Magento PCI uyumluluğu nedir ve Magento mağazanızın neden buna ihtiyacı var?
Yayınlanan: 2022-06-01E-Ticaret son zamanlarda hızla gelişti. Bu nedenle, birçok işletme çevrimiçi mağazasını WooCommerce, Shopify,… özellikle Magento gibi mükemmel özellikler nedeniyle farklı platformlarda açar. Bununla birlikte, büyük faydaların yanı sıra güvenlik, hem müşterilerin hem de sahiplerin önde gelen endişesidir. Alıcılar, kendilerine zarar verebilecek kişisel bilgilerinin üçüncü şahıslara ifşa edilmesini istemezler ve işletmeler müşterilerin güvenini kazanmak için profesyonel bir imaj olarak kalmak isterler. Bu nedenle, bu makalede size zorlu sorunu çözmenize yardımcı olacak olağanüstü bir çözüm sunacağız: Magento PCI uyumluluğu.
Başlangıç olarak, PCI uyumluluğu hakkında bilgi sahibi olmalısınız.
Peki, PCI uyumluluğu nedir?
PCI, Payment Card Industry'nin kısaltmasıdır. PCI uyumluluğu, dünya çapında ödeme verilerinin güvenliğini iyileştirmeyi amaçlayan bir temel standartlar ve yasalar topluluğudur. Politikalar, güvenlik yönetimi, ağ mimarisi, yazılım tasarımı ve diğer kısıtlamalar bunlar arasındadır. PCI DSS, e-Ticaret işletmelerinin hassas veriler için güvenli bir ortam getirmesi için en iyi uygulamaları oluşturur. Bir başka bilgi de, PCI Güvenlik Standartları Konseyi'nin tüm PCI uyumluluk standartlarını geliştirmesi ve dağıtmasıdır. PCI Güvenlik Standartları Konseyi, bu düzenlemeleri geliştirmek ve e-ticaret endüstrisinde PCI uyumluluğunu denetlemek için 2006 yılında kuruldu. Visa, Mastercard, JCB International, Discover Financial Services ve American Express, konseyde temsil edilen en büyük küresel ödeme kartı ağları arasındadır.
Bir çevrimiçi mağaza işleten herhangi bir işletme için PCI uyumluluğu zorunludur. PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standartları) uyumluluğuna bağlı kalan ve bunu başaran işletmeler, PCI uyumlu olarak adlandırılır.
Bilmeniz gereken farklı PCI DSS uyumluluk seviyeleri vardır.
PCI Uyumluluğu'nun dört farklı aşaması vardır; bunların her biri, Kalifiye Güvenlik Değerlendiricisi tarafından yapılan yıllık değerlendirmeye ve farklı kapsamdaki Onaylı Tarama Satıcısı tarafından üç ayda bir yapılan taramaya atıfta bulunur.
PCI DSS Uyumluluk Düzeyi 1
Bu, e-Ticaret için ilk PCI uyumluluğu düzeyidir ve milyonlarca işlemi işleyen kuruluşlar için kullanılır. Aşağıdaki işletme türleri bu kurallara tabidir:
- Her yıl 6 milyondan fazla Visa veya Mastercard işlemi gerçekleştiren e-ticaret şirketleri, hem çevrimiçi hem de çevrimdışı işlemlerden oluşur (bir şirketin çevrimdışı varlığı varsa)
- Ödeme kolaylaştırıcıları her yıl yaklaşık 300.000 işlem gerçekleştirir.
- Visa'nın Seviye 1 olarak kabul ettiği tüm çevrimiçi mağazalar
- Her yıl, yetkili bir PCI denetçisi, uygunluklarını doğrulamak için bir denetim gerçekleştirir. Her üç ayda bir Düzey 1 kuruluşlar, Onaylı Tarama Satıcısı veya ASV tarafından gerçekleştirilen bir PCI taramasına sahip olmalıdır.
PCI DSS Uyumluluk Düzeyi 2
Bu düzenleme biçimi genellikle işlem hacmi 6 milyondan az olan büyük işletmeler için uygundur:
- Her yıl 1-6 milyon Visa işlemi, hem çevrimiçi hem de fiziksel ödemeleri olan tüccarlar tarafından gerçekleştirilir.
