Co to jest zgodność z Magento PCI i dlaczego Twój sklep Magento jej potrzebuje?
Opublikowany: 2022-06-01E-Commerce rozwija się w ostatnim czasie coraz szybciej. Dlatego wiele firm otwiera swój sklep internetowy na różnych platformach, takich jak Woocommerce, Shopify… zwłaszcza Magento ze względu na genialne funkcje. Jednak wraz z ogromnymi korzyściami bezpieczeństwo jest również główną troską zarówno klientów, jak i właścicieli. Kupujący nie chcą, aby ich dane osobowe zostały ujawnione osobom trzecim, które mogą im zaszkodzić, a firmy chcą zachować profesjonalny wizerunek, aby zdobyć zaufanie klientów. Dlatego w tym artykule przedstawimy Ci wyjątkowe rozwiązanie, które pomoże Ci rozwiązać trudny problem: zgodność z Magento PCI .
Na początek powinieneś zapoznać się ze zgodnością z PCI
Czym więc jest zgodność z PCI?
PCI to skrót od Payment Card Industry. Zgodność z PCI to zbiór podstawowych standardów i przepisów mających na celu poprawę bezpieczeństwa danych płatniczych na całym świecie. Wśród nich są zasady, zarządzanie bezpieczeństwem, architektura sieci, projektowanie oprogramowania i inne ograniczenia. PCI DSS ustanawia najlepsze praktyki dla firm handlu elektronicznego, aby zapewnić bezpieczne środowisko dla poufnych danych. Kolejną wiedzą jest to, że Rada Standardów Bezpieczeństwa PCI opracowuje i rozpowszechnia wszystkie standardy zgodności PCI. Rada Standardów Bezpieczeństwa PCI została ustanowiona w 2006 roku w celu opracowania tych przepisów i nadzorowania zgodności PCI w branży eCommerce. Visa, Mastercard, JCB International, Discover Financial Services i American Express należą do największych światowych sieci kart płatniczych reprezentowanych w radzie.
Zgodność z PCI jest obowiązkowa dla każdej firmy prowadzącej sklep internetowy. Firmy, które przestrzegają i osiągają zgodność ze standardami PCI DSS (Payment Card Industry Data Security Standards), są określane jako zgodne z PCI.
Istnieją różne poziomy zgodności z PCI DSS, o których powinieneś wiedzieć
Zgodność z PCI składa się z czterech różnych etapów, z których każdy odnosi się do rocznej oceny przez wykwalifikowanego asesora bezpieczeństwa i kwartalnego skanowania przez zatwierdzonego dostawcę skanowania o różnym zakresie.
Poziom zgodności PCI DSS 1
Jest to początkowy poziom zgodności PCI dla handlu elektronicznego i jest używany w organizacjach, które przetwarzają miliony transakcji. Poniższe rodzaje działalności podlegają tym zasadom:
- Firmy eCommerce, które obsługują ponad 6 milionów transakcji Visa lub Mastercard każdego roku, składają się zarówno z transakcji online, jak i offline (jeśli firma jest obecna offline)
- Każdego roku pośrednicy płatności realizują około 300 000 transakcji.
- Wszystkie sklepy internetowe, które Visa uważa za Poziom 1
- Co roku autoryzowany audytor PCI przeprowadza audyt w celu sprawdzenia ich zgodności. Co kwartał organizacje poziomu 1 muszą mieć skan PCI wykonany przez zatwierdzonego dostawcę skanowania lub ASV.
Poziom zgodności PCI DSS 2
Ta forma regulacji jest zwykle odpowiednia dla dużych firm o wolumenie transakcji poniżej 6 milionów:
- Sprzedawcy przeprowadzają rocznie 1-6 milionów transakcji Visa, dokonując płatności zarówno online, jak i fizycznych.
- Przy ponad 300 000 rocznych transakcjach bardzo poszukiwane są osoby ułatwiające płatności.
- Każdego roku firmy te muszą wypełnić kwestionariusz samooceny (SAQ), a także co kwartał skan PCI.
Poziom zgodności PCI DSS 3
Ten poziom zgodności z PCI dla eCommerce dotyczy sprzedawców, którzy przeprowadzają od 20 000 do 1 miliona transakcji Visa eCommerce rocznie. Firmy te, podobnie jak poziom 2, muszą wypełnić coroczny kwestionariusz samooceny, ale mają obowiązek wykonywania skanów kwartalnych tylko w określonych warunkach.
