O que é a conformidade com Magento PCI e por que sua loja Magento precisa disso?
Publicados: 2022-06-01O comércio eletrônico tem se desenvolvido cada vez mais rapidamente recentemente. Portanto, muitas empresas abrem sua loja online em diferentes plataformas, como Woocommerce, Shopify,…especialmente Magento por causa dos recursos brilhantes. No entanto, juntamente com os enormes benefícios, a segurança também é a principal preocupação de clientes e proprietários. Os compradores não querem que suas informações pessoais sejam reveladas para terceiros, o que pode prejudicá-los e as empresas querem manter uma imagem profissional para ganhar a confiança dos clientes. Portanto, neste artigo, apresentaremos uma excelente solução para ajudá-lo a resolver o difícil problema: conformidade com Magento PCI .
Para começar, você deve estar familiarizado com a conformidade com PCI
Então, o que é conformidade com PCI?
PCI é a abreviação de Payment Card Industry. A conformidade com o PCI é um conjunto de normas e leis básicas com o objetivo de melhorar a segurança dos dados de pagamento em todo o mundo. Políticas, gerenciamento de segurança, arquitetura de rede, design de software e outras restrições estão entre elas. O PCI DSS estabelece as melhores práticas para empresas de comércio eletrônico para oferecer um ambiente seguro para dados confidenciais. Outro conhecimento é que o PCI Security Standards Council desenvolve e distribui todos os padrões de conformidade com o PCI. O PCI Security Standards Council foi estabelecido em 2006 para desenvolver esses regulamentos e supervisionar a conformidade com o PCI no setor de comércio eletrônico. Visa, Mastercard, JCB International, Discover Financial Services e American Express estão entre as maiores redes globais de cartões de pagamento representadas no conselho.
A conformidade com o PCI é obrigatória para qualquer empresa que opere uma loja online. As empresas que aderem e alcançam a conformidade com PCI DSS (Padrões de Segurança de Dados da Indústria de Cartões de Pagamento) são chamadas de compatíveis com PCI.
Existem diferentes níveis de conformidade com o PCI DSS que você deve conhecer
A conformidade com o PCI tem quatro estágios diferentes, cada um dos quais se refere a uma avaliação anual por um Avaliador de Segurança Qualificado e uma verificação trimestral por um Fornecedor de Verificação Aprovado de escopo variável.
Nível 1 de conformidade com PCI DSS
Este é o nível inicial de conformidade com PCI para comércio eletrônico e é usado para organizações que processam milhões de transações. Os seguintes tipos de negócios estão sujeitos a essas regras:
- As empresas de comércio eletrônico que lidam com mais de 6 milhões de transações Visa ou Mastercard a cada ano consistem em transações online e offline (se uma empresa tiver uma presença offline)
- Todos os anos, os facilitadores de pagamento executam cerca de 300.000 transações.
- Todas as lojas online que a Visa considera nível 1
- A cada ano, um auditor autorizado do PCI realiza uma auditoria para verificar sua conformidade. A cada trimestre, as organizações de Nível 1 devem ter uma varredura PCI realizada por um Fornecedor de Varredura Aprovado, ou ASV.
Nível 2 de conformidade com PCI DSS
Essa forma de regulação geralmente é adequada para grandes empresas com um volume de transações inferior a 6 milhões:
- 1-6 milhões de transações Visa são realizadas anualmente por comerciantes, com pagamentos online e físicos.
- Com mais de 300.000 transações anuais, os facilitadores de pagamento estão em alta demanda.
- Todos os anos, essas empresas devem preencher um Questionário de Autoavaliação, ou SAQ, bem como uma varredura PCI a cada trimestre.
Nível 3 de conformidade do PCI DSS
Esse nível de conformidade com PCI para comércio eletrônico é para comerciantes que realizam de 20.000 a 1 milhão de transações de comércio eletrônico Visa por ano. Essas empresas, como o nível 2, devem preencher um SAQ anual, mas têm apenas a obrigação de executar verificações trimestrais em determinadas condições.
