การปฏิบัติตาม Magento PCI คืออะไรและเหตุใดร้านค้า Magento ของคุณจึงต้องการ
เผยแพร่แล้ว: 2022-06-01อีคอมเมิร์ซมีการพัฒนาอย่างรวดเร็วมากขึ้นเรื่อย ๆ เมื่อเร็ว ๆ นี้ ดังนั้น ธุรกิจจำนวนมากจึงเปิดร้านค้าออนไลน์ของตนบนแพลตฟอร์มต่างๆ เช่น Woocommerce, Shopify,...โดยเฉพาะ Magento เนื่องจากคุณสมบัติที่ยอดเยี่ยม อย่างไรก็ตาม นอกจากประโยชน์มหาศาลแล้ว การรักษาความปลอดภัยยังเป็นประเด็นสำคัญอันดับต้นๆ ของทั้งลูกค้าและเจ้าของ ผู้ซื้อไม่ต้องการให้ข้อมูลส่วนบุคคลของพวกเขาถูกเปิดเผยต่อบุคคลที่สามซึ่งอาจเป็นอันตรายต่อพวกเขา และธุรกิจต่างๆ ต้องการยังคงเป็นภาพพจน์ที่เป็นมืออาชีพเพื่อให้ได้รับความไว้วางใจจากลูกค้า ดังนั้น ในบทความนี้ เราจะแนะนำวิธีแก้ปัญหาที่โดดเด่นเพื่อช่วยคุณแก้ปัญหาที่ยากลำบาก: การ ปฏิบัติตาม Magento PCI
ในการเริ่มต้น คุณควรทำความคุ้นเคยกับการปฏิบัติตามมาตรฐาน PCI
ดังนั้นการปฏิบัติตาม PCI คืออะไร?
PCI เป็นตัวย่อสำหรับอุตสาหกรรมบัตรชำระเงิน การปฏิบัติตาม PCI คือชุดของมาตรฐานและกฎหมายพื้นฐานโดยมีวัตถุประสงค์เพื่อปรับปรุงความปลอดภัยของข้อมูลการชำระเงินทั่วโลก นโยบาย การจัดการความปลอดภัย สถาปัตยกรรมเครือข่าย การออกแบบซอฟต์แวร์ และข้อจำกัดอื่นๆ PCI DSS กำหนดแนวปฏิบัติที่ดีที่สุดสำหรับธุรกิจอีคอมเมิร์ซเพื่อสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับข้อมูลที่ละเอียดอ่อน ความรู้อีกชิ้นหนึ่งคือ PCI Security Standards Council พัฒนาและแจกจ่ายมาตรฐานการปฏิบัติตาม PCI ทั้งหมด PCI Security Standards Council ก่อตั้งขึ้นในปี 2549 เพื่อพัฒนากฎระเบียบเหล่านี้และดูแลการปฏิบัติตาม PCI ในอุตสาหกรรมอีคอมเมิร์ซ Visa, Mastercard, JCB International, Discover Financial Services และ American Express เป็นเครือข่ายบัตรชำระเงินระดับโลกที่ใหญ่ที่สุดแห่งหนึ่งในสภา
การปฏิบัติตาม PCI เป็นข้อบังคับสำหรับธุรกิจใดๆ ที่ดำเนินการร้านค้าออนไลน์ ธุรกิจที่ปฏิบัติตามและบรรลุตามมาตรฐาน PCI DSS (Payment Card Industry Data Security Standards) จะเรียกว่าเป็นไปตามมาตรฐาน PCI
มีระดับการปฏิบัติตาม PCI DSS ที่แตกต่างกันที่คุณควรรู้
การปฏิบัติตามข้อกำหนดของ PCI มีสี่ขั้นตอนที่แตกต่างกัน ซึ่งแต่ละขั้นตอนอ้างอิงถึงการประเมินประจำปีโดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง และการสแกนรายไตรมาสโดยผู้ขายการสแกนที่ได้รับอนุมัติซึ่งมีขอบเขตต่างกัน