Poziom zgodności PCI DSS 4
Poziom 4 dotyczy mniejszych firm eCommerce z mniejszą liczbą transakcji:
- Sprzedawcy, którzy dokonują mniej niż 20 000 transakcji Visa rocznie, nie kwalifikują się.
- Sprzedawcy, którzy wykonują milion lub więcej transakcji Visa rocznie (online i offline)
Chociaż wymagana jest roczna SAW, kwartalne badanie PCI jest wykonywane „w razie potrzeby”. Przedstawiony powyżej przegląd głównych poziomów zgodności PCI DSS pomoże Ci określić, jaki poziom zgodności powinna osiągnąć Twoja firma.
Zgodność z Magento PCI
Po pierwsze, Magento Commerce Edition
Jak wiecie, Magento 2 Commerce (Cloud) Edition, zwłaszcza najnowsza wersja Magento 2.4.4 , posiada certyfikat PCI jako dostawca rozwiązań poziomu 1, kontynuując dziedzictwo swojego poprzednika. Zgodność z PCI jest coraz bardziej dostępna dla przedsiębiorstw. Mogą polegać na poświadczeniu zgodności PCI Magento, aby pomóc im wykazać, że spełniają kryteria.
Ponieważ większość osób korzystających z wersji Commerce Edition to średnie i duże firmy, które obsługują ponad 6 milionów transakcji rocznie, ma to kluczowe znaczenie.
Ponadto sklepy Magento są połączone z bramkami płatności, które wysyłają dane bezpośrednio do bramki płatności, a nie przechowują je na serwerze Magento. Zarówno edycje Magento Open Source, jak i Commerce mają tę możliwość.
Następnie Magento Open Source Edition
Wersja Open Source Edition nie zawiera funkcji zgodności z PCI. Istnieje jednak kilka opcji, dzięki którym Twoja witryna Magento będzie zgodna z PCI:
1. Dokonaj płatności za pośrednictwem usługi innej firmy (na przykład PayPal express)
W ten sposób stwierdziliśmy w sekcji Edycja Commerce.
Jeśli wybierzesz tę opcję, nie będziesz musiał być zgodny z PCI, ponieważ informacje o karcie kredytowej nie będą przechowywane na Twoim serwerze. Korzystanie z bramki płatności innej firmy w przeszłości mogło spowodować przerwanie procesu realizacji transakcji przez klienta. Jednak to już nie jest problem.
Dzięki bramce płatności innej firmy, na przykład integracji Magento Stripe , sprzedawcy mogą teraz zapewnić bezproblemową obsługę transakcji. Możesz wprowadzać zmiany w podstawowej aplikacji Magento eCommerce bez konieczności ponownej oceny zgodności z PCI, jeśli poufne dane nie są przechowywane na serwerze Magento.
2. Użyj aplikacji płatniczej SaaS zgodnej z PCI.
Jako przykład możesz użyć CRE Secure, który jest zgodny z PCI. Klient zostaje przekierowany na inną stronę internetową (zmienia się adres URL), ale formularz można dostosować do wyglądu Twojego sklepu.
A pytanie brzmi, dlaczego musisz być Zgodny z PCI?
Nie jest przesadą stwierdzenie, że eCommerce zdominowało rynek od kilku lat. Wraz z tym rozwojem rośnie dbałość o bezpieczeństwo danych klientów w przypadku transakcji finansowych online. Pomimo faktu, że zgodność z PCI nie jest wymagana przez prawo, jest to traktowane jako precedens. Dzieje się tak, ponieważ akceptując płatności kartą, Twoim obowiązkiem jest ochrona poufnych informacji finansowych Twoich klientów.
Firmy zajmujące się handlem elektronicznym czerpią korzyści ze zgodności z PCI na różne sposoby, w tym:
Naruszenia danych
- Bez zgodności z PCI Twoja firma jest narażona na ryzyko naruszenia bezpieczeństwa danych, wycieków i hakerów, co może skutkować poważną utratą dochodów.
- Zgodność z PCI wzmacnia ochronę przed cyberprzestępczością i pomaga zapobiegać naruszeniom danych.
- Poza tym Twoja firma może zmierzyć się z procesami sądowymi, opłatami za wymianę karty i kosztami odszkodowań dla klientów.
- Jeśli zostanie wykryte naruszenie danych, a Twoja firma jest zgodna z PCI, koszty naruszenia zostaną zmniejszone.
- Zmniejsz liczbę naruszeń danych. Najważniejsze, chroń dane posiadaczy kart (naszych klientów) przed cyberatakami.
