من تعيين مستويات وأدوار خصوصية فردية لمستخدمين مختلفين. يضمن الوصول المحدود إلى معلومات الدفع الخاصة بالعملاء تحسين الأمان.

أمان SSL:

يمكن للمستخدمين تعيين WooCommerce لفرض متطلبات SSL أثناء عملية السداد. يضمن الحصول على شهادة SSL أن تظل بيانات العميل الخاصة بك مشفرة بالكامل قبل أن يتم نقلها عبر الويب.

سلامة بطاقة الائتمان المخزنة:

من الناحية المثالية ، لم يتم تصميم بوابات الدفع WooCommerce الأصلية لحفظ بيانات بطاقة ائتمان العملاء. حتى إذا كانت بوابة الدفع تسمح بحفظ البطاقة للدفعات المستقبلية ، فسيتم تخزين آخر 4 أرقام فقط. تضمن ميزة WooCommerce هذه تحسين أمان تفاصيل بطاقة الائتمان الخاصة بك.

موصى به لك: استضافة WooCommerce المُدارة بواسطة Nexcess - مكان رائع لتعيش فيه متجرك!

ما هو بالضبط PCI Compliance؟

المصدر: I-Verve.com

بالنسبة لأي نوع من أعمال التجارة الإلكترونية ، من المهم الحفاظ على معايير أمان عالية. إنه معيار حاسم في تحديد الجدارة بالثقة والاحترافية لشركتك. لضمان حماية معززة لبيانات العملاء ومستويات عالية من الخصوصية ، هناك العديد من اللوائح والمعايير التي يمكنك تنفيذها لضمان السلامة والأمن.

الأبرز من بينها هو PCI-DSS أو معيار أمان بيانات صناعة بطاقات الدفع. يتم التعرف عليه أيضًا كمعيار PCI.

تواجه صناعة التجارة الإلكترونية تحديات مستمرة من خلال الهجمات الإلكترونية المتطورة ، مما يشكل تهديدًا خطيرًا لأمن البيانات والخصوصية. ومن ثم ، فإن ضمان سلامة بوابة الدفع أمر مهم. يساعد على بناء الثقة في أذهان العملاء ، مما يؤدي إلى زيادة المبيعات وتكرار المبيعات.

ولكن كيف يمكنك إثبات أن موقع التجارة الإلكترونية الخاص بك يحتوي على نظام دفع آمن؟ يمكن القيام بذلك عن طريق جعل المشاهدين والجمهور يدركون أن موقع الويب الخاص بك متوافق مع PCI.

PCI هو معيار مقبول عالميًا يديره مجلس معايير أمان صناعة بطاقات الدفع ، الذي أنشأته JCB International و Visa Inc. و MasterCard و Discover Financial Services و American Express. الهدف هو تحسين الأمان وتقليل الاحتيال المتعلق بمعاملات بطاقات الائتمان عبر الإنترنت.

إذا كان موقع التجارة الإلكترونية الخاص بك يقبل الدفع من خلال بطاقة الائتمان ، فيجب أن يكون متوافقًا مع PCI. يمكن أن يؤدي عدم الالتزام بمعايير PCI إلى عقوبات مالية شديدة على عملك ويمكن أن يؤدي أيضًا إلى الإضرار بسمعتك.

الفوائد الرئيسية لامتلاك موقع ويب متوافق مع PCI:

• مع التوافق مع PCI-DSS ، هناك احتمالات نادرة أن تتم سرقة بيانات بطاقة الائتمان عندما يقوم شخص ما بالشراء من متجرك عبر الإنترنت. تعمل ميزات مثل الاشتراك المزدوج والمصادقة الثنائية و HTTPS على منع المتسللين من سرقة البيانات الحساسة من موقع التجارة الإلكترونية الخاص بك.
• يشير إلى أن متجرك عبر الإنترنت لديه نظام دفع آمن ، مما يساعد على غرس الشعور بالثقة بين العملاء لإكمال عملية الدفع بأمان.
• يسمح لتجار التجارة الإلكترونية بتقليل عمليات رد المبالغ المدفوعة والتي يمكن أن تؤدي إلى خسائر كبيرة لعملك. نظرًا لأن الهجمات الإلكترونية أكثر تقدمًا ، يسرق المتسللون معلومات بطاقة ائتمان العميل ويستخدمونها لشراء المنتجات عبر الإنترنت. عندما يحدد العميل هذه الرسوم غير المتوقعة ، يوقف الدفع فورًا. نتيجة لذلك ، لن يتبقى لك أي شيء - لا يوجد منتج ولا نقود.
• مع التوافق مع PCI ، يمكنك اتخاذ خطوة نحو منع تسرب البيانات والقرصنة. يمكن أن يساعد ذلك في تجنب الدعاوى القضائية ، والتي يمكن أن تكلف أعمال التجارة الإلكترونية الخاصة بك الكثير من المال والوقت والسمعة.

