什麼是 Magento PCI 合規性以及為什麼您的 Magento 商店需要它?
已發表: 2022-06-01電子商務最近發展得越來越快。 因此,許多企業在 Woocommerce、Shopify 等不同平台上開設在線商店……尤其是 Magento,因為它具有出色的功能。 然而,伴隨著巨大的利益,安全性也是客戶和業主最關心的問題。 買家不希望他們的個人信息被洩露給第三方,這可能會傷害他們,企業希望保持專業形像以獲得客戶的信任。 因此,在本文中,我們將向您介紹一個出色的解決方案,以幫助您解決棘手的問題:Magento PCI 合規性。
首先,您應該熟悉 PCI 合規性
那麼,什麼是 PCI 合規性?
PCI 是支付卡行業的縮寫。 PCI 合規性是一系列基本標準和法律,旨在提高全球支付數據的安全性。 其中包括策略、安全管理、網絡架構、軟件設計和其他限制。 PCI DSS 為電子商務企業建立了最佳實踐,為敏感數據帶來了安全的環境。 另一項知識是 PCI 安全標準委員會開發和分發所有 PCI 合規標準。 PCI 安全標準委員會成立於 2006 年,旨在製定這些法規並監督電子商務行業的 PCI 合規性。 Visa、Mastercard、JCB International、Discover Financial Services 和 American Express 是理事會代表的最大的全球支付卡網絡之一。
任何經營在線商店的企業都必須遵守 PCI。 遵守並實現 PCI DSS(支付卡行業數據安全標準)合規性的企業被稱為 PCI 合規性。
您應該了解不同的 PCI DSS 合規級別
PCI 合規性有四個不同的階段,每個階段指的是由合格的安全評估員進行的年度評估和由不同範圍的經批准的掃描供應商進行的季度掃描。
PCI DSS 合規性 1 級
這是電子商務 PCI 合規性的初始級別,用於處理數百萬筆交易的組織。 以下類型的企業受這些規則的約束:
- 每年處理超過 600 萬筆 Visa 或 Mastercard 交易的電子商務公司,包括線上和線下交易(如果公司有線下業務)
- 每年,支付服務商執行大約 300,000 筆交易。
- Visa 認為是 1 級的所有在線商店
- 每年,授權的 PCI 審核員都會進行審核以驗證其合規性。 每個季度,1 級組織必須由經批准的掃描供應商 (ASV) 執行 PCI 掃描。
PCI DSS 合規性 2 級
這種監管形式通常適用於交易量小於 600 萬的大企業:
- 商家每年進行 1-6 百萬次 Visa 交易,包括在線支付和實體支付。
- 每年有超過 300,000 筆交易,支付服務商的需求量很大。
- 每年,這些公司都必須完成自我評估問卷或 SAQ,以及每季度進行一次 PCI 掃描。
PCI DSS 合規性 3 級
這一級別的電子商務 PCI 合規性適用於每年進行 20,000 至 100 萬次 Visa 電子商務交易的商家。
這些公司,如 2 級,必須完成年度 SAQ,但只有在某些條件下執行季度掃描的義務。
PCI DSS 合規性 4 級
第 4 級適用於交易較少的小型電子商務企業:
- 每年進行少於 20,000 筆 Visa 交易的賣家不符合資格。
- 每年執行一百萬次或更多 Visa 交易的商戶(線上和線下)
儘管需要每年進行一次 SAW,但每季度一次的 PCI 掃描是在“根據需要”的基礎上執行的。
上面提供的主要 PCI DSS 合規級別概述將幫助您確定貴公司應達到的合規級別。
Magento PCI 合規性
Magento 商務版
Magento 2 Commerce (Cloud) Edition,尤其是最新版本的 Magento 2.4.4 已通過 PCI 認證為一級解決方案提供商,繼承了其前身的傳統。 企業越來越容易獲得 PCI 合規性。 他們可能會依靠 Magento 的 PCI 合規性證明來幫助他們證明他們已經達到了標準。
由於使用 Commerce Edition 的大多數人是每年處理超過 600 萬筆交易的大中型企業,因此這一點至關重要。
此外,Magento 商店鏈接到支付網關,支付網關直接將數據發送到支付網關,而不是將其存儲在 Magento 服務器上。 Magento Open Source 和 Commerce 版本都具有此功能。
Magento 開源版
開源版不包含 PCI 合規性作為一項功能。 但是,有幾個選項可以讓您的 Magento 網站符合 PCI 標準:
1.通過第三方服務(例如PayPal express)進行支付
這是我們在商務版部分中所述的方式。
如果您選擇此選項,您將不需要符合 PCI 標準,因為信用卡信息不會存儲在您的服務器上。 過去使用第三方支付網關可能會導致客戶的結賬過程中斷。 但是,這不再是問題。
借助第三方支付網關(例如 Magento Stripe 集成),商家現在可以提供無縫結賬體驗。 如果敏感數據未存儲在 Magento 服務器上,您可以對核心 Magento 電子商務應用程序進行更改,而無需重新評估是否符合 PCI。
2. 使用符合 PCI 的 SaaS 支付應用程序。
您可以使用符合 PCI 標準的 CRE Secure 作為示例。 客戶被定向到不同的網站(URL 更改),但可以調整表單以匹配您商店的設計。
問題是為什麼您需要符合 PCI 標準?