Kary i wysokie grzywny
- Nieprzestrzeganie zasad PCI może skutkować różnymi grzywnami, które mogą całkowicie wyczerpać Twoje zasoby finansowe.
- Licząc na wolumen transakcji i długość niezgodności, kary mogą wynosić od 5 000 do 100 000 USD miesięcznie.
- Nieprzestrzeganie przepisów przez rząd może skutkować wysokimi grzywnami, oprócz kar nakładanych przez dostawców usług płatniczych.
- W przypadku poważnych naruszeń grzywny mogą sięgać 20 milionów euro.
- Opłaty za oszustwa, badania kryminalistyczne i dodatkowe kary mogą zostać nałożone, jeśli firma ponownie naruszy prawo
Utrata reputacji i przychodów
- Według niedawnej ankiety Verizon, 69% klientów uniknęłoby prowadzenia interesów z firmą, która doświadczyła naruszenia danych, nawet jeśli oferowaliby lepsze oferty niż ich konkurenci.
- Konsumenci mają obecnie wysokie oczekiwania w zakresie bezpieczeństwa i niską tolerancję na luki w prywatności danych, dzięki większej wiedzy na temat zagadnień związanych z prywatnością danych konsumentów.
- Naruszenia danych mogą zaszkodzić reputacji Twojej marki, jednocześnie zmniejszając lojalność klientów.
Zawieszenie korzystania z kart kredytowych w Twoim sklepie Magento
- Po naruszeniu danych, nieprzestrzeganie zgodności z PCI może skutkować anulowaniem płatności kartą kredytową.
- Zawieszenie konta karty kredytowej jest poważniejszą stratą dla Twojej firmy, ponieważ uniemożliwia sklepowi przetwarzanie kart kredytowych w przyszłości.
- Aby uniknąć takich strat, będziesz potrzebować ścisłej polityki bezpieczeństwa zgodnej z wytycznymi PCI.
Teraz przechodzimy do listy kontrolnej wymagań zgodności PCI DSS
Dla firm, które zarządzają danymi posiadaczy kart i utrzymują sieć przetwarzania płatności, PCI SSC ustanowił 12 standardów podzielonych na sześć sekcji. Wszystkie te wymagania musi spełnić każda firma, która chce zachować zgodność.
Zbuduj i utrzymuj bezpieczną sieć
Pierwszy zestaw wymagań dotyczy utrzymania bezpiecznej sieci i określa, że firma musi:
- Instaluje i aktualizuje zaporę.
- W przypadku danych klienta używa oryginalnych haseł wybranych przez użytkownika, a nie haseł dostarczonych przez dostawcę.
Chroń dane posiadacza karty
Chroń informacje o posiadaczach kart, które zostały zapisane.
- Do obsługi przechowywanych danych posiadacza karty stosuje się kilka poziomów bezpieczeństwa.
- Niezbędne jest spełnienie tego wymogu zgodności PCI poprzez unikanie przechowywania danych posiadacza karty dłużej niż to konieczne.
- Pozwól klientom wprowadzać dane karty kredytowej przez bramkę płatniczą i nigdy nie wysyłaj informacji o płatnościach bez solidnego szyfrowania.
Zaszyfruj dane posiadaczy kart , które wykonują przelew przez Internet.
- Szyfruj transmisję danych posiadacza karty za pośrednictwem sieci otwartych i publicznych.
- Przed przesłaniem poufnych danych karty do wielu systemów należy je zaszyfrować. Korzystając z technologii SSL i TLS, możesz to osiągnąć.
- Szyfrowanie danych podczas przesyłania jest niezwykle ważne, ponieważ chroni dane konsumentów nawet w przypadku naruszenia sieci podczas przesyłania.
- Certyfikat SSL zwiększa przekonanie konsumentów, jednocześnie zatwierdzając bezpieczne przesyłanie danych.
Zarządzanie podatnością
Trzecia kategoria dotyczy sposobu, w jaki firma zarządza podatnościami sieci i wymaga, aby firma:
- Oprogramowanie antywirusowe powinno być regularnie instalowane i aktualizowane.
- Tworzy i utrzymuje bezpieczne oprogramowanie i systemy.
Wdrożenie silnych środków kontroli dostępu
Ogranicz dostęp do danych karty
- Dostęp do danych posiadacza karty powinien być ograniczeniem dla tych, którzy mają biznesową potrzebę ich poznania.
- Ograniczając dostęp do danych posiadacza karty do niewielkiej liczby osób, możesz zmniejszyć liczbę oszustw i kradzieży danych.
- Dostęp mogą mieć administratorzy z autoryzacją poświadczeń .