ما هي متطلبات التوافق مع PCI-DSS؟

هناك 12 متطلبًا أساسيًا لـ PCI-DSS ، مصنفة ضمن المجالات التالية "

من الناحية المثالية ، يتم فرض الامتثال للإبلاغ عن PCI بواسطة معالج الدفع. لهذا ، قد يُطلب منك ملء استبيانات محددة مثل استبيان التقييم الذاتي (SAQ). يتم أيضًا فحص نظام الدفع الخاص بك بواسطة بائع مسح ضوئي معتمد (ASV) من قبل السلطات.

قد يعجبك: 10 ملحقات / ملحقات WooCommerce مجانية لتعزيز متجر التجارة الإلكترونية في WordPress الخاص بك.

هل WooCommerce آمن؟

تنص WooCommerce بوضوح على أن جميع متطلبات الامتثال لـ PCI الاثني عشر خارج نطاقها. بمعنى أن المتطلبات الأخرى تقع ضمن مسؤولية بيئة خادم مزود الاستضافة.

عادة ، يمكن جعل أي مزود استضافة متوافقًا ، وتكون بعض الخوادم في البداية أكثر توافقًا من غيرها. مثل مزودي خدمة VPS المدارة المزودين بلوحات تحكم ، يميلون إلى التوافق افتراضيًا مع العديد من متطلبات PCI حيث تم تكوينه مسبقًا في إعداداتهم ، مما يستبعد الكثير من العمل عن مالكي مواقع الويب.

لذلك ، إذا كنت جادًا في إدارة أعمالك عبر الإنترنت ، وكان الأمان ذا أهمية قصوى ، فيجب عليك دائمًا تفضيل الذهاب إلى VPS بدلاً من الاستضافة المشتركة.

ومع ذلك ، إذا كنت ستعتمد فقط على المكوّن الإضافي ، فقد يكون لديك بعض المعايير الأخرى المضمنة مع المكون الإضافي ، لكن هذه ليست كافية لتوضيح أن طريقة الدفع الخاصة بك متوافقة مع PCI-DSS.

فيما يلي المتطلبات الأساسية الثلاثة للامتثال لـ PCI التي تفي بها WooCommerce لضمان الأمان الشامل:

حماية معلومات بطاقة الائتمان المخزنة

قد لا توفر WooCommerce حماية كاملة لجميع معلومات بطاقة الائتمان المخزنة ، ولكنها مصممة بحيث لا تخزن تلك البيانات في المقام الأول. هذا يعني أن WooCommerce ستخزن أي معلومات بطاقة ائتمان يستخدمها العميل للدفع على موقع الويب الخاص بك.

في حالة اختيار العميل تعيين طريقة الدفع كخيار مفضل للاستخدام المستقبلي ، ستقوم WooCommerce فقط بتخزين آخر أربعة أرقام من رقم البطاقة. هذا يمنع مجرمي الإنترنت من الوصول إلى تفاصيل البطاقة. ومع ذلك ، فإن ميزة الأمان هذه متاحة فقط مع تطبيقات WooCommerce الأصلية. إذا كنت تستخدم مكونات إضافية مكونة من 3 ^أطراف ، فقد تقوم بتخزين تفاصيل البطاقة الكاملة.

أمان محسّن مع SSL

وفقًا لمعايير PCI ، يجب أن يكون لديك شهادة SSL صالحة إذا كنت تقبل مدفوعات العملاء على موقع الويب الخاص بك. يضمن الحصول على شهادة SSL أن أي بيانات يقدمها عملاؤك على موقع الويب الخاص بك مشفرة بالكامل قبل إرسالها. يساعد ذلك في التخفيف من عمليات الاحتيال والقرصنة الخاصة ببطاقات الائتمان ، مما يجعل متجرك عبر الإنترنت أكثر أمانًا. بالإضافة إلى ذلك ، تمنح شهادة SSL موقع الويب الخاص بك دفعة لتحسين محركات البحث.