การปฏิบัติตาม PCI DSS ระดับ 1
นี่คือระดับเริ่มต้นของการปฏิบัติตาม PCI สำหรับอีคอมเมิร์ซ และใช้สำหรับองค์กรที่ประมวลผลธุรกรรมหลายล้านรายการ ธุรกิจประเภทต่อไปนี้อยู่ภายใต้กฎเหล่านี้:
- บริษัทอีคอมเมิร์ซที่จัดการธุรกรรม Visa หรือ Mastercard มากกว่า 6 ล้านรายการในแต่ละปี ประกอบด้วยธุรกรรมออนไลน์และออฟไลน์ (หากบริษัทมีสถานะออฟไลน์)
- ทุกปี ผู้อำนวยความสะดวกด้านการชำระเงินจะทำธุรกรรมประมาณ 300,000 รายการ
- ร้านค้าออนไลน์ทั้งหมดที่ Visa พิจารณาว่าเป็นระดับ 1
- ในแต่ละปี ผู้ตรวจสอบ PCI ที่ได้รับอนุญาตจะทำการตรวจสอบเพื่อยืนยันการปฏิบัติตาม ทุกไตรมาส องค์กรระดับ 1 ต้องมีการสแกน PCI ที่ดำเนินการโดยผู้ขายการสแกนที่ได้รับอนุมัติหรือ ASV
การปฏิบัติตาม PCI DSS ระดับ 2
กฎระเบียบรูปแบบนี้มักจะเหมาะสำหรับธุรกิจขนาดใหญ่ที่มีปริมาณธุรกรรมน้อยกว่า 6 ล้าน:
- ธุรกรรมของวีซ่า 1-6 ล้านครั้งดำเนินการทุกปีโดยร้านค้า มีทั้งการชำระเงินทางออนไลน์และทางกายภาพ
- ด้วยธุรกรรมมากกว่า 300,000 รายการต่อปี ผู้อำนวยความสะดวกในการชำระเงินเป็นที่ต้องการสูง
- ในแต่ละปี บริษัทเหล่านี้ต้องกรอกแบบสอบถามการประเมินตนเองหรือ SAQ รวมทั้งสแกน PCI ทุกไตรมาส
การปฏิบัติตาม PCI DSS ระดับ 3
การปฏิบัติตาม PCI ระดับนี้สำหรับอีคอมเมิร์ซมีไว้สำหรับผู้ค้าที่ทำธุรกรรมอีคอมเมิร์ซวีซ่า 20,000 ถึง 1 ล้านรายการต่อปี บริษัทเหล่านี้ เช่นเดียวกับระดับ 2 จะต้องกรอก SAQ ประจำปี แต่เป็นเพียงภาระหน้าที่ในการดำเนินการสแกนรายไตรมาสในเงื่อนไขบางประการเท่านั้น
การปฏิบัติตาม PCI DSS ระดับ 4
ระดับ 4 เกี่ยวข้องกับธุรกิจอีคอมเมิร์ซขนาดเล็กที่มีธุรกรรมน้อยกว่า:
- ผู้ขายที่ทำธุรกรรมวีซ่าน้อยกว่า 20,000 รายการต่อปีจะไม่มีสิทธิ์
- ร้านค้าที่ทำธุรกรรมวีซ่านับล้านหรือมากกว่าต่อปี (ออนไลน์และออฟไลน์)
แม้ว่าจะต้องใช้ SAW ทุกปี แต่การสแกน PCI รายไตรมาสจะดำเนินการตาม "ตามความจำเป็น" ภาพรวมของระดับการปฏิบัติตาม PCI DSS หลักที่ให้ไว้ข้างต้นจะช่วยคุณในการพิจารณาว่าบริษัทของคุณควรปฏิบัติตามระดับใด
การปฏิบัติตาม Magento PCI
ประการแรก Magento Commerce Edition
