Che cos'è la conformità PCI Magento e perché il tuo negozio Magento ne ha bisogno?
Pubblicato: 2022-06-01Il commercio elettronico si è sviluppato sempre più rapidamente di recente. Pertanto, molte aziende aprono il loro negozio online su piattaforme diverse come Woocommerce, Shopify,... in particolare Magento per via delle fantastiche funzionalità. Tuttavia, insieme agli enormi vantaggi, la sicurezza è anche la principale preoccupazione di clienti e proprietari. Gli acquirenti non vogliono che le loro informazioni personali vengano rivelate a terzi che possono danneggiarli e le aziende vogliono rimanere un'immagine professionale per ottenere la fiducia dei clienti. Pertanto, in questo articolo ti presenteremo una soluzione eccezionale per aiutarti a risolvere il problema difficile: la conformità PCI Magento .
Per cominciare, dovresti conoscere la conformità PCI
Allora, qual è la conformità PCI?
PCI è l'abbreviazione di Payment Card Industry. La conformità PCI è una raccolta di standard e leggi di base con l'obiettivo di migliorare la sicurezza dei dati di pagamento in tutto il mondo. Tra questi ci sono criteri, gestione della sicurezza, architettura di rete, progettazione del software e altre restrizioni. PCI DSS stabilisce le migliori pratiche per le aziende di e-commerce per creare un ambiente sicuro per i dati sensibili. Un'altra informazione è che il PCI Security Standards Council sviluppa e distribuisce tutti gli standard di conformità PCI. Il PCI Security Standards Council è stato istituito nel 2006 per sviluppare queste normative e supervisionare la conformità PCI nel settore dell'e-commerce. Visa, Mastercard, JCB International, Discover Financial Services e American Express sono tra le più grandi reti di carte di pagamento globali rappresentate nel consiglio.
La conformità PCI è obbligatoria per qualsiasi azienda che gestisce un negozio online. Le aziende che aderiscono e ottengono la conformità PCI DSS (Payment Card Industry Data Security Standards) sono indicate come conformi PCI.
Ci sono diversi livelli di conformità PCI DSS che dovresti conoscere
La conformità PCI prevede quattro diverse fasi, ciascuna delle quali si riferisce a una valutazione annuale da parte di un valutatore di sicurezza qualificato e una scansione trimestrale da parte di un fornitore di scansione approvato di varia portata.
Conformità PCI DSS Livello 1
Questo è il livello iniziale di conformità PCI per l'eCommerce e viene utilizzato per le organizzazioni che elaborano milioni di transazioni. I seguenti tipi di attività sono soggetti a queste regole:
- Le società di eCommerce che gestiscono più di 6 milioni di transazioni Visa o Mastercard ogni anno, consistono in transazioni sia online che offline (se un'azienda ha una presenza offline)
- Ogni anno, i facilitatori di pagamento eseguono circa 300.000 transazioni.
- Tutti i negozi online che Visa considera di Livello 1
- Ogni anno, un revisore PCI autorizzato effettua un audit per verificarne la conformità. Ogni trimestre, le organizzazioni di livello 1 devono eseguire una scansione PCI da un fornitore di scansione approvato o ASV.
Conformità PCI DSS livello 2
Questa forma di regolamentazione è generalmente adatta per le grandi imprese con un volume di transazioni inferiore a 6 milioni:
- 1-6 milioni di transazioni Visa vengono eseguite ogni anno dai commercianti, con pagamenti sia online che fisici.
- Con oltre 300.000 transazioni annuali, i facilitatori di pagamento sono molto richiesti.
- Ogni anno, queste aziende devono completare un questionario di autovalutazione, o SAQ, nonché una scansione PCI ogni trimestre.
Conformità PCI DSS livello 3
Questo livello di conformità PCI per l'eCommerce è per i commercianti che effettuano da 20.000 a 1 milione di transazioni Visa eCommerce all'anno. Queste aziende, come il livello 2, devono completare un SAQ annuale ma hanno l'obbligo di eseguire scansioni trimestrali solo in determinate condizioni.
Conformità PCI DSS livello 4
Il livello 4 riguarda le attività di eCommerce più piccole con meno transazioni:
- I venditori che effettuano meno di 20.000 transazioni Visa all'anno non sono idonei.
