Что такое соответствие Magento PCI и зачем оно нужно вашему магазину Magento?

Опубликовано: 2022-06-01

В последнее время электронная коммерция все больше и больше развивается. Поэтому многие компании открывают свои интернет-магазины на разных платформах, таких как Woocommerce, Shopify… особенно на Magento из-за блестящих функций. Однако, наряду с огромными преимуществами, безопасность также является главной заботой как клиентов, так и владельцев. Покупатели не хотят, чтобы их личная информация была раскрыта третьим лицам, что может навредить им, а компании хотят сохранить профессиональный имидж, чтобы завоевать доверие клиентов. Поэтому в этой статье мы представим вам выдающееся решение, которое поможет вам решить сложную проблему: соответствие Magento PCI.

Для начала следует ознакомиться с соответствием PCI.

Итак, что же такое соответствие PCI?

что такое соответствие PCI

PCI — это сокращение от индустрии платежных карт. Соответствие PCI — это набор основных стандартов и законов, направленных на повышение безопасности платежных данных во всем мире. Политики, управление безопасностью, сетевая архитектура, дизайн программного обеспечения и другие ограничения входят в их число. PCI DSS устанавливает передовые методы для предприятий электронной коммерции, чтобы обеспечить безопасную среду для конфиденциальных данных. Еще одним фактом является то, что Совет по стандартам безопасности PCI разрабатывает и распространяет все стандарты соответствия PCI. Совет по стандартам безопасности PCI был создан в 2006 году для разработки этих правил и контроля за соблюдением PCI в индустрии электронной коммерции. Visa, Mastercard, JCB International, Discover Financial Services и American Express входят в число крупнейших мировых сетей платежных карт, представленных в совете.

Соответствие PCI является обязательным для любого бизнеса, который управляет интернет-магазином. Компании, которые придерживаются и достигают соответствия PCI DSS (стандартам безопасности данных индустрии платежных карт), называются PCI-совместимыми.

Существуют различные уровни соответствия стандарту PCI DSS, о которых следует знать.

PCI Compliance состоит из четырех различных этапов, каждый из которых относится к ежегодной оценке квалифицированным оценщиком безопасности и ежеквартальному сканированию утвержденным поставщиком сканеров различного объема.

Соответствие стандарту PCI DSS, уровень 1

Это начальный уровень соответствия PCI для электронной коммерции, и он используется для организаций, обрабатывающих миллионы транзакций. Под действие этих правил подпадают следующие виды бизнеса:

  • Компании электронной коммерции, которые ежегодно обрабатывают более 6 миллионов транзакций Visa или Mastercard, включают как онлайн-, так и офлайн-транзакции (если компания присутствует в автономном режиме).
  • Ежегодно платежные посредники проводят около 300 000 транзакций.
  • Все интернет-магазины, которые Visa считает 1-м уровнем
  • Каждый год уполномоченный аудитор PCI проводит аудит для проверки их соответствия. Каждый квартал организации уровня 1 должны проходить сканирование PCI, выполняемое утвержденным поставщиком сканирования или ASV.

Соответствие стандарту PCI DSS, уровень 2

Эта форма регулирования обычно подходит для крупного бизнеса с объемом транзакций менее 6 миллионов:

  • Ежегодно продавцы проводят от 1 до 6 миллионов транзакций Visa, используя как онлайн, так и физические платежи.
  • С более чем 300 000 транзакций в год платежные посредники пользуются большим спросом.
  • Каждый год эти компании должны заполнять Анкету самооценки, или SAQ, а также сканирование PCI каждый квартал.

Соответствие стандарту PCI DSS, уровень 3

Этот уровень соответствия PCI для электронной коммерции предназначен для продавцов, которые проводят от 20 000 до 1 миллиона транзакций электронной коммерции Visa в год.

Эти фирмы, как и компании уровня 2, должны заполнять ежегодный SAQ, но обязаны выполнять ежеквартальное сканирование только при определенных условиях.