อย่างที่คุณทราบ Magento 2 Commerce (Cloud) Edition โดยเฉพาะอย่างยิ่งเวอร์ชันล่าสุด Magento 2.4.4 นั้น PCI ได้รับการรับรองว่าเป็นผู้ให้บริการโซลูชันระดับ 1 ซึ่งสืบเนื่องมาจากรุ่นก่อน การปฏิบัติตาม PCI สามารถเข้าถึงได้มากขึ้นสำหรับองค์กร พวกเขาอาจพึ่งพาการรับรองการปฏิบัติตามมาตรฐาน PCI ของ Magento เพื่อช่วยให้พวกเขาแสดงให้เห็นว่าพวกเขามีคุณสมบัติตรงตามเกณฑ์
เนื่องจากคนส่วนใหญ่ที่ใช้ Commerce Edition เป็นธุรกิจขนาดกลางและขนาดใหญ่ที่จัดการธุรกรรมมากกว่า 6 ล้านรายการต่อปี นี่จึงเป็นสิ่งสำคัญ
นอกจากนี้ ร้านค้าวีโอไอพียังเชื่อมโยงกับเกตเวย์การชำระเงิน ซึ่งส่งข้อมูลตรงไปยังเกตเวย์การชำระเงิน แทนที่จะเก็บไว้ในเซิร์ฟเวอร์วีโอไอพี ทั้ง Magento Open Source และ Commerce ต่างก็มีความสามารถนี้
ถัดไป Magento Open Source Edition
Open Source Edition ไม่มีการปฏิบัติตามข้อกำหนด PCI เป็นคุณลักษณะ อย่างไรก็ตาม มีตัวเลือกสองสามตัวในการทำให้เว็บไซต์ Magento ของคุณสอดคล้องกับ PCI:
1. ชำระเงินผ่านบริการของบุคคลที่สาม (เช่น PayPal express)
นี่คือวิธีที่เราระบุไว้ในส่วนฉบับการค้า
คุณไม่จำเป็นต้องปฏิบัติตาม PCI หากคุณเลือกตัวเลือกนี้ เนื่องจากข้อมูลบัตรเครดิตจะไม่ถูกจัดเก็บบนเซิร์ฟเวอร์ของคุณ การใช้เกตเวย์การชำระเงินของบุคคลที่สามในอดีตอาจทำให้ขั้นตอนการชำระเงินของลูกค้าหยุดชะงัก อย่างไรก็ตาม นี่ไม่ใช่ปัญหาอีกต่อไป
ด้วยเกตเวย์การชำระเงินของบุคคลที่สาม เช่น การผสาน Magento Stripe ผู้ค้าสามารถมอบประสบการณ์การชำระเงินที่ราบรื่น คุณสามารถเปลี่ยนแปลงแอปพลิเคชัน Magento eCommerce หลักโดยไม่ต้องผ่านการประเมินใหม่เพื่อให้เป็นไปตามมาตรฐาน PCI หากไม่ได้จัดเก็บข้อมูลที่ละเอียดอ่อนไว้บนเซิร์ฟเวอร์ Magento
2. ใช้แอปพลิเคชันการชำระเงิน SaaS ที่สอดคล้องกับ PCI
คุณสามารถใช้ CRE Secure ซึ่งเป็นไปตามมาตรฐาน PCI เป็นตัวอย่าง ลูกค้าถูกนำไปยังเว็บไซต์อื่น (URL เปลี่ยนแปลง) แต่แบบฟอร์มสามารถปรับให้เข้ากับการออกแบบร้านค้าของคุณได้
และคำถามคือทำไมคุณต้องเป็นไปตามมาตรฐาน PCI?
ไม่ใช่การพูดเกินจริงที่จะระบุว่าอีคอมเมิร์ซครองตลาดในช่วงหลายปีที่ผ่านมา นอกจากการพัฒนานี้แล้ว ยังมีการดูแลความปลอดภัยของข้อมูลลูกค้าเพิ่มมากขึ้นเมื่อเกี่ยวข้องกับธุรกรรมทางการเงินออนไลน์ แม้ว่ากฎหมายจะไม่ได้กำหนดให้มีการปฏิบัติตาม PCI แต่ก็ถือว่าเป็นแบบอย่าง สิ่งนี้เกิดขึ้นเนื่องจากในขณะที่รับชำระเงินด้วยบัตร มันเป็นความรับผิดชอบของคุณในการปกป้องข้อมูลทางการเงินที่ละเอียดอ่อนของลูกค้าของคุณ