- 300.000'den fazla yıllık işlemle, ödeme kolaylaştırıcıları yüksek talep görmektedir.
- Her yıl, bu şirketler bir Öz-Değerlendirme Anketi veya SAQ'nun yanı sıra her üç ayda bir PCI taraması yapmalıdır.
PCI DSS Uyumluluk Düzeyi 3
E-Ticaret için bu PCI uyumluluğu düzeyi, yılda 20.000 ila 1 milyon Visa e-Ticaret işlemi gerçekleştiren tüccarlar içindir.
Bu firmalar, 2. seviye gibi, yıllık bir SAQ'yu tamamlamalıdır, ancak yalnızca belirli koşullarda üç ayda bir tarama yapma zorunluluğu vardır.
PCI DSS Uyumluluk Seviyesi 4
Seviye 4, daha az işlemle daha küçük e-ticaret işletmeleri ile ilgilidir:
- Yılda 20.000'den az Visa işlemi yapan satıcılar uygun değildir.
- Yılda bir milyon veya daha fazla Visa işlemi gerçekleştiren satıcılar (çevrimiçi ve çevrimdışı)
Yıllık bir SAW gerekmesine rağmen, üç aylık PCI taraması "gerektiğinde" yapılır.
Yukarıda sağlanan ana PCI DSS uyumluluk düzeylerine genel bakış, şirketinizin hangi düzeyde uyum sağlaması gerektiğini belirlemenize yardımcı olacaktır.
Magento PCI Uyumluluğu
Magento Ticaret Sürümü
Magento 2 Commerce (Bulut) Sürümü, özellikle en son Magento 2.4.4 sürümü, selefinin mirasını sürdüren Seviye 1 Çözüm Sağlayıcı olarak PCI sertifikalıdır. PCI uyumluluğu işletmeler için giderek daha erişilebilir hale geliyor. Kriterleri karşıladıklarını göstermelerine yardımcı olması için Magento'nun PCI Uyumluluk Onayına güvenebilirler.
Commerce Edition kullanan kişilerin çoğu, yılda 6 milyondan fazla işlem gerçekleştiren orta ölçekli ve büyük işletmeler olduğundan, bu çok önemlidir.
Ayrıca, Magento mağazaları, verileri Magento sunucusunda depolamak yerine doğrudan ödeme ağ geçidine gönderen ödeme ağ geçitleriyle bağlantılıdır. Hem Magento Açık Kaynak hem de Commerce sürümleri bu yeteneğe sahiptir.
Magento Açık Kaynak Sürümü
Açık Kaynak Sürümü, bir özellik olarak PCI uyumluluğu içermez. Ancak, Magento web sitenizi PCI uyumlu hale getirmek için birkaç seçenek vardır:
1. Üçüncü taraf bir hizmet aracılığıyla ödeme yapın (örneğin, PayPal ekspres)
Ticaret baskısı bölümünde belirttiğimiz yol budur.
Kredi kartı bilgileri sunucunuzda saklanmayacağından, bu seçeneği seçerseniz PCI uyumlu olmanıza gerek kalmayacaktır. Geçmişte bir üçüncü taraf ödeme ağ geçidi kullanmak, müşterinizin ödeme sürecinin kesintiye uğramasına neden olabilir. Ancak, bu artık bir sorun değil.
Magento Stripe entegrasyonu gibi bir üçüncü taraf ödeme ağ geçidi ile tüccarlar artık sorunsuz bir ödeme deneyimi sağlayabilir. Hassas veriler Magento sunucusunda depolanmıyorsa, PCI uyumlu olmak için yeniden değerlendirmeden geçmek zorunda kalmadan çekirdek Magento e-Ticaret uygulamasında değişiklik yapabilirsiniz.
2. PCI uyumlu bir SaaS ödeme uygulaması kullanın.
Örnek olarak PCI uyumlu CRE Secure kullanabilirsiniz. Müşteri farklı bir web sitesine yönlendirilir (URL değişir), ancak form mağazanızın tasarımına uyacak şekilde ayarlanabilir.