毫不誇張地說,電子商務在過去幾年中一直主導著市場。 隨著這一發展,與在線金融交易相關的客戶數據安全性也越來越受到關注。 儘管法律不要求遵守 PCI 規定,但在先例中是這樣認為的。 這是因為在接受信用卡付款時,您有責任保護客戶的敏感財務信息。
電子商務企業以各種方式受益於 PCI 合規性,包括:
數據洩露
- 如果沒有 PCI 合規性,您的企業就會面臨數據洩露、洩露和黑客攻擊的風險,這可能會導致嚴重的收入損失。
- PCI 合規性可加強您對網絡犯罪的防禦,並有助於防止數據洩露。
- 此外,您的公司可能會面臨訴訟、換卡費用和客戶賠償費用。
- 如果發現數據洩露並且您的公司符合 PCI 標準,那麼洩露的成本就會降低。
- 減少數據洩露的數量。 最重要的是,保護持卡人(我們客戶的)數據免受網絡攻擊。
罰款和巨額罰款
- 不遵守 PCI 規則可能會導致各種罰款,從而完全耗盡您的財務資源。
- 根據交易量和違規時間長短,罰款可能從每月 5,000 美元到 100,000 美元不等。
- 除了支付提供商處以的罰款外,政府不遵守規定還可能導致巨額罰款。
- 對於嚴重的違規行為,罰款可能高達 2000 萬歐元。
- 如果公司再次違法,可能會被處以欺詐指控、法醫檢查和額外處罰
聲譽和收入損失
- 根據 Verizon 最近的一項調查,69% 的客戶會避免與經歷過數據洩露的公司開展業務,即使他們提供的交易比競爭對手更好。
- 由於對消費者數據隱私問題的了解增加,消費者現在對數據隱私漏洞有很高的安全期望和較低的容忍度。
- 數據洩露會損害您的品牌聲譽,同時也會降低客戶忠誠度。
暫停在您的 Magento 商店使用信用卡
- 數據洩露後,不遵守 PCI 合規性可能會導致您的信用卡付款被撤銷。
- 暫停您的信用卡帳戶對您的業務來說是一個更嚴重的損失,因為它會阻止您的商店將來處理信用卡。
- 您將需要符合 PCI 準則的嚴格安全策略來避免此類損失。
現在,我們進入 PCI DSS 合規性要求清單
對於管理持卡人數據和維護支付處理網絡的公司,PCI SSC 制定了 12 個標準,分為六個部分。 任何想要合規的公司都必須滿足所有這些要求。
建立和維護安全網絡
第一組要求涉及安全網絡的維護,並規定公司必須:
- 安裝並保持防火牆最新。
- 在客戶數據上,使用原始的、用戶選擇的密碼,而不是供應商提供的密碼。
保護持卡人數據
保護已存儲的持卡人信息。
- 多個安全級別用於處理存儲的持卡人數據。
- 通過避免保留持卡人數據超過必要的時間來滿足這一 PCI 合規性要求至關重要。
- 讓客戶通過支付網關輸入他們的信用卡信息,並且永遠不要在沒有強大加密的情況下發送支付信息。
加密通過 Internet 發送的持卡人數據。
- 通過開放和公共網絡加密持卡人數據傳輸。
- 在將敏感卡數據傳輸到多個系統之前,對其進行加密至關重要。 使用 SSL 和 TLS 技術,您可以做到這一點。
- 在傳輸過程中加密數據非常重要,因為即使在傳輸過程中網絡被破壞,它也可以保護消費者數據。
- SSL 證書增加了消費者的信心,同時也批准了安全的數據傳輸。
管理漏洞
第三類涉及公司如何管理網絡漏洞,它要求公司:
- 應定期使用和更新防病毒軟件。
- 創建和維護安全的軟件和系統。
實施強大的訪問控制措施
限制訪問卡數據
對持卡人數據的訪問應該是那些有業務需要知道的人的限制。
通過限制少數人訪問持卡人數據,您可以減少欺詐和數據盜竊。
可以授予具有授權憑據的管理員訪問權限。
它還可以幫助您通過監控和記錄訪問控制來跟踪所有系統修改。
有限的條目允許您根據需要知道的人對安全程序進行分類,讓您清楚地了解所有管理任務。
用於數據訪問的唯一 ID
每個有權訪問計算機的人都應獲得一個唯一的 ID。
您可以使用唯一 ID 跟踪每個授權個人的活動。
執行 2 因素授權以增加保護,定期更改訪問密碼並保留詳細日誌。
唯一 ID 還可以幫助您控制用戶帳戶並保護所有級別的用戶訪問,從而使身份和訪問管理 (IAM) 變得更加容易。
限制對數據的物理訪問
對持卡人數據的物理訪問應受到限制
數據安全擴展到物理世界中的數據中心和服務器。
數據必須保存在具有授權訪問權限的安全環境中,無論是現場還是場外。
內部數據中心應密切關注非法工人和訪客。 在授予對數據中心的訪問權限之前,您還可以定期更新安全檢查。
如果您將數據保存在異地,請查看存儲提供商使用的安全預防措施並選擇信譽良好的 Magento 託管服務。
定期監控和測試網絡
第五套標準側重於公司如何監控和檢查其網絡,並要求公司:
- 對持卡人數據和網絡資源的所有訪問都受到跟踪和監控。
- 定期評估安全系統和協議。
維護信息安全政策
最後,必須按照 PCI DSS 的要求定期測試所有系統和程序,以確保維護安全性。
那麼,如何獲得 PCI 合規性?