ธุรกิจอีคอมเมิร์ซได้รับประโยชน์จากการเป็นไปตามมาตรฐาน PCI ในรูปแบบต่างๆ ได้แก่:
การละเมิดข้อมูล
- หากไม่ปฏิบัติตาม PCI ธุรกิจของคุณอาจเสี่ยงต่อการรั่วไหลของข้อมูล การรั่วไหล และแฮกเกอร์ ซึ่งอาจส่งผลให้สูญเสียรายได้อย่างรุนแรง
- การปฏิบัติตามข้อกำหนดของ PCI เสริมการป้องกันของคุณจากอาชญากรรมทางอินเทอร์เน็ตและช่วยในการป้องกันการละเมิดข้อมูล
- นอกจากนี้ บริษัทของคุณสามารถถูกฟ้องร้อง ค่าทดแทนบัตร และค่าชดเชยลูกค้า
- หากพบการละเมิดข้อมูลและบริษัทของคุณปฏิบัติตาม PCI ค่าใช้จ่ายในการละเมิดจะลดลง
- ลดจำนวนการละเมิดข้อมูล ที่สำคัญที่สุดคือปกป้องข้อมูลของผู้ถือบัตร (ลูกค้าของเรา) จากการโจมตีทางไซเบอร์
บทลงโทษและค่าปรับจำนวนมาก
- การไม่ปฏิบัติตามกฎของ PCI อาจส่งผลให้มีการปรับหลายครั้งที่อาจทำให้ทรัพยากรทางการเงินของคุณหมดลงอย่างสมบูรณ์
- การนับจำนวนธุรกรรมและระยะเวลาของการไม่ปฏิบัติตามข้อกำหนด บทลงโทษอาจอยู่ในช่วงตั้งแต่ 5,000 ถึง 100,000 ดอลลาร์ต่อเดือน
- ความล้มเหลวในการปฏิบัติตามข้อกำหนดของรัฐบาลอาจส่งผลให้มีการปรับจำนวนมากนอกเหนือจากบทลงโทษที่กำหนดโดยผู้ให้บริการชำระเงิน
- สำหรับการละเมิดที่ร้ายแรง ค่าปรับอาจสูงถึง 20 ล้านยูโร
- อาจมีการเรียกเก็บค่าธรรมเนียมการฉ้อโกง การตรวจสอบทางนิติเวช และบทลงโทษเพิ่มเติม หากบริษัทละเมิดกฎหมายอีกครั้ง
เสียชื่อเสียงและรายได้
- จากการสำรวจของ Verizon เมื่อเร็วๆ นี้ ลูกค้า 69% หลีกเลี่ยงการทำธุรกิจกับบริษัทที่ประสบปัญหาการละเมิดข้อมูล ถึงแม้ว่าพวกเขาจะให้ข้อเสนอที่ดีกว่าคู่แข่งก็ตาม
- ขณะนี้ผู้บริโภคมีความคาดหวังด้านความปลอดภัยสูงและความอดทนต่ำต่อช่องโหว่ความเป็นส่วนตัวของข้อมูล ต้องขอบคุณความรู้ที่เพิ่มขึ้นเกี่ยวกับปัญหาความเป็นส่วนตัวของข้อมูลผู้บริโภค
- การละเมิดข้อมูลอาจส่งผลเสียต่อชื่อเสียงแบรนด์ของคุณในขณะที่ยังลดความภักดีของลูกค้า
ระงับการใช้บัตรเครดิตในร้านค้าวีโอไอพีของคุณ
- หลังจากการละเมิดข้อมูล การไม่ปฏิบัติตามข้อกำหนดของ PCI อาจส่งผลให้คุณเพิกถอนการชำระเงินด้วยบัตรเครดิตได้
- การระงับบัญชีบัตรเครดิตของคุณเป็นการสูญเสียที่ร้ายแรงกว่าสำหรับธุรกิจของคุณ เนื่องจากจะทำให้ร้านค้าของคุณไม่สามารถดำเนินการกับบัตรเครดิตได้ในอนาคต
