การปฏิบัติตาม Magento PCI คืออะไรและเหตุใดร้าน Magento ของคุณจึงต้องการ

อีคอมเมิร์ซมีการพัฒนาอย่างรวดเร็วมากขึ้นเมื่อเร็ว ๆ นี้ ดังนั้น ธุรกิจจำนวนมากจึงเปิดร้านค้าออนไลน์ของตนบนแพลตฟอร์มต่างๆ เช่น Woocommerce, Shopify,...โดยเฉพาะ Magento เนื่องจากคุณสมบัติที่ยอดเยี่ยม อย่างไรก็ตาม นอกจากประโยชน์มหาศาลแล้ว การรักษาความปลอดภัยยังเป็นประเด็นสำคัญอันดับต้นๆ ของทั้งลูกค้าและเจ้าของ ผู้ซื้อไม่ต้องการให้ข้อมูลส่วนบุคคลของตนถูกเปิดเผยต่อบุคคลที่สามซึ่งอาจเป็นอันตรายต่อพวกเขา และธุรกิจต่างๆ ต้องการยังคงเป็นภาพพจน์ที่เป็นมืออาชีพเพื่อให้ได้รับความไว้วางใจจากลูกค้า ดังนั้น ในบทความนี้ เราจะแนะนำวิธีแก้ปัญหาที่โดดเด่นเพื่อช่วยคุณแก้ปัญหาที่ยากลำบาก: การปฏิบัติตาม Magento PCI

ในการเริ่มต้น คุณควรทำความคุ้นเคยกับการปฏิบัติตามมาตรฐาน PCI

ดังนั้นการปฏิบัติตาม PCI คืออะไร?

PCI เป็นตัวย่อสำหรับอุตสาหกรรมบัตรชำระเงิน การปฏิบัติตาม PCI คือชุดของมาตรฐานและกฎหมายพื้นฐานโดยมีวัตถุประสงค์เพื่อปรับปรุงความปลอดภัยของข้อมูลการชำระเงินทั่วโลก นโยบาย การจัดการความปลอดภัย สถาปัตยกรรมเครือข่าย การออกแบบซอฟต์แวร์ และข้อจำกัดอื่นๆ PCI DSS กำหนดแนวปฏิบัติที่ดีที่สุดสำหรับธุรกิจอีคอมเมิร์ซเพื่อสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับข้อมูลที่ละเอียดอ่อน ความรู้อีกอย่างหนึ่งคือ PCI Security Standards Council พัฒนาและแจกจ่ายมาตรฐานการปฏิบัติตาม PCI ทั้งหมด PCI Security Standards Council ก่อตั้งขึ้นในปี 2549 เพื่อพัฒนากฎระเบียบเหล่านี้และดูแลการปฏิบัติตาม PCI ในอุตสาหกรรมอีคอมเมิร์ซ Visa, Mastercard, JCB International, Discover Financial Services และ American Express เป็นเครือข่ายบัตรชำระเงินระดับโลกที่ใหญ่ที่สุดแห่งหนึ่งในสภา

การปฏิบัติตาม PCI เป็นข้อบังคับสำหรับธุรกิจใดๆ ที่ดำเนินการร้านค้าออนไลน์ ธุรกิจที่ปฏิบัติตามและบรรลุตามมาตรฐาน PCI DSS (Payment Card Industry Data Security Standards) จะเรียกว่าเป็นไปตามมาตรฐาน PCI

มีระดับการปฏิบัติตาม PCI DSS ที่แตกต่างกันที่คุณควรรู้

การปฏิบัติตามข้อกำหนดของ PCI มีสี่ขั้นตอนที่แตกต่างกัน ซึ่งแต่ละขั้นตอนอ้างอิงถึงการประเมินประจำปีโดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง และการสแกนรายไตรมาสโดยผู้ขายการสแกนที่ได้รับอนุมัติซึ่งมีขอบเขตต่างกัน

การปฏิบัติตาม PCI DSS ระดับ 1

นี่คือระดับเริ่มต้นของการปฏิบัติตาม PCI สำหรับอีคอมเมิร์ซ และใช้สำหรับองค์กรที่ประมวลผลธุรกรรมหลายล้านรายการ ประเภทของธุรกิจต่อไปนี้อยู่ภายใต้กฎเหล่านี้:

• บริษัทอีคอมเมิร์ซที่จัดการธุรกรรม Visa หรือ Mastercard มากกว่า 6 ล้านรายการในแต่ละปี ประกอบด้วยธุรกรรมออนไลน์และออฟไลน์ (หากบริษัทมีสถานะออฟไลน์)
• ทุกปี ผู้อำนวยความสะดวกด้านการชำระเงินจะทำธุรกรรมประมาณ 300,000 รายการ
• ร้านค้าออนไลน์ทั้งหมดที่ Visa พิจารณาว่าเป็นระดับ 1
• ในแต่ละปี ผู้ตรวจสอบ PCI ที่ได้รับอนุญาตจะทำการตรวจสอบเพื่อยืนยันการปฏิบัติตาม ทุกไตรมาส องค์กรระดับ 1 ต้องมีการสแกน PCI ที่ดำเนินการโดยผู้ขายการสแกนที่ได้รับอนุมัติหรือ ASV

การปฏิบัติตาม PCI DSS ระดับ 2

กฎระเบียบรูปแบบนี้มักจะเหมาะสำหรับธุรกิจขนาดใหญ่ที่มีปริมาณธุรกรรมน้อยกว่า 6 ล้าน:

• ธุรกรรมของวีซ่า 1-6 ล้านครั้งดำเนินการทุกปีโดยร้านค้า มีทั้งการชำระเงินทางออนไลน์และทางกายภาพ
• ด้วยธุรกรรมมากกว่า 300,000 รายการต่อปี ผู้อำนวยความสะดวกในการชำระเงินเป็นที่ต้องการสูง
• ในแต่ละปี บริษัทเหล่านี้ต้องกรอกแบบสอบถามการประเมินตนเองหรือ SAQ รวมทั้งสแกน PCI ทุกไตรมาส

การปฏิบัติตาม PCI DSS ระดับ 3

การปฏิบัติตาม PCI ระดับนี้สำหรับอีคอมเมิร์ซมีไว้สำหรับผู้ค้าที่ทำธุรกรรม Visa eCommerce 20,000 ถึง 1 ล้านรายการต่อปี

บริษัทเหล่านี้ เช่นเดียวกับระดับ 2 ต้องกรอก SAQ ประจำปี แต่เป็นเพียงภาระหน้าที่ในการดำเนินการสแกนรายไตรมาสในเงื่อนไขบางประการเท่านั้น

การปฏิบัติตาม PCI DSS ระดับ 4

ระดับ 4 เกี่ยวข้องกับธุรกิจอีคอมเมิร์ซขนาดเล็กที่มีธุรกรรมน้อยกว่า:

• ผู้ขายที่ทำธุรกรรมวีซ่าน้อยกว่า 20,000 รายการต่อปีจะไม่มีสิทธิ์
• ร้านค้าที่ทำธุรกรรมวีซ่านับล้านหรือมากกว่าต่อปี (ออนไลน์และออฟไลน์)

แม้ว่าจะต้องใช้ SAW ทุกปี แต่การสแกน PCI รายไตรมาสจะดำเนินการตาม "ตามความจำเป็น"

ภาพรวมของระดับการปฏิบัติตาม PCI DSS หลักที่ให้ไว้ข้างต้นจะช่วยคุณในการพิจารณาว่าบริษัทของคุณควรปฏิบัติตามระดับใด

การปฏิบัติตาม Magento PCI

Magento Commerce Edition

Magento 2 Commerce (Cloud) Edition โดยเฉพาะเวอร์ชันล่าสุด Magento 2.4.4 ได้รับการรับรอง PCI ว่าเป็นผู้ให้บริการโซลูชันระดับ 1 ซึ่งสืบทอดมาจากรุ่นก่อน การปฏิบัติตาม PCI สามารถเข้าถึงได้มากขึ้นสำหรับองค์กร พวกเขาอาจพึ่งพาการรับรองการปฏิบัติตามมาตรฐาน PCI ของ Magento เพื่อช่วยให้พวกเขาแสดงให้เห็นว่าพวกเขามีคุณสมบัติตรงตามเกณฑ์

เนื่องจากคนส่วนใหญ่ที่ใช้ Commerce Edition เป็นธุรกิจขนาดกลางและขนาดใหญ่ที่จัดการธุรกรรมมากกว่า 6 ล้านรายการต่อปี นี่จึงเป็นสิ่งสำคัญ