- Pomaga również śledzić wszystkie modyfikacje systemu poprzez monitorowanie i dokumentowanie kontroli dostępu.
- Ograniczony wpis pozwala na kategoryzację procedur bezpieczeństwa w oparciu o to, kto musi wiedzieć, co daje jasny obraz wszystkich zadań administracyjnych.
Unikalne identyfikatory dostępu do danych
- Każda osoba mająca dostęp do komputera powinna otrzymać unikalny identyfikator.
- Możesz śledzić aktywność każdej upoważnionej osoby za pomocą unikalnych identyfikatorów.
- Przeprowadzaj autoryzację dwuskładnikową dla dodatkowej ochrony, regularnie zmieniaj hasła dostępu i przechowuj szczegółowe dzienniki.
- Unikalne identyfikatory pomagają również kontrolować konta użytkowników i zabezpieczają dostęp użytkowników na wszystkich poziomach, ułatwiając zarządzanie tożsamością i dostępem (IAM).
Ogranicz fizyczny dostęp do danych
- Fizyczny dostęp do danych posiadacza karty powinien być ograniczony
- Bezpieczeństwo danych rozszerza się na centra danych i serwery w świecie fizycznym.
- Dane muszą znajdować się w bezpiecznym środowisku z dostępem autoryzacyjnym, zarówno na miejscu, jak i poza nim.
- Wewnętrzne centra danych powinny mieć oko na nielegalnych pracowników i gości. Przed udzieleniem dostępu do centrum danych możesz również regularnie aktualizować kontrole bezpieczeństwa.
- Jeśli przechowujesz dane poza witryną, zapoznaj się ze środkami bezpieczeństwa stosowanymi przez dostawcę pamięci masowej i wybierz renomowaną usługę hostingową Magento.
Regularnie monitoruj i testuj sieci
Piąty zestaw standardów koncentruje się na tym, jak firma monitoruje i sprawdza swoją sieć, i nakazuje firmie:
- Cały dostęp do danych posiadacza karty i zasobów sieciowych będzie śledzony i monitorowany.
- Regularnie ocenia systemy i protokoły bezpieczeństwa.
Utrzymuj politykę bezpieczeństwa informacji
I wreszcie, wszystkie systemy i procedury muszą być regularnie sprawdzane, zgodnie z wymogami PCI DSS, aby zapewnić utrzymanie bezpieczeństwa.
Jak więc uzyskać zgodność z PCI?
Każda firma lub organizacja, która przyjmuje płatności kartą online lub przechowuje dane karty kredytowej, powinna być zgodna z PCI, za pośrednictwem Rady Standardów Bezpieczeństwa Zgodności PCI.
Firmy muszą zazwyczaj sprawdzać zgodność z PCI co roku lub co kwartał, zatrudniając profesjonalnego rzeczoznawcę lub firmę w celu ustalenia, czy prawidłowo przeprowadzają transakcje.
Jak więc spełniasz wymogi PCI?
- Określ poziom PCI, którego chcesz użyć. Liczba transakcji kartowych, które Twoja organizacja przetwarza każdego roku, określa, który z czterech poziomów zostanie Ci przydzielony. Wpłyną one na Twoje podejście do zgodności z PCI DSS.
- Wybierz kwestionariusz do samooceny (SAQ). Wprowadź siedem różnych typów w zależności od poziomu sprzedawcy i sposobu przetwarzania informacji o karcie kredytowej. Każda klasa wskazuje oddzielny zestaw standardów, które muszą mieć wystarczający standard , aby były zgodne z PCI.
- Utwórz bezpieczną sieć, aby spełnić standardy certyfikacji PCI DSS. Od skanowania luk w zabezpieczeniach po konserwację i naprawę zabezpieczeń, ta metoda poradzi sobie ze wszystkim. Aby poradzić sobie z wszystkimi ciężarami, będziesz potrzebować pomocy wykonawcy technologii informacyjnej.
- Wypełnij formularz zaświadczenia o zgodności (AOC) — dokument, który weryfikuje wyniki audytu PCI DSS.
- Droga do zgodności z PCI może być trudna do nawigowania. Jeśli jednak chcesz zabezpieczyć opinie klientów o Tobie i Twoich ważnych danych przed hakerami, warto wybrać się na wycieczkę.
Proponujemy, aby jako właściciel sklepu Magento skonfigurować wtyczkę SecurePay zgodną z PCI DSS. Dla sprzedawców detalicznych będzie to bardziej opłacalny sposób wysyłania informacji o transakcjach do SecurePay w celu przetworzenia.