- คุณจะต้องมีนโยบายความปลอดภัยที่เข้มงวดซึ่งสอดคล้องกับแนวทางของ PCI เพื่อหลีกเลี่ยงการสูญเสียดังกล่าว
ตอนนี้ เราย้ายไปยังรายการตรวจสอบข้อกำหนดการปฏิบัติตามข้อกำหนด PCI DSS
สำหรับบริษัทที่จัดการข้อมูลผู้ถือบัตรและรักษาเครือข่ายการประมวลผลการชำระเงิน PCI SSC ได้กำหนด 12 มาตรฐานแบ่งออกเป็นหกส่วน บริษัทที่ต้องการปฏิบัติตามข้อกำหนดทั้งหมดนี้ต้องเป็นไปตามข้อกำหนด
สร้างและดูแลเครือข่ายที่ปลอดภัย
ข้อกำหนดชุดแรกหมายถึงการบำรุงรักษาเครือข่ายที่ปลอดภัย และระบุว่าบริษัทต้อง:
- ติดตั้งและทำให้ไฟร์วอลล์ทันสมัยอยู่เสมอ
- ในข้อมูลลูกค้า ให้ใช้รหัสผ่านเดิมที่ผู้ใช้เลือกแทนรหัสผ่านที่ผู้ขายเป็นผู้จัดหา
ปกป้องข้อมูลผู้ถือบัตร
ปกป้องข้อมูลเกี่ยวกับผู้ถือบัตรที่จัดเก็บไว้
- มีการใช้ความปลอดภัยหลายระดับในการดูแลข้อมูลผู้ถือบัตรที่จัดเก็บไว้
- การปฏิบัติตามข้อกำหนด PCI นี้เป็นสิ่งสำคัญโดยหลีกเลี่ยงการเก็บรักษาข้อมูลผู้ถือบัตรไว้นานเกินความจำเป็น
- ให้ลูกค้าป้อนข้อมูลบัตรเครดิตผ่านเกตเวย์การชำระเงิน และอย่าส่งข้อมูลการชำระเงินโดยไม่มีการเข้ารหัสที่แข็งแกร่ง
เข้ารหัสข้อมูลเกี่ยวกับผู้ถือบัตร ที่สามารถโอน ผ่านอินเทอร์เน็ต
- เข้ารหัสการรับส่งข้อมูลของผู้ถือบัตรผ่านเครือข่ายเปิดและเครือข่ายสาธารณะ
- ก่อนส่งข้อมูลบัตรที่มีความละเอียดอ่อนไปยังหลายระบบ การเข้ารหัสข้อมูลเป็นสิ่งสำคัญ ด้วยการใช้เทคโนโลยี SSL และ TLS คุณสามารถทำสิ่งนี้ได้
- การเข้ารหัสข้อมูลระหว่างการส่งผ่านมีความสำคัญอย่างยิ่ง เนื่องจากจะปกป้องข้อมูลของผู้บริโภคแม้ว่าเครือข่ายจะถูกละเมิดระหว่างการถ่ายโอนก็ตาม
- ใบรับรอง SSL เพิ่มความเชื่อมั่นของผู้บริโภคในขณะเดียวกันก็อนุมัติการส่งข้อมูลที่ปลอดภัย
การจัดการจุดอ่อน
ประเภทที่สามเกี่ยวข้องกับวิธีที่บริษัทจัดการช่องโหว่ของเครือข่าย และจำเป็นที่บริษัท:
- ซอฟต์แวร์ป้องกันไวรัสควรมี แอปพลิเคชัน และอัปเดตเป็นประจำ
- สร้างและดูแลซอฟต์แวร์และระบบที่ปลอดภัย
ใช้มาตรการควบคุมการเข้าออกอย่างเข้มงวด
จำกัดการเข้าถึงข้อมูลบัตร
- การเข้าถึงข้อมูลผู้ถือบัตรควรเป็นข้อจำกัดสำหรับผู้ที่มีธุรกิจจำเป็นต้องรู้
- การจำกัดการเข้าถึงข้อมูลของผู้ถือบัตรให้เข้าถึงได้เฉพาะบุคคลจำนวนน้อย คุณอาจลดการฉ้อโกงและการโจรกรรมข้อมูลได้
- ผู้ดูแลระบบที่มีสิทธิ์ เข้าถึง ข้อมูลประจำตัว ได้