นอกจากนี้ ร้านค้าวีโอไอพียังเชื่อมโยงกับเกตเวย์การชำระเงิน ซึ่งส่งข้อมูลตรงไปยังเกตเวย์การชำระเงิน แทนที่จะเก็บไว้ในเซิร์ฟเวอร์วีโอไอพี ทั้ง Magento Open Source และ Commerce ต่างก็มีความสามารถนี้

Magento Open Source Edition

Open Source Edition ไม่มีการปฏิบัติตามข้อกำหนด PCI เป็นคุณลักษณะ อย่างไรก็ตาม มีตัวเลือกสองสามตัวในการทำให้เว็บไซต์ Magento ของคุณสอดคล้องกับ PCI:

1. ชำระเงินผ่านบริการบุคคลที่สาม (เช่น PayPal express)

นี่คือวิธีที่เราระบุไว้ในส่วนฉบับการค้า

คุณไม่จำเป็นต้องปฏิบัติตาม PCI หากคุณเลือกตัวเลือกนี้ เนื่องจากข้อมูลบัตรเครดิตจะไม่ถูกเก็บไว้บนเซิร์ฟเวอร์ของคุณ การใช้เกตเวย์การชำระเงินของบุคคลที่สามในอดีตอาจทำให้ขั้นตอนการชำระเงินของลูกค้าหยุดชะงัก อย่างไรก็ตาม นี่ไม่ใช่ปัญหาอีกต่อไป

ด้วยเกตเวย์การชำระเงินของบุคคลที่สาม เช่น การผสาน Magento Stripe ผู้ค้าสามารถมอบประสบการณ์การชำระเงินที่ราบรื่น คุณสามารถเปลี่ยนแปลงแอปพลิเคชัน Magento eCommerce หลักโดยไม่ต้องผ่านการประเมินใหม่เพื่อให้เป็นไปตามข้อกำหนด PCI หากไม่ได้จัดเก็บข้อมูลที่ละเอียดอ่อนไว้บนเซิร์ฟเวอร์ Magento

2. ใช้แอปพลิเคชันการชำระเงิน SaaS ที่สอดคล้องกับ PCI

คุณสามารถใช้ CRE Secure ซึ่งเป็นไปตามมาตรฐาน PCI เป็นตัวอย่าง ลูกค้าถูกนำไปยังเว็บไซต์อื่น (URL เปลี่ยนแปลง) แต่แบบฟอร์มสามารถปรับให้เข้ากับการออกแบบร้านค้าของคุณได้

และคำถามคือทำไมคุณจึงต้องเป็นไปตามมาตรฐาน PCI

ไม่ใช่การพูดเกินจริงที่จะระบุว่าอีคอมเมิร์ซครองตลาดในช่วงหลายปีที่ผ่านมา นอกจากการพัฒนานี้แล้ว ยังมีการดูแลความปลอดภัยของข้อมูลลูกค้าเพิ่มมากขึ้นเมื่อเกี่ยวข้องกับธุรกรรมทางการเงินออนไลน์ แม้ว่ากฎหมายจะไม่ได้กำหนดให้มีการปฏิบัติตาม PCI แต่ก็ถือว่าเป็นแบบอย่าง สิ่งนี้เกิดขึ้นเนื่องจากในขณะที่รับชำระเงินด้วยบัตร มันเป็นความรับผิดชอบของคุณในการปกป้องข้อมูลทางการเงินที่ละเอียดอ่อนของลูกค้าของคุณ

ธุรกิจอีคอมเมิร์ซได้รับประโยชน์จากการเป็นไปตามมาตรฐาน PCI ในรูปแบบต่างๆ ได้แก่:

การละเมิดข้อมูล

• หากไม่ปฏิบัติตาม PCI ธุรกิจของคุณอาจเสี่ยงต่อการรั่วไหลของข้อมูล การรั่วไหล และแฮกเกอร์ ซึ่งอาจส่งผลให้สูญเสียรายได้อย่างรุนแรง
• การปฏิบัติตามข้อกำหนด PCI เสริมการป้องกันของคุณจากอาชญากรรมทางอินเทอร์เน็ตและช่วยในการป้องกันการละเมิดข้อมูล
• นอกจากนี้ บริษัทของคุณสามารถถูกฟ้องร้อง ค่าทดแทนบัตร และค่าชดเชยลูกค้า
• หากพบการละเมิดข้อมูลและบริษัทของคุณปฏิบัติตาม PCI ค่าใช้จ่ายในการละเมิดจะลดลง
• ลดจำนวนการละเมิดข้อมูล ที่สำคัญที่สุดคือปกป้องข้อมูลของผู้ถือบัตร (ลูกค้าของเรา) จากการโจมตีทางไซเบอร์