Soru şu ki, neden PCI Uyumlu olmanız gerekiyor?
E-ticaretin son birkaç yıldır piyasaya hakim olduğunu söylemek abartı olmaz. Bu gelişmeyle birlikte, çevrimiçi finansal işlemlerle ilgili olduğunda müşteri veri güvenliği konusunda artan bir özen var. PCI uyumluluğunun kanunen zorunlu olmamasına rağmen, emsal olarak kabul edilmektedir. Bunun nedeni, kart ödemelerini kabul ederken müşterilerinizin hassas finansal bilgilerini korumanın sizin sorumluluğunuzda olmasıdır.
e-Ticaret işletmeleri, aşağıdakiler de dahil olmak üzere çeşitli şekillerde PCI uyumlu olmaktan yararlanır:
Veri ihlalleri
- PCI uyumluluğu olmadan, işletmeniz ciddi gelir kaybına neden olabilecek veri ihlalleri, sızıntılar ve bilgisayar korsanları riski altındadır.
- PCI uyumluluğu, siber suçlara karşı savunmanızı güçlendirir ve veri ihlallerinin önlenmesine yardımcı olur.
- Ayrıca şirketiniz davalar, kart değiştirme ücretleri ve müşteri tazminat maliyetleriyle karşı karşıya kalabilir.
- Bir veri ihlali tespit edilirse ve şirketiniz PCI uyumluysa, ihlalin maliyetleri azalır.
- Veri ihlallerinin sayısını azaltın. En temel, kart sahiplerinin (müşterilerimizin) verilerini siber saldırılara karşı koruyun.
Cezalar ve ağır para cezaları
- PCI kurallarına uyulmaması, mali kaynaklarınızı tamamen tüketebilecek çeşitli cezalarla sonuçlanabilir.
- İşlem hacmine ve uyumsuzluğun uzunluğuna bağlı olarak, cezalar ayda 5.000 ila 100.000 ABD Doları arasında değişebilir.
- Hükümet uyum başarısızlıkları, ödeme sağlayıcılar tarafından uygulanan cezalara ek olarak önemli para cezalarına neden olabilir.
- Ciddi ihlaller için para cezaları 20 milyon Euro'ya ulaşabilir.
- Şirket yasaları tekrar ihlal ederse, dolandırıcılık suçlamaları, adli muayeneler ve ekstra cezalar uygulanabilir.
İtibar ve gelir kaybı
- Yakın tarihli bir Verizon anketine göre, müşterilerin %69'u, rakiplerinden daha iyi anlaşmalar sağlasalar bile, veri ihlali yaşayan bir firmayla iş yapmaktan kaçınıyor.
- Tüketici veri gizliliği sorunlarına ilişkin artan bilgi sayesinde, tüketiciler artık yüksek güvenlik beklentilerine ve veri gizliliği güvenlik açıklarına karşı düşük toleransa sahip.
- Veri ihlalleri, markanızın itibarına zarar verirken müşteri sadakatini de azaltabilir.
Magento mağazanızda kredi kartlarının kullanımını askıya alma
- Bir veri ihlalinden sonra, PCI uyumluluğuna uyulmaması, kredi kartı ödemelerini alma yeteneğinizin iptal edilmesine neden olabilir.
- Kredi kartı hesabınızın askıya alınması işletmeniz için daha ciddi bir kayıptır çünkü mağazanızın gelecekte kredi kartlarını işlemesini engeller.
- Bu tür kayıpları önlemek için PCI yönergeleriyle uyumlu sıkı bir güvenlik ilkesine ihtiyacınız olacak.
Şimdi, PCI DSS Uyumluluğu gereksinim kontrol listesine geçiyoruz
Kart sahibi verilerini yöneten ve bir ödeme işleme ağını sürdüren firmalar için PCI SSC, altı bölüme ayrılmış 12 standart belirlemiştir. Bu gereksinimlerin tümü, uyum sağlamak isteyen herhangi bir şirket tarafından karşılanmalıdır.