Nível de conformidade 4 do PCI DSS
O nível 4 refere-se a empresas de comércio eletrônico menores com menos transações:
- Os vendedores que fazem menos de 20.000 transações Visa por ano não são elegíveis.
- Comerciantes que executam um milhão ou mais de transações Visa por ano (online e offline)
Embora seja necessária uma SAW anual, a varredura PCI trimestral é executada “conforme necessário”. A visão geral dos principais níveis de conformidade do PCI DSS fornecidos acima o ajudará a determinar qual nível de conformidade sua empresa deve alcançar.
Conformidade com Magento PCI
Em primeiro lugar, Magento Commerce Edition
Como você sabe, Magento 2 Commerce (Cloud) Edition, especialmente a versão mais recente Magento 2.4.4 é certificado PCI como um Provedor de Soluções Nível 1, continuando o legado de seu antecessor. A conformidade com PCI está cada vez mais acessível às empresas. Eles podem contar com o Atestado de Conformidade PCI da Magento para ajudá-los a demonstrar que atenderam aos critérios.
Como a maioria das pessoas que usam o Commerce Edition são empresas de médio e grande porte que lidam com mais de 6 milhões de transações por ano, isso é fundamental.
Além disso, as lojas Magento estão vinculadas a gateways de pagamento, que enviam dados diretamente para o gateway de pagamento, em vez de armazená-los no servidor Magento. Ambas as edições Magento Open Source e Commerce têm esse recurso.
Em seguida, Magento Open Source Edition
A Open Source Edition não contém conformidade com PCI como um recurso. No entanto, existem algumas opções para tornar seu site Magento compatível com PCI:
1. Faça um pagamento por meio de um serviço de terceiros (por exemplo, PayPal express)
Foi assim que dissemos na seção da edição Commerce.
Você não precisará ser compatível com PCI se escolher esta opção porque as informações do cartão de crédito não serão armazenadas em seu servidor. O uso de um gateway de pagamento de terceiros no passado pode ter causado a interrupção do processo de checkout do seu cliente. No entanto, isso não é mais um problema.
Com um gateway de pagamento de terceiros, por exemplo, integração com Magento Stripe , os comerciantes agora podem fornecer uma experiência de checkout perfeita. Você pode fazer alterações no aplicativo principal de comércio eletrônico Magento sem ter que passar por uma reavaliação para ser compatível com PCI se dados confidenciais não estiverem armazenados no servidor Magento.
2. Use um aplicativo de pagamento SaaS compatível com PCI.
Você pode utilizar o CRE Secure, que é compatível com PCI, como exemplo. O cliente é direcionado para um site diferente (o URL muda), mas o formulário pode ser ajustado para combinar com o design da sua loja.
E a questão é por que você precisa ser compatível com PCI?
Não é exagero afirmar que o comércio eletrônico dominou o mercado nos últimos anos. Junto com esse desenvolvimento, cresce o cuidado com a segurança dos dados dos clientes quando se trata de transações financeiras online. Apesar de a conformidade com o PCI não ser exigida por lei, é considerada por precedentes. Isso ocorre porque, ao aceitar pagamentos com cartão, é sua responsabilidade proteger as informações financeiras confidenciais de seus clientes.
As empresas de comércio eletrônico se beneficiam de serem compatíveis com PCI de várias maneiras, incluindo:
Violações de dados
- Sem a conformidade com o PCI, sua empresa corre o risco de violações de dados, vazamentos e hackers, o que pode resultar em grave perda de receita.
- A conformidade com PCI fortalece suas defesas contra crimes cibernéticos e auxilia na prevenção de violações de dados.
- Além disso, sua empresa pode enfrentar ações judiciais, cobranças de substituição de cartão e custos de compensação de clientes.
- Se uma violação de dados for descoberta e sua empresa estiver em conformidade com PCI, os custos da violação serão reduzidos.