- Commercianti che eseguono un milione o più di transazioni Visa all'anno (online e offline)
Sebbene sia richiesta una SAW annuale, la scansione PCI trimestrale viene eseguita in base alle esigenze. La panoramica dei principali livelli di conformità PCI DSS fornita sopra ti aiuterà a determinare quale livello di conformità dovrebbe raggiungere la tua azienda.
Conformità Magento PCI
Innanzitutto, Magento Commerce Edition
Come sapete, Magento 2 Commerce (Cloud) Edition, in particolare l'ultima versione Magento 2.4.4 , è certificato PCI come fornitore di soluzioni di livello 1, portando avanti l'eredità del suo predecessore. La conformità PCI è sempre più accessibile alle aziende. Possono fare affidamento sull'attestato di conformità PCI di Magento per aiutarli a dimostrare di aver soddisfatto i criteri.
Poiché la maggior parte delle persone che utilizzano Commerce Edition sono aziende di medie e grandi dimensioni che gestiscono più di 6 milioni di transazioni all'anno, questo è fondamentale.
Inoltre, i negozi Magento sono collegati a gateway di pagamento, che inviano i dati direttamente al gateway di pagamento anziché archiviarli sul server Magento. Entrambe le edizioni Magento Open Source e Commerce hanno questa capacità.
Successivamente, Magento Open Source Edition
L'edizione Open Source non contiene la conformità PCI come funzionalità. Tuttavia, ci sono alcune opzioni per rendere il tuo sito Web Magento conforme allo standard PCI:
1. Effettuare un pagamento tramite un servizio di terze parti (ad esempio PayPal express)
Questo è il modo in cui abbiamo affermato nella sezione dell'edizione Commerce.
Non sarà necessario essere conformi allo standard PCI se si sceglie questa opzione perché le informazioni sulla carta di credito non verranno archiviate sul server. L'utilizzo di un gateway di pagamento di terze parti in passato avrebbe potuto causare l'interruzione del processo di pagamento del cliente. Tuttavia, questo non è più un problema.
Con un gateway di pagamento di terze parti, ad esempio l'integrazione con Magento Stripe , i commercianti possono ora fornire un'esperienza di pagamento senza interruzioni. Puoi apportare modifiche all'applicazione eCommerce principale di Magento senza dover eseguire una nuova valutazione per essere conforme allo standard PCI se i dati sensibili non sono archiviati sul server Magento.
2. Utilizzare un'applicazione di pagamento SaaS conforme allo standard PCI.
È possibile utilizzare CRE Secure, che è conforme a PCI, come esempio. Il cliente viene indirizzato a un sito Web diverso (l'URL cambia), ma il modulo può essere modificato per adattarsi al design del tuo negozio.
E la domanda è: perché devi essere conforme allo standard PCI?
Non è un'esagerazione affermare che l'eCommerce ha dominato il mercato negli ultimi anni. Insieme a questo sviluppo, c'è una crescente attenzione alla sicurezza dei dati dei clienti quando si riferisce alle transazioni finanziarie online. Nonostante il fatto che la conformità PCI non sia richiesta dalla legge, è considerata tale da un precedente. Ciò accade perché, pur accettando pagamenti con carta, è tua responsabilità proteggere le informazioni finanziarie sensibili dei tuoi clienti.
Le aziende di e-commerce traggono vantaggio dall'essere conformi allo standard PCI in vari modi, tra cui:
Violazioni dei dati
- Senza la conformità PCI, la tua azienda è a rischio di violazioni dei dati, perdite e hacker, che possono comportare una grave perdita di entrate.
- La conformità PCI rafforza le tue difese contro la criminalità informatica e aiuta nella prevenzione delle violazioni dei dati.
- Inoltre, la tua azienda può affrontare cause legali, addebiti per la sostituzione della carta e costi di compensazione per i clienti.
- Se viene rilevata una violazione dei dati e la tua azienda è conforme allo standard PCI, i costi della violazione vengono ridotti.
- Riduci il numero di violazioni dei dati. Fondamentale, salvaguarda i dati dei titolari di carta (i nostri clienti) dagli attacchi informatici.