Poza tym możesz się martwić, ile kosztuje zgodność z PCI?
Koszty zgodności PCI różnią się w zależności od wielkości firmy, procedur przetwarzania kart i innych czynników.
Zgodność z PCI DSS może kosztować nawet 300 USD rocznie dla małych firm, w zależności od następujących czynników:
- 50 $ – 200 $ za kwestionariusz samooceny (SAQ).
- Skanowanie podatności kosztuje od 100 do 200 USD za adres IP.
- Około 70 USD na pracownika za szkolenie i sformułowanie polityki.
- Od 100 USD do 10 000 USD na naprawę (w zależności od ilości pracy wymaganej do zapewnienia zgodności i bezpieczeństwa).
Całkowity koszt egzaminu PCI DSS dla dużych firm wynosi około 70 000 USD, w tym
- Audyt na miejscu: około 40 000 USD
- Skanowanie podatności kosztuje około 1000 USD.
- Około 15 000 USD na testy penetracyjne
- 5000 USD na opracowanie polityki i szkolenie.
- Remediacja (aktualizacje oprogramowania i sprzętu itp.): 10 000 – 500 000 USD
Cena zgodności z PCI na poziomie przedsiębiorstwa nie jest tania. Mimo to żadna opłata za zgodność z PCI nie jest warta narażania informacji o klientach ani długoterminowego wizerunku firmy.
Na koniec przedstawimy kilka najlepszych praktyk dotyczących zgodności z Magento PCI
Szkolenie pracowników
Zgodność z Magento PCI jest wymogiem technologicznym, który wymaga rozległej wiedzy i szkoleń przed wdrożeniem.
Upewnij się, że Twoja platforma Magento jest równie dobrze zabezpieczona dzięki zespołowi ekspertów.
Poświęć się szkoleniom pracowników lub zatrudnij ekspertów branżowych, aby pomóc Ci w zapewnieniu zgodności i bezpieczeństwa Magento.
Kwestionariusze samooceny (SAQ)
W przypadku małych detalistów PCI DSS opublikowała dziewięć kwestionariuszy samooceny.
SAQ to podstawowy egzamin oceny bezpieczeństwa tak/nie, który pozwala ocenić bezpieczeństwo i wykonać skuteczne działania naprawcze.
Możesz ukończyć ocenę i dodać zaświadczenie o zgodności po ustaleniu, który kwestionariusz jest odpowiedni dla Twojej firmy.
PCI SAQ służy do weryfikacji zgodności i bezpieczeństwa. Przy współpracy z firmami zewnętrznymi jest to korzystne.
Polityki dokumentowe i raporty zgodności
Prowadź ewidencję przepisów bezpieczeństwa, dokumentując na bieżąco zmiany i procesy operacyjne w Twojej firmie.
Raport PCI dotyczący zgodności i atestacji zgodności (RoC/AoC) jest oceną zgodności z przepisami dotyczącymi bezpieczeństwa.
Jest przeprowadzany przez Kwalifikowanego Asesora Bezpieczeństwa (QSA) lub wykwalifikowanego rzeczoznawcę wewnętrznego w celu ustalenia, czy Twój sklep Magento jest bezpieczny do przetwarzania danych posiadacza karty.
Przeprowadzaj regularną konserwację
Zgodność z Magento PCI to ciągły proces zarządzania, a nie jednorazowa ocena.
Skany podatności powinny być wykonywane regularnie, zabezpieczenia powinny być aktualizowane, a procedury zgodności powinny być dokładnie udokumentowane.
Konfiguracje systemu Magento zmieniają się cały czas, a jeśli nie nadążysz za nimi, stracisz kontrolę zgodności i narazisz bezpieczeństwo danych.
Wniosek
W środowisku internetowym radzenie sobie z problemem bezpieczeństwa nie jest łatwe zarówno dla biznesu, jak i dla klientów. Dlatego zgodność z Magento PCI może być pomocą dla firm w zmniejszeniu ryzyka płynącego ze środowiska internetowego. Nie tylko pomaga kupującym czuć się bezpieczniej podczas zakupów w Twoim sklepie, ale także budować wiarę klientów, co może wzmocnić wizerunek marki i przyciągnąć więcej klientów. Jeśli jesteś właścicielem sklepu Magento, nie wahaj się wdrożyć zgodności z Magento PCI. Jeśli nie wiesz, co robić, możesz odwiedzić nasz serwis: Rozwój Magento, aby znaleźć rozwiązanie lub skontaktować się z nami bezpośrednio dla wygody.