บทลงโทษและค่าปรับจำนวนมาก

• การไม่ปฏิบัติตามกฎของ PCI อาจส่งผลให้มีการปรับหลายครั้งที่อาจทำให้ทรัพยากรทางการเงินของคุณหมดลงอย่างสมบูรณ์
• การนับจำนวนธุรกรรมและระยะเวลาของการไม่ปฏิบัติตามข้อกำหนด บทลงโทษอาจอยู่ในช่วงตั้งแต่ 5,000 ถึง 100,000 ดอลลาร์ต่อเดือน
• ความล้มเหลวในการปฏิบัติตามข้อกำหนดของรัฐบาลอาจส่งผลให้มีการปรับจำนวนมากนอกเหนือจากบทลงโทษที่กำหนดโดยผู้ให้บริการชำระเงิน
• สำหรับการละเมิดที่ร้ายแรง ค่าปรับอาจสูงถึง 20 ล้านยูโร
• อาจมีการเรียกเก็บค่าธรรมเนียมการฉ้อโกง การตรวจสอบทางนิติเวช และบทลงโทษเพิ่มเติม หากบริษัทฝ่าฝืนกฎหมายอีกครั้ง

เสียชื่อเสียงและรายได้

• จากการสำรวจของ Verizon เมื่อเร็วๆ นี้ ลูกค้า 69% หลีกเลี่ยงการทำธุรกิจกับบริษัทที่ประสบปัญหาการละเมิดข้อมูล ถึงแม้ว่าพวกเขาจะให้ข้อเสนอที่ดีกว่าคู่แข่งก็ตาม
• ขณะนี้ผู้บริโภคมีความคาดหวังด้านความปลอดภัยสูงและความอดทนต่ำต่อช่องโหว่ความเป็นส่วนตัวของข้อมูล ด้วยความรู้ที่เพิ่มขึ้นเกี่ยวกับปัญหาความเป็นส่วนตัวของข้อมูลผู้บริโภค
• การละเมิดข้อมูลอาจส่งผลเสียต่อชื่อเสียงแบรนด์ของคุณในขณะที่ยังลดความภักดีของลูกค้าอีกด้วย

ระงับการใช้บัตรเครดิตในร้านค้าวีโอไอพีของคุณ

• หลังจากการละเมิดข้อมูล การไม่ปฏิบัติตามข้อกำหนดของ PCI อาจส่งผลให้ความสามารถในการรับชำระเงินด้วยบัตรเครดิตถูกเพิกถอน
• การระงับบัญชีบัตรเครดิตของคุณเป็นการสูญเสียที่ร้ายแรงกว่าสำหรับธุรกิจของคุณ เนื่องจากจะทำให้ร้านค้าของคุณไม่สามารถดำเนินการกับบัตรเครดิตได้ในอนาคต
• คุณจะต้องมีนโยบายการรักษาความปลอดภัยที่เข้มงวดซึ่งสอดคล้องกับแนวทางของ PCI เพื่อหลีกเลี่ยงการสูญเสียดังกล่าว

ตอนนี้ เราย้ายไปยังรายการตรวจสอบข้อกำหนดการปฏิบัติตามข้อกำหนด PCI DSS

สำหรับบริษัทที่จัดการข้อมูลผู้ถือบัตรและรักษาเครือข่ายการประมวลผลการชำระเงิน PCI SSC ได้กำหนด 12 มาตรฐานแบ่งออกเป็นหกส่วน บริษัทที่ต้องการปฏิบัติตามข้อกำหนดทั้งหมดนี้ต้องเป็นไปตามข้อกำหนด

สร้างและดูแลเครือข่ายที่ปลอดภัย

ข้อกำหนดชุดแรกหมายถึงการบำรุงรักษาเครือข่ายที่ปลอดภัย และระบุว่าบริษัทต้อง:

• ติดตั้งและทำให้ไฟร์วอลล์ทันสมัยอยู่เสมอ
• ในข้อมูลลูกค้า ให้ใช้รหัสผ่านเดิมที่ผู้ใช้เลือกแทนรหัสผ่านที่ผู้ขายเป็นผู้จัดหา

ปกป้องข้อมูลผู้ถือบัตร

ปกป้องข้อมูลเกี่ยวกับผู้ถือบัตรที่จัดเก็บไว้

• การรักษาความปลอดภัยหลายระดับใช้เพื่อดูแลข้อมูลผู้ถือบัตรที่จัดเก็บไว้
• การปฏิบัติตามข้อกำหนด PCI นี้เป็นสิ่งสำคัญโดยหลีกเลี่ยงการเก็บรักษาข้อมูลผู้ถือบัตรไว้นานเกินความจำเป็น
• ให้ลูกค้าป้อนข้อมูลบัตรเครดิตผ่านเกตเวย์การชำระเงิน และอย่าส่งข้อมูลการชำระเงินโดยไม่มีการเข้ารหัสที่แข็งแกร่ง

เข้ารหัสข้อมูลเกี่ยวกับผู้ถือบัตรที่ส่งทางอินเทอร์เน็ต

• เข้ารหัสการรับส่งข้อมูลของผู้ถือบัตรผ่านเครือข่ายเปิดและเครือข่ายสาธารณะ
• ก่อนส่งข้อมูลบัตรที่มีความละเอียดอ่อนไปยังหลายระบบ การเข้ารหัสเป็นสิ่งสำคัญ ด้วยการใช้เทคโนโลยี SSL และ TLS คุณสามารถทำสิ่งนี้ได้
• การเข้ารหัสข้อมูลระหว่างการส่งผ่านมีความสำคัญอย่างยิ่ง เนื่องจากจะปกป้องข้อมูลของผู้บริโภคแม้ว่าเครือข่ายจะถูกละเมิดระหว่างการถ่ายโอนก็ตาม
• ใบรับรอง SSL เพิ่มความเชื่อมั่นของผู้บริโภคในขณะเดียวกันก็อนุมัติการส่งข้อมูลที่ปลอดภัย

การจัดการจุดอ่อน

ประเภทที่สามเกี่ยวข้องกับวิธีที่บริษัทจัดการช่องโหว่ของเครือข่าย และจำเป็นที่บริษัท:

• ซอฟต์แวร์ป้องกันไวรัสควรใช้และปรับปรุงเป็นประจำ
• สร้างและดูแลซอฟต์แวร์และระบบที่ปลอดภัย

ใช้มาตรการควบคุมการเข้าออกอย่างเข้มงวด

จำกัดการเข้าถึงข้อมูลบัตร

การเข้าถึงข้อมูลผู้ถือบัตรควรเป็นข้อจำกัดสำหรับผู้ที่มีธุรกิจจำเป็นต้องรู้

การจำกัดการเข้าถึงข้อมูลของผู้ถือบัตรให้เข้าถึงได้เฉพาะบุคคลจำนวนเล็กน้อย คุณอาจลดการฉ้อโกงและการโจรกรรมข้อมูลได้

ผู้ดูแลระบบที่มีข้อมูลประจำตัวที่ได้รับอนุญาตสามารถได้รับสิทธิ์การเข้าถึง

นอกจากนี้ยังช่วยให้คุณติดตามการแก้ไขระบบทั้งหมดโดยการตรวจสอบและบันทึกการควบคุมการเข้าถึง

การเข้าแบบจำกัดทำให้คุณสามารถจัดหมวดหมู่ขั้นตอนการรักษาความปลอดภัยโดยพิจารณาจากผู้ที่จำเป็นต้องรู้ ทำให้คุณเห็นภาพที่ชัดเจนของงานผู้ดูแลระบบทั้งหมด

รหัสเฉพาะสำหรับการเข้าถึงข้อมูล

ทุกคนที่มีสิทธิ์เข้าถึงคอมพิวเตอร์ควรได้รับ ID ที่ไม่ซ้ำกัน

คุณสามารถติดตามกิจกรรมของบุคคลที่ได้รับอนุญาตแต่ละคนโดยใช้รหัสที่ไม่ซ้ำกัน

ดำเนินการให้สิทธิ์แบบ 2 ปัจจัยเพื่อเพิ่มการป้องกัน แก้ไขรหัสผ่านการเข้าถึงเป็นประจำ และเก็บบันทึกโดยละเอียด