يسمح لك WooCommerce بتعيين معايير متطلبات SSL في جميع صفحات الخروج. وبالتالي ، تساعد WooCommerce في الالتزام بمعايير PCI من خلال ضمان تحسين الأمان من خلال SSL. ولكن من المهم التحقق من صحة ذلك مع مزود استضافة موقع الويب الخاص بك إذا كان بإمكانه تقديم شهادة SSL.

نظام تسجيل الدخول ووردبريس

يعد نظام تسجيل الدخول إلى WordPress طريقة أخرى يستخدمها WooCommerce لدعم توافق PCI. يسمح بتعيين مستويات مختلفة من وصول المستخدم إلى معلومات بطاقة الائتمان الحساسة. هذا يعني أنه يمكنك إنشاء أدوار مختلفة للمستخدم وتعيين وصول فريد لتسجيل الدخول لضمان أمان أفضل.

على سبيل المثال ، يمكن لكاتب منشورات مدونة على موقع الويب الخاص بك فقط إنشاء منشورات وتعديلها ولكن ليس لديه السلطة للوصول إلى بيانات عملاء WooCommerce أو عرضها. وبالتالي ، فإن الأمر يشبه إعداد وصول "بحاجة إلى المعرفة فقط" يمكن أن يساعدك في البقاء متوافقًا مع متطلبات PCI.

هذه هي الطريقة التي يوفر بها WooCommerce قدرًا كبيرًا من الأمان من خلال دمج متطلبات التوافق مع PCI أعلاه.

هل يقوم WooCommerce بحفظ معلومات بطاقة الائتمان؟

لا يخزن المكون الإضافي الأساسي لـ WooCommerce معلومات بطاقة الائتمان حتى إذا قام العميل بحفظ طريقة الدفع للاستخدام المستقبلي ، فسيتم تخزين آخر 4 أرقام فقط من بطاقة الائتمان.

لذا ، إذا كان سؤالك هو - هل يجب أن يكون متجر التجارة الإلكترونية الخاص بي متوافقًا مع PCI ، فستكون الإجابة لا. يحدث هذا فقط عندما يعمل متجر WooCommerce على المكون الإضافي الأساسي ولا يقوم بتخزين بيانات حامل البطاقة أو نقلها أو معالجتها. في مثل هذه الحالات ، يتم سحب المدفوعات خارج الموقع - باستخدام بوابة تستخدم عادةً خوادمها لتلقي المدفوعات.

ومع ذلك ، إذا كنت تستخدم مكونات إضافية لجهات خارجية قد تخزن معلومات حامل البطاقة أو تقوم بجمع بيانات بطاقة الائتمان ونقلها ومعالجتها كما هو مذكور في معايير PCI ، فيجب أن يكون موقع الويب الخاص بك متوافقًا مع PCI-DSS.

قد يعجبك أيضًا: Magento vs Shopify vs WooCommerce: The E-Commerce Battle.

الخلاصة والأسئلة الشائعة

باختصار ، WooCommerce غير متوافق تمامًا مع معايير PCI. ومع ذلك ، فإنه يوفر مستوى معينًا من الحماية ضد فقدان البيانات أو اختراق معلومات حامل البطاقة الحساسة وفقًا لمتطلبات الامتثال لـ PCI. بالإضافة إلى ذلك ، فإنه يوفر أيضًا المرونة لجعل متجر WooCommerce الخاص بك متوافقًا مع PCI من خلال اتخاذ تدابير محددة تمت مناقشتها في قسم الأسئلة الشائعة في هذه المقالة.

س: هل يتوافق WordPress PCI؟

لا؛ WordPress غير متوافق تمامًا مع PCI ولا يفي إلا بالمتطلبات المنصوص عليها في إرشادات مجلس معايير أمان صناعة بطاقات الدفع. ومع ذلك ، يمكن تحديث النظام الأساسي بسلاسة لدمج الميزات الأخرى المتوافقة مع PCI وجعل نظام الدفع على موقع الويب الخاص بك آمنًا تمامًا ضد القرصنة وفقدان البيانات.