- นอกจากนี้ยังช่วยให้คุณติดตามการแก้ไขระบบทั้งหมดโดยการตรวจสอบและบันทึกการควบคุมการเข้าถึง
- การเข้าแบบจำกัดทำให้คุณสามารถจัดหมวดหมู่ขั้นตอนการรักษาความปลอดภัยโดยพิจารณาจากผู้ที่จำเป็นต้องรู้ ทำให้คุณเห็นภาพที่ชัดเจนของงานผู้ดูแลระบบทั้งหมด
รหัสเฉพาะสำหรับการเข้าถึงข้อมูล
- ทุกคนที่มีสิทธิ์เข้าถึงคอมพิวเตอร์ควร ได้รับ ID ที่ไม่ซ้ำกัน
- คุณสามารถติดตามกิจกรรมของบุคคลที่ได้รับอนุญาตแต่ละคนโดยใช้รหัสที่ไม่ซ้ำกัน
- ดำเนินการให้สิทธิ์แบบ 2 ปัจจัยเพื่อเพิ่มการป้องกัน แก้ไขรหัสผ่านการเข้าถึงเป็นประจำ และเก็บบันทึกโดยละเอียด
- ID ที่ไม่ซ้ำยังช่วยให้คุณควบคุมบัญชีผู้ใช้และปกป้องการเข้าถึงของผู้ใช้ในทุกระดับ ทำให้ Identity and Access Management (IAM) ง่ายขึ้น
จำกัดการเข้าถึงข้อมูลทางกายภาพ
- การเข้าถึงข้อมูลของผู้ถือบัตรควรมีข้อจำกัด
- ความปลอดภัยของข้อมูลขยายไปสู่ศูนย์ข้อมูลและเซิร์ฟเวอร์ในโลกทางกายภาพ
- ข้อมูลต้องอยู่ในสภาพแวดล้อมที่ปลอดภัยพร้อม การเข้าถึงการอนุญาต ไม่ว่าจะในสถานที่หรือนอกสถานที่
- ศูนย์ข้อมูลภายในองค์กรควรจับตาดูคนงานและผู้มาเยี่ยมที่ผิดกฎหมาย ก่อนให้สิทธิ์เข้าถึงศูนย์ข้อมูล คุณยังอัปเดตการตรวจสอบความปลอดภัยเป็นประจำได้อีกด้วย
- หากคุณกำลังเก็บข้อมูลนอกสถานที่ ให้พิจารณาถึงข้อควรระวังด้านความปลอดภัยที่ผู้ให้บริการพื้นที่จัดเก็บใช้และเลือกบริการโฮสติ้ง Magento ที่มีชื่อเสียง
ตรวจสอบและทดสอบเครือข่ายอย่างสม่ำเสมอ
มาตรฐานชุดที่ห้ามุ่งเน้นไปที่วิธีที่บริษัทตรวจสอบและทดสอบเครือข่าย และกำหนดให้บริษัท:
- การเข้าถึงข้อมูลผู้ถือบัตรและทรัพยากรเครือข่ายทั้งหมด จะมี การติดตามและตรวจสอบ
- ประเมินระบบความปลอดภัยและโปรโตคอลอย่างสม่ำเสมอ
รักษานโยบายการรักษาความปลอดภัยของข้อมูล
และสุดท้าย ระบบและขั้นตอนทั้งหมดต้อง มีการตรวจสอบ เป็นประจำตามข้อกำหนด ของ PCI DSS เพื่อให้แน่ใจว่า การ บำรุงรักษาการรักษาความปลอดภัย
แล้วคุณจะได้รับการปฏิบัติตาม PCI อย่างไร?
บริษัทหรือองค์กรใดๆ ที่รับชำระเงินด้วยบัตรออนไลน์หรือเก็บข้อมูลบัตรเครดิตควรเป็นไปตามมาตรฐาน PCI ผ่านสภามาตรฐานความปลอดภัยตามมาตรฐาน PCI
ธุรกิจมักจะต้องตรวจสอบการปฏิบัติตาม PCI ทุกปีหรือทุกไตรมาสโดยจ้างผู้ประเมินมืออาชีพหรือบริษัทเพื่อตรวจสอบว่าพวกเขากำลังทำธุรกรรมอย่างถูกต้องหรือไม่
ดังนั้นคุณจะปฏิบัติตาม PCI ได้อย่างไร?