Соответствие стандарту PCI DSS, уровень 4

Уровень 4 относится к небольшим предприятиям электронной коммерции с меньшим количеством транзакций:

  • Продавцы, которые совершают менее 20 000 транзакций Visa в год, не имеют права.
  • Продавцы, которые выполняют миллион или более транзакций Visa в год (онлайн и офлайн)

Несмотря на то, что требуется ежегодное SAW, ежеквартальное PCI-сканирование выполняется «по мере необходимости».

Приведенный выше обзор основных уровней соответствия стандарту PCI DSS поможет вам определить, какого уровня соответствия должна достичь ваша компания.

Соответствие Magento PCI

Соответствие Magento PCI

Коммерческая версия Magento

Magento 2 Commerce (Cloud) Edition, особенно последняя версия Magento 2.4.4, сертифицирована PCI как поставщик решений уровня 1, продолжая наследие своего предшественника. Соответствие PCI становится все более доступным для предприятий. Они могут полагаться на аттестацию соответствия Magento PCI, чтобы продемонстрировать, что они соответствуют критериям.

Поскольку большинство людей, использующих Commerce Edition, относятся к среднему и крупному бизнесу, обрабатывающему более 6 миллионов транзакций в год, это очень важно.

Кроме того, магазины Magento связаны с платежными шлюзами, которые отправляют данные прямо в платежный шлюз, а не сохраняют их на сервере Magento. Обе версии Magento с открытым исходным кодом и Commerce имеют эту возможность.

Версия Magento с открытым исходным кодом

Редакция с открытым исходным кодом не содержит функции соответствия PCI. Однако есть несколько способов сделать ваш веб-сайт Magento совместимым с PCI:

1. Произвести оплату через сторонний сервис (например, PayPal Express)

Это то, как мы заявили в разделе коммерческого издания.

Вам не нужно быть PCI-совместимым, если вы выберете этот вариант, потому что информация о кредитной карте не будет храниться на вашем сервере. Использование стороннего платежного шлюза в прошлом могло привести к нарушению процесса оформления заказа вашим клиентом. Однако это уже не проблема.

Благодаря стороннему платежному шлюзу, например интеграции с Magento Stripe, продавцы теперь могут обеспечить беспрепятственный процесс оформления заказа. Вы можете вносить изменения в основное приложение электронной коммерции Magento без повторной проверки на соответствие стандарту PCI, если конфиденциальные данные не хранятся на сервере Magento.

2. Используйте платежное приложение SaaS, совместимое с PCI.

В качестве примера можно использовать CRE Secure, совместимую с PCI. Покупатель перенаправляется на другой веб-сайт (URL-адрес меняется), но форму можно настроить в соответствии с дизайном вашего магазина.

И вопрос в том, почему вам нужно быть PCI-совместимым?

Контрольный список требований соответствия PCI DSS

Не будет преувеличением сказать, что электронная коммерция доминировала на рынке в течение последних нескольких лет. Наряду с этим развитием растет забота о безопасности данных клиентов, когда речь идет о финансовых транзакциях в Интернете. Несмотря на то, что соответствие PCI не требуется по закону, оно считается таковым по прецеденту. Это происходит потому, что при приеме карточных платежей вы несете ответственность за защиту конфиденциальной финансовой информации ваших клиентов.

Предприятия электронной коммерции выигрывают от соответствия PCI различными способами, в том числе:

Утечки данных

  • Без соответствия требованиям PCI ваш бизнес подвергается риску утечек данных, атак хакеров, что может привести к серьезной потере доходов.
  • Соответствие PCI укрепляет вашу защиту от киберпреступлений и помогает предотвратить утечку данных.
  • Кроме того, ваша компания может столкнуться с судебными исками, расходами на замену карты и компенсациями клиентам.
  • Если обнаружена утечка данных, и ваша компания соответствует требованиям PCI, затраты на утечку снижаются.
  • Сократите количество утечек данных. Самое главное, защитить данные держателей карт (наших клиентов) от кибератак.