Güvenli Bir Ağ Oluşturun ve Bakımını Yapın
İlk gereksinim grubu, güvenli bir ağın bakımına atıfta bulunur ve bir şirketin şunları yapması gerektiğini belirtir:
- Bir güvenlik duvarı kurar ve güncel tutar.
- Müşteri verilerinde, satıcı tarafından sağlanan şifreler yerine orijinal, kullanıcı tarafından seçilen şifreleri kullanır.
Kart Sahibi Verilerini Koruyun
Saklanan kart sahipleri hakkındaki bilgileri koruyun.
- Saklanan kart sahibi verileriyle ilgilenmek için çeşitli güvenlik seviyeleri kullanılır.
- Kart sahibi verilerini gerekenden daha uzun süre tutmaktan kaçınarak bu PCI uyumluluk gereksinimini karşılamak çok önemlidir.
- Müşterilerin kredi kartı bilgilerini bir ödeme ağ geçidi üzerinden girmesine izin verin ve sağlam şifreleme olmadan asla ödeme bilgilerini göndermeyin.
İnternet üzerinden gönderilen kart sahipleri hakkındaki verileri şifreleyin.
- Açık ve genel ağlar aracılığıyla kart sahibi veri iletimini şifreleyin.
- Hassas kart verilerini birden fazla sisteme taşımadan önce şifrelemek çok önemlidir. SSL ve TLS teknolojilerini kullanarak bunu başarabilirsiniz.
- Aktarım sırasında verilerin şifrelenmesi, aktarım sırasında ağlar ihlal edilse bile tüketici verilerini koruduğu için son derece önemlidir.
- Bir SSL sertifikası, güvenli veri aktarımını onaylarken tüketici inancını artırır.
Güvenlik açığını yönetme
Üçüncü kategori, bir şirketin ağ güvenlik açıklarını nasıl yönettiğiyle ilgilidir ve bir şirketin aşağıdakileri yapmasını gerektirir:
- Anti-virüs yazılımı düzenli olarak kullanılmalı ve güncellenmelidir.
- Güvenli yazılım ve sistemler oluşturur ve sürdürür.
Güçlü Erişim Kontrolü Önlemleri Uygulayın
Kart verilerine erişimi kısıtlayın
Kart sahibi verilerine erişim, bilmesi gereken bir iş sahibi olanlar için sınırlama olmalıdır.
Kart sahibi verilerine erişimi az sayıda kişiyle sınırlayarak dolandırıcılığı ve veri hırsızlığını azaltabilirsiniz.
Yetkili kimlik bilgilerine sahip yöneticilere erişim izni verilebilir.
Ayrıca erişim kontrolünü izleyerek ve belgeleyerek tüm sistem değişikliklerini takip etmenize yardımcı olur.
Sınırlı giriş, güvenlik prosedürlerini kimin bilmesi gerektiğine göre sınıflandırmanıza olanak tanır ve size tüm yönetici görevlerinin net bir resmini verir.
Veri erişimi için benzersiz kimlikler
Bilgisayara erişimi olan her kişiye benzersiz bir kimlik verilmelidir.
Benzersiz kimlikler kullanarak her yetkili bireyin etkinliğini takip edebilirsiniz.
Ek koruma için 2 faktörlü yetkilendirme gerçekleştirin, erişim parolalarını düzenli olarak değiştirin ve ayrıntılı günlükleri saklayın.
Benzersiz Kimlikler ayrıca kullanıcı hesaplarını kontrol etmenize ve her düzeyde kullanıcı erişimini korumanıza yardımcı olarak Kimlik ve Erişim Yönetimini (IAM) kolaylaştırır.
Verilere fiziksel erişimi kısıtlayın
Kart sahibi verilerine fiziksel erişim sınırlandırılmalıdır
Veri güvenliği, fiziksel dünyadaki veri merkezlerine ve sunuculara genişler.
Veriler, yerinde veya dışında, yetkili erişime sahip güvenli bir ortamda tutulmalıdır.
Şirket içi veri merkezleri, yasadışı işçilere ve ziyaretçilere göz kulak olmalıdır. Veri merkezine erişim vermeden önce, güvenlik kontrollerini de düzenli olarak güncelleyebilirsiniz.