- กำหนดระดับ PCI ที่คุณต้องการใช้ จำนวนธุรกรรมบัตรที่องค์กรของคุณดำเนินการในแต่ละปีเป็นตัวกำหนดว่าคุณจะได้รับมอบหมายระดับใดในสี่ระดับ พวกเขาจะมีอิทธิพลต่อแนวทางของคุณในการปฏิบัติตาม PCI DSS
- เลือกแบบสอบถามเพื่อประเมินตนเอง (SAQ) ชักชวนเจ็ดประเภทที่แตกต่างกันตามระดับผู้ค้าของคุณและวิธีประมวลผลข้อมูลบัตรเครดิตของคุณ แต่ละชั้นระบุชุดมาตรฐานแยกต่างหากที่ต้อง มีมาตรฐานเพียงพอ เพื่อให้เป็นไปตามมาตรฐาน PCI
- สร้างเครือข่ายที่ปลอดภัยเพื่อให้เป็นไปตามมาตรฐานการรับรอง PCI DSS ตั้งแต่การสแกนช่องโหว่ไปจนถึงการบำรุงรักษาและการซ่อมแซมความปลอดภัย วิธีการนี้สามารถจัดการได้ทั้งหมด ในการจัดการกับการยกของหนักทั้งหมด คุณจะต้องได้รับความช่วยเหลือจากผู้รับเหมาด้านเทคโนโลยีสารสนเทศ
- กรอกแบบฟอร์มยืนยันการปฏิบัติตามข้อกำหนด (AOC) – เอกสารที่ตรวจสอบผลการตรวจสอบ PCI DSS
- เส้นทางสู่การปฏิบัติตาม PCI อาจเป็นเรื่องยากที่จะนำทาง อย่างไรก็ตาม หากคุณต้องการรักษาความปลอดภัยให้ลูกค้ารับรู้ถึงตัวคุณและข้อมูลสำคัญจากแฮกเกอร์ ก็คุ้มค่าแก่การเดินทาง
เราขอเสนอว่าในฐานะเจ้าของร้านค้า Magento คุณต้องตั้งค่าปลั๊กอิน SecurePay ที่สอดคล้องกับ PCI DSS สำหรับผู้ค้าปลีก วิธีนี้จะเป็นวิธีที่คุ้มค่ากว่าในการส่งข้อมูลธุรกรรมไปยัง SecurePay เพื่อดำเนินการ
นอกจากนี้ คุณสามารถกังวลว่าการปฏิบัติตามมาตรฐาน PCI มีค่าใช้จ่ายเท่าไร?
ค่าใช้จ่ายในการปฏิบัติตาม PCI จะแตกต่างกันไปตามขนาดของบริษัท ขั้นตอนการประมวลผลบัตร และข้อควรพิจารณาอื่นๆ
การปฏิบัติตามข้อกำหนด PCI DSS อาจมีค่าใช้จ่ายเพียง 300 ดอลลาร์ต่อปีสำหรับบริษัทขนาดเล็ก ทั้งนี้ขึ้นอยู่กับปัจจัยต่อไปนี้:
- $50 – $200 สำหรับแบบสอบถามการประเมินตนเอง (SAQ)
- การสแกนช่องโหว่มีค่าใช้จ่ายระหว่าง 100 ถึง 200 ดอลลาร์ต่อที่อยู่ IP
- ประมาณ 70 ดอลลาร์ต่อพนักงานหนึ่งคนสำหรับการฝึกอบรมและการกำหนดนโยบาย
- จาก 100 ดอลลาร์ถึง 10,000 ดอลลาร์สำหรับการแก้ไข (ขึ้นอยู่กับปริมาณงานที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนดและความปลอดภัย)
ค่าใช้จ่ายโดยรวมของการตรวจสอบ PCI DSS สำหรับธุรกิจหลักอยู่ที่ประมาณ 70.000 เหรียญสหรัฐ ซึ่งรวมถึง
- การตรวจสอบในสถานที่: ประมาณ $40,000
- การสแกนช่องโหว่มีค่าใช้จ่ายประมาณ 1,000 ดอลลาร์
- ประมาณ $15,000 สำหรับการทดสอบการเจาะทะลุ
- $5,000 สำหรับการกำหนดนโยบายและการฝึกอบรม
- การแก้ไข (อัปเดตซอฟต์แวร์และฮาร์ดแวร์ ฯลฯ): 10,000 – 500,000 เหรียญสหรัฐ
ราคาของการปฏิบัติตามมาตรฐาน PCI ในระดับองค์กรนั้นไม่แพง อย่างไรก็ตาม ค่าธรรมเนียมการปฏิบัติตามข้อกำหนดของ PCI นั้นไม่คุ้มที่จะเป็นอันตรายต่อข้อมูลของลูกค้าหรือภาพลักษณ์ระยะยาวของบริษัทของคุณ