س: هل Shopify متوافق مع PCI؟

Shopify هي منصة تجارة إلكترونية رائدة أخرى تتيح للشركات التجارية تقديم تجربة تسوق آمنة للعملاء من خلال الالتزام بأفضل الممارسات الصناعية من حيث أنظمة الأمان. إنها منصة متوافقة مع المستوى 1 PCI-DSS وتفي بجميع متطلبات الامتثال الستة لـ PCI:

• بيانات حامل البطاقة الآمنة.
• حافظ على شبكة آمنة.
• اختبر وراقب الشبكات بانتظام.
• إنشاء برنامج إدارة نقاط الضعف.
• الحفاظ على سياسة أمن البيانات الشاملة.
• قم بإعداد تدابير قوية للتحكم في الوصول.

لذلك ، على عكس WooCommerce ، Shopify يفوز باللعبة عندما يتعلق الأمر بالامتثال لمعايير PCI-DSS.

س: كيف أجعل WordPress PCI متوافقًا؟

لجعل موقع WordPress الخاص بك متوافقًا مع PCI ، من المهم أولاً اختيار معالج دفع يلتزم بمعايير PCI. حدد معالجًا يوفر بوابة دفع آمنة. عندها فقط يمكنك الانتقال إلى الخطوات التالية لجعل WordPress متوافقًا مع PCI:

• قم بتعيين مستوى التاجر الخاص بك: ستختلف قواعد امتثال PCI اعتمادًا على حجم معاملات عملك. لذلك ، يجب عليك أولاً تحديد مستوى التاجر الخاص بك. على سبيل المثال ، إذا كنت شركة صغيرة ، فقد تكون مؤهلاً للمستوى 4 ، الذي يحتوي على أبسط عملية امتثال.
• خذ استبيان التقييم الذاتي: أكمل استبيان التقييم الذاتي (SAQ) الذي سيساعدك على فهم تعرضك الحالي للمخاطر.
• دمج مورد فحص معتمد: يمكن لـ ASV استخدام أدوات آلية لتحديد نقاط الضعف المحتملة في الأجهزة والبرامج التي تجمع بيانات الدفع وتعالجها.
• الحصول على شهادة SSL: تمنح شهادة SSL عملائك راحة البال بوجود اتصال مشفر ومباشر بموقعك على الويب. يعد مجال "HTTPS" لموقع الويب الخاص بك بمثابة بيانات اعتماد أمان إضافية تفي بمعايير PCI.
• استخدم الأدوات والإضافات الصحيحة: يمكن أن يوفر استخدام المكونات الإضافية والأدوات المناسبة لمتجر WordPress أو WooCommerce طبقة إضافية من الأمان لمتجر التجارة الإلكترونية الخاص بك. على سبيل المثال ، يحتوي WordPress على عناصر تحكم إدارية تتيح لك تقييد الوصول إلى معلومات حامل البطاقة ، مما يضمن حماية وخصوصية محسّنة للبيانات.
• مزيد من الخطوات للتحقق من الدفع: أثناء إجراء الدفع ، تتطلب معظم بوابات الدفع اسم حامل البطاقة ورقم بطاقة الائتمان وتاريخ انتهاء صلاحية البطاقة. يمكن لمجرمي الإنترنت اختراق هذه البيانات بسهولة ، مما يؤدي إلى خسائر سنوية بمليارات الدولارات. تضمين تفاصيل التحقق الإضافية مثل CVV أو عنوان الفواتير أو أسئلة الأمان أو OTP يمكن أن يضمن قدرًا أكبر من الأمان.
• ابق على اطلاع بأحدث سياسات الأمان: بالإضافة إلى الخطوات المذكورة أعلاه ، من الضروري أيضًا البقاء على اطلاع بأحدث سياسات واتجاهات الأمان. سيؤدي ذلك إلى دفعك خطوة إلى الأمام نحو التوافق مع PCI. تعد أحدث برامج الحماية من الفيروسات وتحديثات البرامج المنتظمة ومسح البرامج الضارة وتصحيحات الأمان أمرًا ضروريًا لضمان تحسين أمان موقع الويب. بالإضافة إلى ذلك ، يجب أيضًا تدريب موظفيك على استخدام بيانات الدفع بأمان وكفاءة.