ID ที่ไม่ซ้ำยังช่วยให้คุณควบคุมบัญชีผู้ใช้และปกป้องการเข้าถึงของผู้ใช้ในทุกระดับ ทำให้ Identity and Access Management (IAM) ง่ายขึ้น

จำกัดการเข้าถึงข้อมูลทางกายภาพ

การเข้าถึงข้อมูลของผู้ถือบัตรควรมีข้อจำกัด

ความปลอดภัยของข้อมูลขยายไปสู่ศูนย์ข้อมูลและเซิร์ฟเวอร์ในโลกทางกายภาพ

ข้อมูลต้องอยู่ในสภาพแวดล้อมที่ปลอดภัยพร้อมการเข้าถึงที่ได้รับอนุญาต ไม่ว่าจะในสถานที่หรือนอกสถานที่

ศูนย์ข้อมูลภายในองค์กรควรจับตาดูคนงานและผู้มาเยี่ยมที่ผิดกฎหมาย ก่อนให้สิทธิ์เข้าถึงศูนย์ข้อมูล คุณยังอัปเดตการตรวจสอบความปลอดภัยเป็นประจำได้อีกด้วย

หากคุณกำลังเก็บข้อมูลนอกสถานที่ ให้พิจารณาถึงข้อควรระวังด้านความปลอดภัยที่ผู้ให้บริการพื้นที่จัดเก็บใช้และเลือกบริการโฮสติ้ง Magento ที่มีชื่อเสียง

ตรวจสอบและทดสอบเครือข่ายอย่างสม่ำเสมอ

มาตรฐานชุดที่ห้ามุ่งเน้นไปที่วิธีที่บริษัทตรวจสอบและทดสอบเครือข่าย และกำหนดให้บริษัท:

• มีการติดตามและตรวจสอบการเข้าถึงข้อมูลผู้ถือบัตรและทรัพยากรเครือข่ายทั้งหมด
• ประเมินระบบความปลอดภัยและโปรโตคอลอย่างสม่ำเสมอ

รักษานโยบายการรักษาความปลอดภัยของข้อมูล

และสุดท้าย ระบบและขั้นตอนทั้งหมดต้องได้รับการทดสอบเป็นประจำ ตามที่ PCI DSS กำหนด เพื่อให้แน่ใจว่ามีการรักษาความปลอดภัย

แล้วคุณจะได้รับการปฏิบัติตาม PCI อย่างไร?

บริษัทหรือองค์กรใดๆ ที่รับชำระเงินด้วยบัตรออนไลน์หรือเก็บข้อมูลบัตรเครดิตควรเป็นไปตามมาตรฐาน PCI ผ่านสภามาตรฐานความปลอดภัยตามมาตรฐาน PCI

ธุรกิจมักจะต้องตรวจสอบการปฏิบัติตาม PCI ทุกปีหรือทุกไตรมาสโดยจ้างผู้ประเมินมืออาชีพหรือบริษัทเพื่อตรวจสอบว่าพวกเขากำลังทำธุรกรรมอย่างถูกต้องหรือไม่

ดังนั้นคุณจะปฏิบัติตาม PCI ได้อย่างไร?

• กำหนดระดับ PCI ที่คุณต้องการใช้ จำนวนธุรกรรมบัตรที่องค์กรของคุณดำเนินการในแต่ละปีจะกำหนดระดับที่คุณจะได้รับมอบหมายจากสี่ระดับ พวกเขาจะมีอิทธิพลต่อแนวทางของคุณในการปฏิบัติตาม PCI DSS
• เลือกแบบสอบถามเพื่อประเมินตนเอง (SAQ) ชักชวนเจ็ดประเภทที่แตกต่างกันตามระดับผู้ค้าของคุณและวิธีประมวลผลข้อมูลบัตรเครดิตของคุณ แต่ละคลาสระบุชุดมาตรฐานแยกต่างหากที่ต้องปฏิบัติตามเพื่อให้เป็นไปตามมาตรฐาน PCI
• สร้างเครือข่ายที่ปลอดภัยเพื่อให้เป็นไปตามมาตรฐานการรับรอง PCI DSS ตั้งแต่การสแกนหาช่องโหว่ไปจนถึงการบำรุงรักษาและซ่อมแซมความปลอดภัย วิธีการนี้สามารถจัดการได้ทั้งหมด ในการจัดการกับการยกของหนักทั้งหมด คุณจะต้องได้รับความช่วยเหลือจากผู้รับเหมาด้านเทคโนโลยีสารสนเทศ
• กรอกแบบฟอร์มยืนยันการปฏิบัติตามข้อกำหนด (AOC) – เอกสารที่ยืนยันข้อค้นพบของการตรวจสอบ PCI DSS
• เส้นทางสู่การปฏิบัติตาม PCI อาจเป็นเรื่องยากที่จะนำทาง อย่างไรก็ตาม หากคุณต้องการรักษาความปลอดภัยให้ลูกค้ารับรู้ถึงตัวคุณและข้อมูลสำคัญจากแฮกเกอร์ ก็คุ้มค่าแก่การเดินทาง