Sanzioni e multe salate
- Il mancato rispetto delle regole PCI può comportare una serie di sanzioni che possono esaurire completamente le tue risorse finanziarie.
- Contando sul volume delle transazioni e sulla durata della non conformità, le sanzioni potrebbero variare da $ 5.000 a $ 100.000 al mese.
- La mancata conformità del governo potrebbe comportare sanzioni sostanziali oltre alle sanzioni imposte dai fornitori di servizi di pagamento.
- Per gravi violazioni, le sanzioni potrebbero raggiungere i 20 milioni di euro.
- Se l'azienda viola nuovamente la legge, possono essere imposte accuse di frode, esami forensi e sanzioni extra
Perdita di reputazione e guadagni
- Secondo un recente sondaggio di Verizon, il 69% dei clienti eviterebbe di fare affari con un'azienda che ha subito una violazione dei dati, anche se fornisse offerte migliori rispetto ai loro rivali.
- I consumatori ora hanno aspettative di sicurezza elevate e una bassa tolleranza per le vulnerabilità della privacy dei dati, grazie alla maggiore conoscenza dei problemi di privacy dei dati dei consumatori.
- Le violazioni dei dati possono danneggiare la reputazione del tuo marchio riducendo al contempo la fedeltà dei clienti.
Sospensione dell'uso delle carte di credito sul tuo negozio Magento
- Dopo una violazione dei dati, il mancato rispetto della conformità PCI potrebbe comportare la revoca della tua capacità di accettare pagamenti con carta di credito.
- La sospensione del conto della tua carta di credito è una perdita più grave per la tua attività perché impedisce al tuo negozio di elaborare carte di credito in futuro.
- Avrai bisogno di una rigida politica di sicurezza conforme alle linee guida PCI per evitare tali perdite.
Ora passiamo all'elenco di controllo dei requisiti di conformità PCI DSS
Per le aziende che gestiscono i dati dei titolari di carta e mantengono una rete di elaborazione dei pagamenti, il PCI SSC ha stabilito 12 standard suddivisi in sei sezioni. Tutti questi requisiti devono essere soddisfatti da qualsiasi azienda che desideri essere conforme.
Costruisci e mantieni una rete sicura
La prima serie di requisiti si riferisce al mantenimento di una rete sicura e specifica che un'azienda deve:
- Installa e mantiene aggiornato un firewall.
- Sui dati dei clienti, utilizza password originali selezionate dall'utente anziché password fornite dal fornitore.
Proteggi i dati dei titolari di carta
Salvaguardare le informazioni sui titolari di carta che sono state memorizzate.
- Per la cura dei dati dei titolari di carta memorizzati vengono utilizzati diversi livelli di sicurezza.
- È fondamentale soddisfare questo requisito di conformità PCI evitando di conservare i dati dei titolari di carta più a lungo del necessario.
- Consenti ai clienti di inserire i dati della loro carta di credito tramite un gateway di pagamento e non inviare mai le informazioni di pagamento senza una crittografia affidabile.
Crittografa i dati sui titolari di carta che possono effettuare un trasferimento su Internet.
- Crittografare la trasmissione dei dati dei titolari di carta tramite reti pubbliche e aperte.
- Prima di trasferire i dati sensibili delle carte su più sistemi, è fondamentale crittografarli. Usando le tecnologie SSL e TLS, puoi farlo.
- La crittografia dei dati durante il transito è estremamente importante poiché protegge i dati dei consumatori anche se le reti vengono violate durante il trasferimento.
- Un certificato SSL aumenta la fiducia dei consumatori e allo stesso tempo approva il transito sicuro dei dati.
Gestire la vulnerabilità
La terza categoria riguarda il modo in cui un'azienda gestisce le vulnerabilità della rete e richiede che un'azienda:
- Il software antivirus dovrebbe avere applicazioni e aggiornamenti su base regolare.
- Crea e mantiene software e sistemi sicuri.
Implementare forti misure di controllo degli accessi
Limita l'accesso ai dati della carta
- L'accesso ai dati dei titolari di carta dovrebbe essere la limitazione per coloro che hanno un'esigenza aziendale di sapere.