Verileri site dışında tutuyorsanız, depolama sağlayıcısı tarafından kullanılan güvenlik önlemlerine bakın ve saygın bir Magento barındırma hizmeti seçin.
Ağları Düzenli Olarak İzleyin ve Test Edin
Beşinci standart seti, bir şirketin ağını nasıl izlediğine ve incelediğine odaklanır ve şirketin aşağıdakileri yapmasını zorunlu kılar:
- Kart sahibi verilerine ve ağ kaynaklarına tüm erişimler izlenir ve izlenir.
- Güvenlik sistemlerini ve protokollerini düzenli olarak değerlendirir.
Bilgi Güvenliği Politikası Sürdürmek
Ve son olarak, güvenliğin korunmasını sağlamak için PCI DSS'nin gerektirdiği şekilde tüm sistemler ve prosedürler düzenli olarak test edilmelidir.
O zaman, PCI uyumluluğunu nasıl elde edersiniz?
Kart ödemelerini çevrimiçi alan veya kredi kartı verilerini tutan herhangi bir şirket veya kuruluş, PCI Uyumluluk Güvenlik Standardı Konseyi aracılığıyla PCI uyumlu olmalıdır.
İşletmeler, işlemleri doğru yapıp yapmadıklarını belirlemek için profesyonel bir değerlendirici veya bir şirket kullanarak genellikle her yıl veya üç ayda bir PCI uyumluluğunu kontrol etmelidir.
Peki, PCI'ya nasıl uyuyorsunuz?
- Kullanmak istediğiniz PCI seviyesini belirleyin. Kuruluşunuzun her yıl işlediği kart işlemlerinin miktarı, dört düzeyden hangisine atanacağınızı belirler. PCI DSS uyumluluğuna yaklaşımınızı etkilerler.
- Öz değerlendirmeniz (SAQ) için bir anket seçin. Tüccar seviyenize ve kredi kartı bilgilerini nasıl işlediğinize bağlı olarak yedi farklı tür oluşturun. Her sınıf, PCI uyumlu olması için karşılanması gereken ayrı bir standartlar grubunu belirtir.
- PCI DSS sertifika standartlarını karşılamak için güvenli bir ağ oluşturun. Bu yöntem, güvenlik açığı taramasından güvenlik bakımı ve onarımına kadar her şeyi halledebilir. Tüm ağır yüklerin üstesinden gelmek için bir bilgi teknolojisi yüklenicisinin yardımına ihtiyacınız olacak.
- Uygunluk Onayı (AOC) formunu doldurun – PCI DSS denetiminin bulgularını doğrulayan bir belge.
- PCI uyumluluğuna giden yolda gezinmek zor olabilir. Ancak, müşterilerinizin sizinle ilgili algılarını ve hayati verilerinizi bilgisayar korsanlarından korumak istiyorsanız, gitmeye değer.
Bir Magento mağazası sahibi olarak PCI DSS uyumlu bir SecurePay eklentisi kurmanızı öneriyoruz. Perakendeciler için bu, işlem bilgilerini işlemek üzere SecurePay'e göndermenin daha uygun maliyetli bir yolu olacaktır.
Ayrıca, PCI Uyumluluğunun ne kadara mal olduğu konusunda endişeleriniz olabilir?
PCI uyumluluk maliyetleri, şirketinizin büyüklüğüne, kart işleme prosedürlerine ve diğer hususlara bağlı olarak değişir.
PCI DSS uyumluluğu, aşağıdaki faktörlere bağlı olarak, küçük firmalar için yılda 300 ABD Doları kadar düşük bir maliyete mal olabilir:
- Bir Öz-Değerlendirme Anketi (SAQ) için 50 – 200 $.
- Güvenlik açığı taraması, IP adresi başına 100 ile 200 ABD Doları arasında değişir.
- Eğitim ve politika oluşturma için çalışan başına yaklaşık 70 dolar.
- Düzeltme için 100 ila 10.000 ABD Doları (uyumluluk ve güvenliği karşılamak için gereken çalışma miktarına bağlı olarak).
Büyük işletmeler için bir PCI DSS sınavının toplam maliyetinin, aşağıdakiler dahil olmak üzere 70.000$ civarında olması bekleniyor.