Штрафы и большие штрафы

  • Несоблюдение правил PCI может привести к различным штрафам, которые могут полностью истощить ваши финансовые ресурсы.
  • В зависимости от объема транзакций и продолжительности несоблюдения штрафы могут варьироваться от 5000 до 100 000 долларов в месяц.
  • Несоблюдение требований правительства может привести к значительным штрафам в дополнение к штрафам, налагаемым платежными провайдерами.
  • За серьезные нарушения штрафы могут достигать 20 миллионов евро.
  • Обвинения в мошенничестве, судебные экспертизы и дополнительные штрафы могут быть наложены, если компания снова нарушит закон

Потеря репутации и дохода

  • Согласно недавнему опросу Verizon, 69% клиентов избегали бы иметь дело с фирмой, которая столкнулась с утечкой данных, даже если бы они предложили более выгодные условия, чем их конкуренты.
  • Теперь у потребителей высокие требования к безопасности и низкая терпимость к уязвимостям конфиденциальности данных благодаря расширению знаний о проблемах конфиденциальности потребительских данных.
  • Утечки данных могут нанести ущерб репутации вашего бренда, а также снизить лояльность клиентов.

Приостановление использования кредитных карт в вашем магазине Magento

  • После утечки данных несоблюдение требований PCI может привести к аннулированию вашей возможности принимать платежи по кредитным картам.
  • Приостановка действия вашей учетной записи кредитной карты является более серьезной потерей для вашего бизнеса, поскольку она не позволяет вашему магазину обрабатывать кредитные карты в будущем.
  • Вам потребуется жесткая политика безопасности, соответствующая рекомендациям PCI, чтобы избежать таких потерь.

Теперь мы переходим к контрольному списку требований соответствия PCI DSS.

12 ключевых требований

Для фирм, которые управляют данными о держателях карт и поддерживают сеть обработки платежей, PCI SSC установил 12 стандартов, разделенных на шесть разделов. Всем этим требованиям должна соответствовать любая компания, которая хочет соответствовать требованиям.

Создайте и поддерживайте безопасную сеть

Первый набор требований касается поддержания защищенной сети и определяет, что компания должна:

  • Устанавливает и поддерживает брандмауэр в актуальном состоянии.
  • В данных клиентов используются исходные пароли, выбранные пользователем, а не пароли, предоставленные поставщиком.

Защитите данные держателей карт

Защитите информацию о держателях карт, которая была сохранена.

  • Для защиты хранимых данных о держателях карт используется несколько уровней безопасности.
  • Очень важно соблюдать это требование соответствия PCI, избегая хранения данных о держателях карт дольше, чем это необходимо.
  • Позвольте клиентам вводить информацию о своей кредитной карте через платежный шлюз и никогда не отправляйте платежную информацию без надежного шифрования.

Шифровать данные о держателях карт, отправляемые через Интернет.

  • Шифруйте передачу данных о держателях карт через открытые и общедоступные сети.
  • Прежде чем передавать конфиденциальные данные карты в несколько систем, очень важно зашифровать их. Этого можно добиться с помощью технологий SSL и TLS.
  • Шифрование данных во время передачи имеет чрезвычайно важное значение, поскольку оно защищает данные потребителей, даже если во время передачи происходит взлом сети.
  • SSL-сертификат повышает доверие потребителей, а также обеспечивает безопасную передачу данных.

Управление уязвимостью

Третья категория касается того, как компания управляет сетевыми уязвимостями, и требует, чтобы компания:

  • Необходимо использовать антивирусное программное обеспечение и регулярно обновлять его.
  • Создает и поддерживает безопасное программное обеспечение и системы.

Внедрите строгие меры контроля доступа

Ограничить доступ к данным карты

Доступ к данным о держателях карт должен быть ограничением для тех, кому это нужно знать по бизнесу.