- Reduza o número de violações de dados. O mais essencial é proteger os dados dos titulares de cartões (nossos clientes) contra ataques cibernéticos.
Multas e multas pesadas
- O não cumprimento das regras do PCI pode resultar em uma variedade de multas que podem esgotar completamente seus recursos financeiros.
- Contando com o volume de transações e a duração do descumprimento, as multas podem variar de US$ 5.000 a US$ 100.000 por mês.
- Falhas de conformidade do governo podem resultar em multas substanciais, além das penalidades impostas pelos provedores de pagamento.
- Para violações graves, as multas podem chegar a € 20 milhões.
- Acusações de fraude, exames forenses e penalidades extras podem ser impostas se a empresa violar a lei novamente
Perda de reputação e receita
- De acordo com uma pesquisa recente da Verizon, 69% dos clientes evitariam fazer negócios com uma empresa que sofreu uma violação de dados, mesmo que oferecesse melhores negócios do que seus rivais.
- Os consumidores agora têm altas expectativas de segurança e uma baixa tolerância a vulnerabilidades de privacidade de dados, graças ao maior conhecimento dos problemas de privacidade de dados do consumidor.
- As violações de dados podem prejudicar a reputação da sua marca e, ao mesmo tempo, reduzir a fidelidade do cliente.
Suspendendo o uso de cartões de crédito em sua loja Magento
- Após uma violação de dados, a não conformidade com a conformidade com o PCI pode resultar na revogação de sua capacidade de aceitar pagamentos com cartão de crédito.
- A suspensão de sua conta de cartão de crédito é uma perda mais séria para sua empresa, pois impede que sua loja processe cartões de crédito no futuro.
- Você precisará de uma política de segurança rígida que esteja em conformidade com as diretrizes do PCI para evitar tais perdas.
Agora, passamos para a lista de verificação de requisitos de conformidade do PCI DSS
Para empresas que gerenciam dados de titulares de cartão e mantêm uma rede de processamento de pagamentos, o PCI SSC estabeleceu 12 padrões divididos em seis seções. Todos esses requisitos devem ser atendidos por qualquer empresa que queira estar em conformidade.
Construir e manter uma rede segura
O primeiro conjunto de requisitos refere-se à manutenção de uma rede segura e especifica que uma empresa deve:
- Instala e mantém um firewall atualizado.
- Nos dados do cliente, usa senhas originais selecionadas pelo usuário em vez de senhas fornecidas pelo fornecedor.
Proteger os dados do titular do cartão
Proteja as informações sobre os titulares do cartão que foram armazenadas.
- Vários níveis de segurança são usados para cuidar dos dados armazenados do titular do cartão.
- É fundamental atender a esse requisito de conformidade com PCI evitando reter os dados do titular do cartão por mais tempo do que o necessário.
- Permita que os clientes insiram suas informações de cartão de crédito por meio de um gateway de pagamento e nunca envie informações de pagamento sem criptografia robusta.
Criptografe dados sobre titulares de cartão que podem ser transferidos pela Internet.
- Criptografe a transmissão de dados do titular do cartão por meio de redes abertas e públicas.
- Antes de transportar dados confidenciais do cartão para vários sistemas, é fundamental criptografá-los. Usando as tecnologias SSL e TLS, você pode fazer isso.
- A criptografia de dados durante o trânsito é extremamente importante, pois protege os dados do consumidor, mesmo que as redes sejam violadas durante a transferência.
- Um certificado SSL aumenta a confiança do consumidor ao mesmo tempo em que aprova o trânsito seguro de dados.
Gerenciando vulnerabilidade
A terceira categoria diz respeito a como uma empresa gerencia vulnerabilidades de rede e exige que uma empresa:
- O software antivírus deve ter aplicativos e atualizações regulares.
- Cria e mantém software e sistemas seguros.
Implementar Medidas Fortes de Controle de Acesso
Restringir o acesso aos dados do cartão
- O acesso aos dados do titular do cartão deve ser a limitação para quem tem uma necessidade comercial de saber.