- Limitando l'accesso ai dati dei titolari di carta a un numero limitato di persone, puoi ridurre le frodi e il furto di dati.
- Possono avere accesso gli amministratori con l'autorizzazione delle credenziali .
- Ti aiuta anche a tenere traccia di tutte le modifiche al sistema monitorando e documentando il controllo degli accessi.
- L'accesso limitato ti consente di classificare le procedure di sicurezza in base a chi deve sapere, offrendoti un quadro chiaro di tutte le attività di amministrazione.
ID univoci per l'accesso ai dati
- Ogni persona che ha accesso al computer dovrebbe ricevere un ID univoco.
- Puoi monitorare l'attività di ogni individuo autorizzato utilizzando ID univoci.
- Esegui l'autorizzazione a 2 fattori per una maggiore protezione, modifica regolarmente le password di accesso e conserva registri dettagliati.
- Gli ID univoci ti aiutano anche a controllare gli account utente e a salvaguardare l'accesso degli utenti a tutti i livelli, semplificando Identity and Access Management (IAM).
Limita l'accesso fisico ai dati
- L'accesso fisico ai dati dei titolari di carta dovrebbe essere limitato
- La sicurezza dei dati si espande ai data center e ai server nel mondo fisico.
- I dati devono trovarsi in un ambiente sicuro con autorizzazione all'accesso, sia in sede che fuori sede.
- I data center interni dovrebbero tenere d'occhio lavoratori e visitatori illegali. Prima di dare accesso al data center, puoi anche aggiornare periodicamente i controlli di sicurezza.
- Se stai mantenendo i dati fuori sede, esamina le precauzioni di sicurezza utilizzate dal provider di archiviazione e scegli un servizio di hosting Magento affidabile.
Monitorare e testare le reti regolarmente
La quinta serie di standard si concentra sul modo in cui un'azienda monitora ed esamina la propria rete e impone all'azienda di:
- Tutti gli accessi ai dati dei titolari di carta e alle risorse di rete saranno tracciati e monitorati.
- Valuta regolarmente sistemi e protocolli di sicurezza.
Mantenere una politica di sicurezza delle informazioni
Infine, tutti i sistemi e le procedure devono essere controllati regolarmente, come richiesto dal PCI DSS, per garantire il mantenimento della sicurezza.
Quindi, come si ottiene la conformità PCI?
Qualsiasi azienda o organizzazione che accetta pagamenti con carta online o conserva i dati delle carte di credito deve essere conforme allo standard PCI, tramite il PCI Compliance Security Standard Council.
Le aziende in genere devono verificare la propria conformità PCI ogni anno o trimestre, impiegando un perito professionista o un'azienda per stabilire se stanno effettuando le transazioni correttamente.
Quindi, come si rispetta il PCI?
- Determina il livello PCI che desideri utilizzare. La quantità di transazioni con carta che la tua organizzazione elabora ogni anno determina quale dei quattro livelli ti verrà assegnato. Influiranno sul tuo approccio alla conformità PCI DSS.
- Scegli un questionario per la tua autovalutazione (SAQ). Induci sette tipi diversi in base al tuo livello di commerciante e al modo in cui elabori i dati della carta di credito. Ciascuna classe indica un insieme separato di standard che devono avere standard sufficienti per essere conformi allo standard PCI.
- Crea una rete sicura per soddisfare gli standard di certificazione PCI DSS. Dalla scansione delle vulnerabilità alla manutenzione e riparazione della sicurezza, questo metodo può gestire tutto. Per affrontare tutto il lavoro pesante, avrai bisogno dell'assistenza di un appaltatore di tecnologia dell'informazione.
- Compila il modulo Attestation of Compliance (AOC) – Un documento che verifica i risultati di un audit PCI DSS.
- La strada per la conformità PCI potrebbe essere difficile da percorrere. Tuttavia, se vuoi proteggere la percezione che i tuoi clienti hanno di te e dei tuoi dati vitali dagli hacker, vale la pena fare il viaggio.
In qualità di proprietario di un negozio Magento, ti proponiamo di configurare un plug-in SecurePay conforme a PCI DSS. Per i rivenditori, questo sarà un modo più conveniente per inviare le informazioni sulle transazioni a SecurePay per l'elaborazione.