สุดท้ายแต่ไม่ท้ายสุด เราจะให้แนวทางปฏิบัติที่ดีที่สุดสำหรับการปฏิบัติตาม Magento PCI
การฝึกอบรมพนักงาน
การปฏิบัติตาม Magento PCI เป็นข้อกำหนดทางเทคโนโลยีที่จำเป็นต้องมีความรู้และการฝึกอบรมอย่างกว้างขวางก่อนดำเนินการ
ตรวจสอบให้แน่ใจว่าแพลตฟอร์ม Magento ของคุณ มีความปลอดภัยที่ดี ต้องขอบคุณ ทีมผู้เชี่ยวชาญ
ทุ่มเทในการฝึกอบรมพนักงานหรือจ้างผู้เชี่ยวชาญในอุตสาหกรรมเพื่อช่วยเหลือคุณในเรื่องการปฏิบัติตามกฎระเบียบและความปลอดภัยของระบบ Magento
แบบสอบถามการประเมินตนเอง (SAQs)
สำหรับผู้ค้าปลีกรายย่อย PCI DSS ได้เผยแพร่แบบสอบถามการประเมินตนเองเก้าฉบับ
SAQ เป็นการสอบประเมินความปลอดภัยพื้นฐานใช่/ไม่ใช่ ที่ให้คุณประเมินความปลอดภัยและดำเนินการซ่อมแซมอย่างมีประสิทธิภาพ
คุณสามารถทำการประเมินให้เสร็จสิ้นและเพิ่มหนังสือรับรองการปฏิบัติตามข้อกำหนด เมื่อคุณได้พิจารณาแล้วว่าแบบสอบถามใดที่เหมาะกับบริษัทของคุณ
PCI SAQ ทำหน้าที่ตรวจสอบการปฏิบัติตามและความปลอดภัย เมื่อร่วมมือกับบริษัทบุคคลที่สาม ถือเป็นข้อได้เปรียบ
เอกสารนโยบายและรายงานการปฏิบัติตาม
เก็บบันทึกข้อบังคับด้านความปลอดภัยโดยบันทึกการเปลี่ยนแปลงและกระบวนการปฏิบัติงานในบริษัทของคุณเป็นประจำ
รายงาน PCI เกี่ยวกับการปฏิบัติตามและการรับรองการปฏิบัติตามข้อกำหนด (RoC/AoC) เป็นการประเมินการปฏิบัติตามข้อกำหนดด้านความปลอดภัย
ดำเนินการโดย Qualified Security Assessor (QSA) หรือผู้ประเมินภายในที่มีคุณสมบัติเหมาะสม เพื่อตรวจสอบว่าร้านค้า Magento ของคุณปลอดภัยในการประมวลผลข้อมูลผู้ถือบัตรหรือไม่
ดำเนินการบำรุงรักษาตามปกติ
การปฏิบัติตาม Magento PCI เป็นกระบวนการจัดการอย่างต่อเนื่อง ไม่ใช่การประเมินเพียงครั้งเดียว
การสแกนช่องโหว่ควรทำเป็นประจำ ควรอัปเดตการรักษาความปลอดภัย และจัดทำเอกสารขั้นตอนการปฏิบัติตามข้อกำหนดอย่างละเอียด
การกำหนดค่าระบบ Magento เปลี่ยนแปลงตลอดเวลา และหากคุณไม่ปฏิบัติตาม คุณจะสูญเสียการควบคุมการปฏิบัติตามข้อกำหนดและเป็นอันตรายต่อความปลอดภัยของข้อมูล
บทสรุป
ในสภาพแวดล้อมอินเทอร์เน็ต การรับมือกับปัญหาด้านความปลอดภัยไม่ใช่เรื่องง่ายสำหรับทั้งธุรกิจและลูกค้า ดังนั้นการปฏิบัติตาม Magento PCI จึงสามารถช่วยบริษัทต่างๆ ในการลดความเสี่ยงที่มาจากสภาพแวดล้อมออนไลน์ได้ ไม่เพียงแต่ช่วยให้ผู้ซื้อรู้สึกปลอดภัยมากขึ้นเมื่อซื้อสินค้าในร้านค้าของคุณ แต่คุณยังสามารถสร้างความเชื่อของลูกค้าซึ่งสามารถส่งเสริมภาพลักษณ์ของแบรนด์และดึงดูดลูกค้าได้มากขึ้น หากคุณเป็นเจ้าของร้านค้าวีโอไอพี อย่าลังเลที่จะนำความสอดคล้องของ Magento PCI มาใช้ หากคุณไม่รู้ว่าต้องทำอย่างไร คุณสามารถไปที่บริการของเรา: การพัฒนา Magento เพื่อค้นหาวิธีแก้ปัญหา หรือ ติดต่อเรา โดยตรงเพื่อความสะดวก