- Ao restringir o acesso aos dados do titular do cartão a um pequeno número de pessoas, você pode diminuir a fraude e o roubo de dados.
- Administradores com autorização de credenciais podem ter acesso.
- Ele também ajuda você a acompanhar todas as modificações do sistema, monitorando e documentando o controle de acesso.
- A entrada limitada permite categorizar os procedimentos de segurança com base em quem precisa saber, fornecendo uma visão clara de todas as tarefas administrativas.
IDs exclusivos para acesso a dados
- Cada pessoa que tem acesso ao computador deve receber uma identificação única.
- Você pode acompanhar a atividade de cada indivíduo autorizado usando IDs exclusivos.
- Execute a autorização de 2 fatores para proteção adicional, altere as senhas de acesso regularmente e mantenha registros detalhados.
- IDs exclusivos também ajudam você a controlar contas de usuários e proteger o acesso de usuários em todos os níveis, facilitando o gerenciamento de identidade e acesso (IAM).
Restringir o acesso físico aos dados
- O acesso físico aos dados do titular do cartão deve ser uma limitação
- A segurança de dados se expande para data centers e servidores no mundo físico.
- Os dados devem estar em um ambiente seguro com autorização de acesso, seja no local ou fora do local.
- Os data centers internos devem ficar de olho nos trabalhadores e visitantes ilegais. Antes de conceder acesso ao data center, você também pode atualizar as verificações de segurança regularmente.
- Se você estiver mantendo dados fora do local, verifique as precauções de segurança usadas pelo provedor de armazenamento e escolha um serviço de hospedagem Magento respeitável.
Monitore e teste redes regularmente
O quinto conjunto de padrões se concentra em como uma empresa monitora e examina sua rede e exige que a empresa:
- Todo o acesso aos dados do titular do cartão e recursos de rede terá rastreamento e monitoramento.
- Avalia regularmente os sistemas e protocolos de segurança.
Manter uma Política de Segurança da Informação
E por último, todos os sistemas e procedimentos devem ser verificados regularmente, conforme exigência do PCI DSS, para garantir a manutenção da segurança.
Então, como você obtém a conformidade com o PCI?
Qualquer empresa ou organização que receba pagamentos com cartão online ou mantenha dados de cartão de crédito deve ser compatível com PCI, por meio do PCI Compliance Security Standard Council.
Normalmente, as empresas devem verificar sua conformidade com o PCI a cada ano ou trimestre, empregando um avaliador profissional ou uma empresa para determinar se estão fazendo as transações corretamente.
Então, como você está em conformidade com o PCI?
- Determine o nível PCI que você deseja usar. A quantidade de transações com cartão que sua organização processa a cada ano determina qual dos quatro níveis você será designado. Eles influenciarão sua abordagem à conformidade com o PCI DSS.
- Escolha um questionário para sua autoavaliação (SAQ). Induza sete tipos diferentes com base no seu nível de comerciante e em como você processa as informações do cartão de crédito. Cada classe indica um conjunto separado de padrões que devem ter padrões suficientes para serem compatíveis com PCI.
- Crie uma rede segura para atender aos padrões de certificação PCI DSS. Da verificação de vulnerabilidades à manutenção e reparo de segurança, esse método pode lidar com tudo. Para lidar com todo o trabalho pesado, você precisará da assistência de um empreiteiro de tecnologia da informação.
- Preencha o formulário Atestado de Conformidade (AOC) – um documento que verifica as descobertas de uma auditoria do PCI DSS.
- O caminho para a conformidade com o PCI pode ser difícil de navegar. No entanto, se você deseja proteger as percepções de seus clientes sobre você e seus dados vitais de hackers, vale a pena a viagem.
Propomos que, como proprietário de uma loja Magento, você configure um plug-in SecurePay compatível com PCI DSS. Para os varejistas, essa será uma maneira mais econômica de enviar informações de transações ao SecurePay para processamento.
Além disso, você pode se preocupar com quanto custa o PCI Compliance?