Inoltre, puoi essere preoccupato di quanto costa la conformità PCI?
I costi di conformità PCI variano a seconda delle dimensioni dell'azienda, delle procedure di elaborazione delle carte e di altre considerazioni.
La conformità PCI DSS può costare fino a $ 300 all'anno per le piccole imprese, a seconda dei seguenti fattori:
- $ 50 – $ 200 per un questionario di autovalutazione (SAQ).
- La scansione delle vulnerabilità costa tra $ 100 e $ 200 per indirizzo IP.
- Circa $ 70 per dipendente per la formazione e la formulazione delle politiche.
- Da $ 100 a $ 10.000 per la riparazione (a seconda della quantità di lavoro richiesta per soddisfare la conformità e la sicurezza).
Il costo complessivo di un esame PCI DSS per le grandi aziende è di circa $ 70.000, incluso
- Verifica in loco: circa $ 40.000
- La scansione delle vulnerabilità costa circa $ 1.000.
- Circa $ 15.000 per i test di penetrazione
- $ 5.000 per la formulazione delle politiche e la formazione.
- Riparazione (aggiornamenti di software e hardware, ecc.): $ 10.000 – $ 500.000
Il prezzo della conformità PCI a livello aziendale non è economico. Tuttavia, qualsiasi commissione di conformità PCI non vale la pena mettere a repentaglio le informazioni dei tuoi clienti o l'immagine a lungo termine della tua azienda.
Ultimo ma non meno importante, ti forniremo alcune best practice per la conformità PCI Magento
La formazione dei dipendenti
La conformità Magento PCI è un requisito tecnologico che richiede una vasta conoscenza e formazione prima dell'implementazione.
Verifica che la tua piattaforma Magento abbia una buona sicurezza grazie ad un team di esperti.
Dedicati alla formazione dei dipendenti o assumi esperti del settore per assisterti con la conformità e la sicurezza di Magento.
Questionari di autovalutazione (SAQ)
Con i piccoli rivenditori, il PCI DSS ha rilasciato nove questionari di autovalutazione.
SAQ è un esame di valutazione della sicurezza sì/no di base che consente di valutare la sicurezza ed eseguire azioni di riparazione efficaci.
Puoi completare la valutazione e aggiungere un Attestato di conformità dopo aver determinato quale questionario è adatto alla tua azienda.
Il PCI SAQ serve come verifica della conformità e della sicurezza. Quando si collabora con società terze, è vantaggioso.
Documentare le politiche e i rapporti di conformità
Tieni un registro delle normative di sicurezza documentando regolarmente le modifiche e i processi operativi nella tua azienda.
Il PCI Report on Compliance and Attestation of Compliance (RoC/AoC) è una valutazione della conformità della sicurezza.
Viene eseguito da un Qualified Security Assessor (QSA) o da un valutatore interno qualificato per determinare se il tuo negozio Magento è sicuro per elaborare i dati dei titolari di carta.
Effettuare una manutenzione regolare
La conformità Magento PCI è un processo di gestione continuo, non una valutazione una tantum.
Le scansioni delle vulnerabilità dovrebbero essere eseguite regolarmente, la sicurezza dovrebbe essere aggiornata e le procedure di conformità dovrebbero essere accuratamente documentate.
Le configurazioni del sistema Magento cambiano continuamente e, se non le segui, perderai i controlli di conformità e metterai a rischio la sicurezza dei dati.
Conclusione
Nell'ambiente Internet, affrontare il problema della sicurezza non è facile sia per le aziende che per i clienti. Pertanto, la conformità Magento PCI può essere un aiuto per le aziende per ridurre il rischio derivante dall'ambiente online. Non solo aiuta gli acquirenti a sentirsi più sicuri quando fanno acquisti nel tuo negozio, ma puoi anche creare la convinzione dei clienti che possono aumentare l'immagine del marchio e attirare più clienti. Quindi, se sei il proprietario di un negozio Magento, non esitare a implementare la conformità PCI Magento. Se non sai cosa fare, puoi visitare il nostro servizio: Sviluppo Magento per trovare la soluzione o contattarci direttamente per comodità.