Ограничив доступ к данным о держателях карт для небольшого числа людей, вы можете уменьшить мошенничество и кражу данных.

Доступ может быть предоставлен администраторам с авторизованными учетными данными.

Это также поможет вам отслеживать все модификации системы, отслеживая и документируя контроль доступа.

Ограниченный доступ позволяет классифицировать процедуры безопасности в зависимости от того, кто должен знать, что дает вам четкое представление обо всех задачах администратора.

Уникальные идентификаторы для доступа к данным

Каждому лицу, имеющему доступ к компьютеру, должен быть присвоен уникальный идентификатор.

Вы можете отслеживать активность каждого авторизованного лица, используя уникальные идентификаторы.

Выполняйте двухфакторную авторизацию для дополнительной защиты, регулярно меняйте пароли доступа и ведите подробные журналы.

Уникальные идентификаторы также помогают контролировать учетные записи пользователей и защищать доступ пользователей на всех уровнях, упрощая управление идентификацией и доступом (IAM).

Ограничить физический доступ к данным

Физический доступ к данным держателей карт должен быть ограничен

Безопасность данных распространяется на центры обработки данных и серверы в физическом мире.

Данные должны храниться в безопасной среде с авторизованным доступом, будь то на месте или за его пределами.

Внутренние дата-центры должны следить за нелегальными работниками и посетителями. Прежде чем предоставить доступ к центру обработки данных, вы также можете регулярно обновлять проверки безопасности.

Если вы храните данные за пределами сайта, ознакомьтесь с мерами предосторожности, используемыми поставщиком хранилища, и выберите надежную службу хостинга Magento.

Регулярно отслеживайте и тестируйте сети

Пятый набор стандартов фокусируется на том, как компания контролирует и проверяет свою сеть, и требует, чтобы компания:

  • Весь доступ к данным о держателях карт и сетевым ресурсам отслеживается и контролируется.
  • Регулярно оценивает системы безопасности и протоколы.

Поддерживать политику информационной безопасности

И, наконец, все системы и процедуры должны регулярно тестироваться, как того требует PCI DSS, для обеспечения безопасности.

Тогда как добиться соответствия PCI? Немного о Python (17)

Любая компания или организация, которые принимают платежи по картам в Интернете или хранят данные кредитных карт, должны соответствовать требованиям PCI через Совет по стандартам безопасности соответствия PCI.

Как правило, предприятия должны ежегодно или ежеквартально проверять свое соответствие PCI, нанимая профессионального оценщика или компанию, чтобы установить, правильно ли они проводят транзакции.

Итак, как вы соблюдаете PCI?

  • Определите уровень PCI, который вы хотите использовать. Количество карточных транзакций, которые ваша организация обрабатывает каждый год, определяет, какой из четырех уровней вам будет присвоен. Они повлияют на ваш подход к соответствию стандарту PCI DSS.
  • Выберите анкету для самооценки (SAQ). Вызовите семь различных типов в зависимости от вашего уровня продавца и того, как вы обрабатываете информацию о кредитной карте. Каждый класс указывает на отдельный набор стандартов, которым необходимо соответствовать, чтобы быть совместимым с PCI.
  • Создайте безопасную сеть, соответствующую стандартам сертификации PCI DSS. От сканирования уязвимостей до обслуживания и восстановления безопасности — этот метод может справиться со всем этим. Чтобы справиться со всей тяжелой работой, вам понадобится помощь подрядчика по информационным технологиям.
  • Заполните форму Attestation of Compliance (AOC) — документ, подтверждающий результаты аудита PCI DSS.
  • Путь к соответствию PCI может быть трудным. Однако, если вы хотите обезопасить восприятие ваших клиентов о вас и ваших жизненно важных данных от хакеров, это стоит того.

Мы предлагаем, чтобы вы как владелец магазина Magento установили подключаемый модуль SecurePay, соответствующий стандарту PCI DSS. Для розничных продавцов это будет более экономичным способом отправки информации о транзакциях в SecurePay для обработки.