Os custos de conformidade com PCI variam de acordo com o tamanho da sua empresa, procedimentos de processamento de cartão e outras considerações.
A conformidade com o PCI DSS pode custar apenas US$ 300 por ano para pequenas empresas, dependendo dos seguintes fatores:
- $ 50 – $ 200 para um Questionário de Autoavaliação (SAQ).
- A verificação de vulnerabilidades custa entre US$ 100 e US$ 200 por endereço IP.
- Cerca de US$ 70 por funcionário para treinamento e formulação de políticas.
- De US$ 100 a US$ 10.000 para remediação (dependendo da quantidade de trabalho necessária para atender a conformidade e segurança).
O custo total de um exame PCI DSS para grandes empresas é de cerca de US$ 70.000 na expectativa, incluindo
- Auditoria no local: Aproximadamente US$ 40.000
- A verificação de vulnerabilidades custa cerca de US$ 1.000.
- Cerca de US $ 15.000 para testes de penetração
- $ 5.000 para formulação de políticas e treinamento.
- Remediação (atualizações de software e hardware, etc.): $ 10.000 – $ 500.000
O preço de ser compatível com PCI no nível corporativo não é barato. Ainda assim, qualquer taxa de conformidade com PCI não vale a pena colocar em risco as informações de seus clientes ou a imagem de longo prazo de sua empresa.
Por último, mas não menos importante, forneceremos algumas práticas recomendadas para conformidade com Magento PCI
Treinamento de funcionário
A conformidade com Magento PCI é um requisito tecnológico que requer amplo conhecimento e treinamento antes da implementação.
Verifique se sua plataforma Magento tem uma boa segurança graças a uma equipe de especialistas.
Dedique-se ao treinamento de funcionários ou contrate especialistas do setor para ajudá-lo com a conformidade e a segurança do Magento.
Questionários de autoavaliação (SAQs)
Com pequenos varejistas, o PCI DSS lançou nove questionários de autoavaliação.
O SAQ é um exame básico de avaliação de segurança sim/não que permite avaliar sua segurança e realizar ações de reparo eficazes.
Você pode concluir a avaliação e adicionar um Atestado de Conformidade depois de determinar qual questionário é adequado para sua empresa.
O PCI SAQ serve como verificação de conformidade e segurança. Ao colaborar com empresas terceirizadas, é vantajoso.
Documentar políticas e relatórios de conformidade
Mantenha um registro dos regulamentos de segurança documentando as mudanças e os processos operacionais em sua empresa regularmente.
O Relatório PCI sobre Conformidade e Atestado de Conformidade (RoC/AoC) é uma avaliação de conformidade de segurança.
Ele é realizado por um Avaliador de Segurança Qualificado (QSA) ou um avaliador interno qualificado para determinar se sua loja Magento é segura para processar os dados do titular do cartão.
Faça manutenções periódicas
A conformidade com Magento PCI é um processo de gerenciamento contínuo, não uma avaliação única.
As verificações de vulnerabilidade devem ser realizadas regularmente, a segurança deve ser atualizada e os procedimentos de conformidade devem ser minuciosamente documentados.
As configurações do sistema Magento mudam o tempo todo e, se você não as acompanhar, perderá os controles de conformidade e comprometerá a segurança dos dados.
Conclusão
No ambiente da Internet, lidar com o problema de segurança não é fácil para empresas e clientes. Portanto, a conformidade com Magento PCI pode ser uma ajuda para as empresas reduzirem o risco proveniente do ambiente online. Isso não apenas ajuda os compradores a se sentirem mais seguros ao fazer compras em sua loja, mas também pode criar a crença dos clientes, o que pode aumentar a imagem da marca e atrair mais clientes. Então, se você é proprietário de uma loja Magento, não hesite em implementar a conformidade com Magento PCI. Se não sabe o que fazer, pode visitar o nosso serviço: Desenvolvimento Magento para encontrar a solução ou contactar-nos directamente para maior comodidade.