- Yerinde denetim: Yaklaşık 40.000 ABD doları
- Güvenlik açığı taramasının maliyeti yaklaşık 1.000 ABD dolarıdır.
- Penetrasyon testi için yaklaşık 15.000 $
- Politika oluşturma ve eğitim için $5,000.
- Düzeltme (yazılım ve donanım güncellemeleri vb.): 10.000 – 500.000 ABD Doları
Kurumsal düzeyde PCI uyumlu olmanın bedeli ucuz değildir. Yine de, herhangi bir PCI uyumluluk ücreti, müşterilerinizin bilgilerini veya şirketinizin uzun vadeli imajını tehlikeye atmaya değmez.
Son olarak, size Magento PCI uyumluluğu için bazı en iyi uygulamaları vereceğiz.
Çalışan eğitimi
Magento PCI uyumluluğu, uygulama öncesinde kapsamlı bilgi ve eğitim gerektiren teknolojik bir gereksinimdir.
Magento platformunuzun bir uzman ekibi tarafından güvence altına alındığından emin olun.
Magento uyumluluğu ve güvenliği konusunda size yardımcı olması için çalışan eğitimine adayın veya endüstri uzmanlarını işe alın.
Öz Değerlendirme Anketleri (SAQ'lar)
Küçük perakendeciler ile PCI DSS, dokuz öz değerlendirme anketi yayınladı.
SAQ, güvenliğinizi değerlendirmenize ve etkili onarım eylemleri gerçekleştirmenize olanak tanıyan temel bir evet/hayır güvenlik değerlendirme sınavıdır.
Hangi anketin şirketiniz için doğru olduğunu belirledikten sonra değerlendirmeyi tamamlayabilir ve bir Uygunluk Beyanı ekleyebilirsiniz.
PCI SAQ, uyumluluk ve güvenliğin doğrulanması işlevi görür. Üçüncü taraf şirketlerle işbirliği yaparken avantajlıdır.
Politikaları ve uyumluluk raporlarını belgeleyin
Şirketinizdeki değişiklikleri ve operasyonel süreçleri düzenli olarak belgeleyerek güvenlik düzenlemelerinin kaydını tutun.
Uyumluluk ve Uygunluk Onayına İlişkin PCI Raporu (RoC/AoC), bir güvenlik uyumluluğu değerlendirmesidir.
Magento mağazanızın kart sahibi verilerini işlemek için güvenli olup olmadığını belirlemek için Nitelikli Güvenlik Değerlendiricisi (QSA) veya nitelikli bir dahili değerlendirici tarafından gerçekleştirilir.
Düzenli bakım yapın
Magento PCI uyumluluğu, tek seferlik bir değerlendirme değil, devam eden bir yönetim sürecidir.
Güvenlik açığı taramaları düzenli olarak yapılmalı, güvenlik güncellenmeli ve uyumluluk prosedürleri kapsamlı bir şekilde belgelendirilmelidir.
Magento sistem yapılandırmaları her zaman değişir ve bunlara ayak uydurmazsanız uyumluluk denetimlerini kaybedersiniz ve veri güvenliğini tehlikeye atarsınız.
Çözüm
İnternet ortamında güvenlik sorunuyla baş etmek hem işletmeler hem de müşteriler için kolay olmamaktadır. Bu nedenle, Magento PCI uyumluluğu, şirketlerin çevrimiçi ortamdan kaynaklanan riskleri azaltmalarına yardımcı olabilir. Alıcıların mağazanızda alışveriş yaparken kendilerini daha güvende hissetmelerine yardımcı olmakla kalmaz, aynı zamanda markanın imajını artırabilecek ve daha fazla müşteri çekebilecek müşteri inancını da oluşturabilirsiniz. O zaman bir Magento mağazası sahibiyseniz, Magento PCI uyumluluğunu uygulamakta tereddüt etmeyin. Ne yapacağınızı bilmiyorsanız, çözümü bulmak için Magento geliştirme hizmetimizi ziyaret edebilir veya kolaylık sağlamak için doğrudan bizimle iletişime geçebilirsiniz.