เราขอเสนอว่าในฐานะเจ้าของร้านค้า Magento คุณต้องตั้งค่าปลั๊กอิน SecurePay ที่สอดคล้องกับ PCI DSS สำหรับผู้ค้าปลีก วิธีนี้จะเป็นวิธีที่คุ้มค่ากว่าในการส่งข้อมูลธุรกรรมไปยัง SecurePay เพื่อดำเนินการ

นอกจากนี้ คุณสามารถกังวลว่าการปฏิบัติตามมาตรฐาน PCI มีค่าใช้จ่ายเท่าไร?

ค่าใช้จ่ายในการปฏิบัติตาม PCI จะแตกต่างกันไปตามขนาดของบริษัท ขั้นตอนการประมวลผลบัตร และข้อควรพิจารณาอื่นๆ

การปฏิบัติตาม PCI DSS อาจมีค่าใช้จ่ายเพียง 300 ดอลลาร์ต่อปีสำหรับบริษัทขนาดเล็ก ทั้งนี้ขึ้นอยู่กับปัจจัยต่อไปนี้:

• $50 – $200 สำหรับแบบสอบถามการประเมินตนเอง (SAQ)
• การสแกนช่องโหว่มีค่าใช้จ่ายระหว่าง 100 ถึง 200 ดอลลาร์ต่อที่อยู่ IP
• ประมาณ 70 ดอลลาร์ต่อพนักงานหนึ่งคนสำหรับการฝึกอบรมและการกำหนดนโยบาย
• จาก 100 ดอลลาร์ถึง 10,000 ดอลลาร์สำหรับการแก้ไข (ขึ้นอยู่กับปริมาณงานที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนดและความปลอดภัย)

ค่าใช้จ่ายโดยรวมของการตรวจสอบ PCI DSS สำหรับธุรกิจหลักคาดว่าจะอยู่ที่ประมาณ 70.000 เหรียญสหรัฐ รวมถึง

• การตรวจสอบในสถานที่: ประมาณ $40,000
• การสแกนช่องโหว่มีค่าใช้จ่ายประมาณ 1,000 ดอลลาร์
• ประมาณ $15,000 สำหรับการทดสอบการเจาะทะลุ
• $5,000 สำหรับการกำหนดนโยบายและการฝึกอบรม
• การแก้ไข (อัปเดตซอฟต์แวร์และฮาร์ดแวร์ ฯลฯ): 10,000 – 500,000 เหรียญสหรัฐ

ราคาของการปฏิบัติตามมาตรฐาน PCI ในระดับองค์กรนั้นไม่แพง อย่างไรก็ตาม ค่าธรรมเนียมการปฏิบัติตามข้อกำหนดของ PCI นั้นไม่คุ้มที่จะเสี่ยงต่อข้อมูลของลูกค้าหรือภาพลักษณ์ระยะยาวของบริษัทของคุณ

สุดท้ายแต่ไม่ท้ายสุด เราจะให้แนวทางปฏิบัติที่ดีที่สุดสำหรับการปฏิบัติตาม Magento PCI

การฝึกอบรมพนักงาน

การปฏิบัติตาม Magento PCI เป็นข้อกำหนดทางเทคโนโลยีที่จำเป็นต้องมีความรู้และการฝึกอบรมที่กว้างขวางก่อนนำไปใช้