Кроме того, вас может волновать, сколько стоит PCI Compliance?

Затраты на соответствие PCI варьируются в зависимости от размера вашей компании, процедур обработки карт и других соображений.

Соответствие стандарту PCI DSS может стоить небольшим фирмам всего 300 долларов в год в зависимости от следующих факторов:

  • 50–200 долларов США за опросник для самооценки (SAQ).
  • Сканирование уязвимостей стоит от 100 до 200 долларов за IP-адрес.
  • Около 70 долларов США на сотрудника за обучение и разработку политики.
  • От 100 до 10 000 долларов США за исправление (в зависимости от объема работы, необходимой для обеспечения соответствия требованиям и безопасности).

Ожидается, что общая стоимость экзамена PCI DSS для крупных предприятий составит около 70 000 долларов США, включая

  • Аудит на месте: около 40 000 долларов США.
  • Сканирование уязвимостей стоит около 1000 долларов.
  • Около 15 000 долларов за тестирование на проникновение
  • 5000 долларов на разработку политики и обучение.
  • Исправление (обновления программного и аппаратного обеспечения и т. д.): 10 000–500 000 долларов США.

Цена совместимости с PCI на уровне предприятия недешева. Тем не менее, любая плата за соответствие требованиям PCI не стоит того, чтобы ставить под угрозу информацию ваших клиентов или долгосрочный имидж вашей компании.

И последнее, но не менее важное: мы дадим вам несколько рекомендаций по соответствию Magento PCI.

как добиться соответствия PCI?

Обучение персонала

Соответствие Magento PCI — это технологическое требование, которое требует обширных знаний и обучения перед внедрением.

Убедитесь, что ваша платформа Magento защищена командой экспертов.

Посвятите обучение сотрудников или наймите отраслевых экспертов, которые помогут вам с соблюдением требований и безопасностью Magento.

Анкеты самооценки (SAQ)

Для небольших розничных продавцов PCI DSS выпустил девять опросников для самооценки.

SAQ — это базовый экзамен по оценке безопасности, который позволяет вам оценить свою безопасность и выполнить эффективные действия по восстановлению.

Вы можете завершить оценку и добавить свидетельство о соответствии после того, как определите, какая анкета подходит для вашей компании.

PCI SAQ служит подтверждением соответствия и безопасности. При сотрудничестве со сторонними компаниями это выгодно.

Документирование политик и отчетов о соответствии

Ведите учет правил безопасности, регулярно документируя изменения и операционные процессы в вашей компании.

Отчет PCI о соответствии и подтверждение соответствия (RoC/AoC) представляет собой оценку соответствия требованиям безопасности.

Это выполняется квалифицированным оценщиком безопасности (QSA) или квалифицированным внутренним оценщиком, чтобы определить, защищен ли ваш магазин Magento для обработки данных держателей карт.

Проводите регулярное техническое обслуживание

Соответствие Magento PCI — это непрерывный процесс управления, а не однократная оценка.

Сканирование уязвимостей должно выполняться на регулярной основе, безопасность должна обновляться, а процедуры соответствия должны быть тщательно задокументированы.

Конфигурации системы Magento постоянно меняются, и если вы не будете за ними следить, вы потеряете контроль соответствия и поставите под угрозу безопасность данных.

Вывод

В интернет-среде решить проблему безопасности непросто как для бизнеса, так и для клиентов. Таким образом, соответствие Magento PCI может помочь компаниям снизить риски, связанные с онлайн-средой. Это не только помогает покупателям чувствовать себя в большей безопасности при совершении покупок в вашем магазине, но и укрепляет доверие клиентов, что может повысить имидж бренда и привлечь больше клиентов. Тогда, если вы являетесь владельцем магазина Magento, не стесняйтесь внедрять соответствие Magento PCI. Если вы не знаете, что делать, вы можете посетить наш сервис: Разработка Magento, чтобы найти решение, или связаться с нами напрямую для удобства.