ตรวจสอบให้แน่ใจว่าแพลตฟอร์ม Magento ของคุณได้รับการรักษาความปลอดภัยโดยทีมผู้เชี่ยวชาญ

ทุ่มเทในการฝึกอบรมพนักงานหรือจ้างผู้เชี่ยวชาญในอุตสาหกรรมเพื่อช่วยเหลือคุณในเรื่องการปฏิบัติตามกฎระเบียบและความปลอดภัยของระบบ Magento

แบบสอบถามการประเมินตนเอง (SAQs)

สำหรับผู้ค้าปลีกรายย่อย PCI DSS ได้เผยแพร่แบบสอบถามการประเมินตนเองเก้าฉบับ

SAQ เป็นข้อสอบประเมินความปลอดภัยพื้นฐานใช่/ไม่ใช่ ที่ให้คุณประเมินความปลอดภัยและดำเนินการซ่อมแซมอย่างมีประสิทธิภาพ

คุณสามารถทำการประเมินให้เสร็จสิ้นและเพิ่มเอกสารรับรองการปฏิบัติตามข้อกำหนด เมื่อคุณได้พิจารณาแล้วว่าแบบสอบถามใดที่เหมาะกับบริษัทของคุณ

PCI SAQ ทำหน้าที่ตรวจสอบการปฏิบัติตามและความปลอดภัย เมื่อร่วมมือกับบริษัทบุคคลที่สาม เป็นประโยชน์

เอกสารนโยบายและรายงานการปฏิบัติตาม

เก็บบันทึกข้อบังคับด้านความปลอดภัยโดยการบันทึกการเปลี่ยนแปลงและกระบวนการปฏิบัติงานในบริษัทของคุณเป็นประจำ

รายงาน PCI เกี่ยวกับการปฏิบัติตามและการรับรองการปฏิบัติตามข้อกำหนด (RoC/AoC) เป็นการประเมินการปฏิบัติตามข้อกำหนดด้านความปลอดภัย

ดำเนินการโดย Qualified Security Assessor (QSA) หรือผู้ประเมินภายในที่มีคุณสมบัติเหมาะสม เพื่อตรวจสอบว่าร้านค้า Magento ของคุณปลอดภัยในการประมวลผลข้อมูลผู้ถือบัตรหรือไม่

ดำเนินการบำรุงรักษาตามปกติ

การปฏิบัติตาม Magento PCI เป็นกระบวนการจัดการอย่างต่อเนื่อง ไม่ใช่การประเมินเพียงครั้งเดียว

การสแกนช่องโหว่ควรทำเป็นประจำ ควรปรับปรุงการรักษาความปลอดภัย และควรมีการจัดทำเอกสารขั้นตอนการปฏิบัติตามข้อกำหนดอย่างละเอียด

การกำหนดค่าระบบ Magento เปลี่ยนแปลงตลอดเวลา และหากคุณไม่ปฏิบัติตาม คุณจะสูญเสียการควบคุมการปฏิบัติตามข้อกำหนดและเป็นอันตรายต่อความปลอดภัยของข้อมูล

บทสรุป

ในสภาพแวดล้อมอินเทอร์เน็ต การรับมือกับปัญหาด้านความปลอดภัยไม่ใช่เรื่องง่ายสำหรับทั้งธุรกิจและลูกค้า ดังนั้นการปฏิบัติตาม Magento PCI จึงสามารถช่วยบริษัทต่างๆ ในการลดความเสี่ยงที่มาจากสภาพแวดล้อมออนไลน์ได้ ไม่เพียงแต่ช่วยให้ผู้ซื้อรู้สึกปลอดภัยมากขึ้นเมื่อซื้อสินค้าในร้านค้าของคุณ แต่คุณยังสามารถสร้างความเชื่อของลูกค้าซึ่งสามารถส่งเสริมภาพลักษณ์ของแบรนด์และดึงดูดลูกค้าได้มากขึ้น หากคุณเป็นเจ้าของร้านค้าวีโอไอพี อย่าลังเลที่จะนำความสอดคล้องของ Magento PCI มาใช้ หากคุณไม่รู้ว่าต้องทำอย่างไร คุณสามารถไปที่บริการของเรา: การพัฒนา Magento เพื่อค้นหาวิธีแก้ปัญหา หรือติดต่อเราโดยตรงเพื่อความสะดวก