通過 PCI 合規安全標準委員會,任何在線支付卡或保留信用卡數據的公司或組織都應符合 PCI。
企業通常必須每年或每季度通過聘請專業評估員或公司來檢查他們的 PCI 合規性,以確定他們是否正確地進行交易。
那麼,您如何遵守 PCI?
- 確定要使用的 PCI 級別。 您的組織每年處理的卡交易數量決定了您將被分配到四個級別中的哪一個。 它們會影響您實現 PCI DSS 合規性的方法。
- 為您的自我評估 (SAQ) 選擇一份問卷。 根據您的商戶級別和您處理信用卡信息的方式,歸納出七種不同的類型。 每個類別都表示一組單獨的標準,必須滿足這些標準才能符合 PCI。
- 創建滿足 PCI DSS 認證標準的安全網絡。 從漏洞掃描到安全維護和修復,這種方法都能應付自如。 要處理所有繁重的工作,您需要信息技術承包商的幫助。
- 填寫合規證明 (AOC) 表格 - 用於驗證 PCI DSS 審核結果的文件。
- 通往 PCI 合規的道路可能難以駕馭。 但是,如果您想保護客戶對您和您的重要數據的看法免受黑客攻擊,那麼值得一遊。
我們建議您作為 Magento 商店所有者設置一個符合 PCI DSS 的 SecurePay 插件。 對於零售商而言,這將是一種將交易信息發送到 SecurePay 進行處理的更具成本效益的方式。
此外,您可以關心 PCI 合規性的成本是多少?
PCI 合規成本取決於您公司的規模、卡處理程序和其他考慮因素。
小公司每年的 PCI DSS 合規成本可能低至 300 美元,具體取決於以下因素:
- 50 - 200 美元的自我評估問卷 (SAQ)。
- 每個 IP 地址的漏洞掃描成本在 100 美元到 200 美元之間。
- 每位員工約 70 美元用於培訓和政策制定。
- 修復費用從 100 美元到 10,000 美元不等(取決於滿足合規性和安全性所需的工作量)。
主要企業的 PCI DSS 檢查總成本預計約為 70.000 美元,包括
- 現場審核:約 40,000 美元
- 漏洞掃描成本約為 1,000 美元。
- 大約 15,000 美元用於滲透測試
- 5,000 美元用於政策制定和培訓。
- 整治(軟件和硬件更新等):10,000 - 500,000 美元
在企業級符合 PCI 的價格並不便宜。 儘管如此,任何 PCI 合規費用都不值得損害您的客戶信息或公司的長期形象。
最後但同樣重要的是,我們將為您提供一些 Magento PCI 合規性的最佳實踐
員工培訓
Magento PCI 合規性是一項技術要求,在實施之前需要廣泛的知識和培訓。
確定您的 Magento 平台由專家團隊保護。
致力於員工培訓或聘請行業專家來幫助您實現 Magento 合規性和安全性。
自我評估問卷 (SAQ)
對於小型零售商,PCI DSS 發布了九份自我評估問卷。
SAQ 是一項基本的是/否安全評估考試,可讓您評估您的安全性並執行有效的修復操作。
確定適合貴公司的問卷後,您可以完成評估並添加合規證明。
PCI SAQ 用於驗證合規性和安全性。 當與第三方公司合作時,這是有利的。
記錄政策和合規報告
通過定期記錄公司的變更和操作流程來記錄安全法規。
PCI 合規性和合規性證明 (RoC/AoC) 報告是一項安全合規性評估。
它由合格的安全評估員 (QSA) 或合格的內部評估員執行,以確定您的 Magento 商店是否可以安全地處理持卡人數據。
進行定期維護
Magento PCI 合規性是一個持續的管理過程,而不是一次性評估。
應定期執行漏洞掃描,更新安全性,並徹底記錄合規程序。
Magento 系統配置一直在變化,如果您跟不上它們,您將失去合規控制並危及數據安全。
結論
在互聯網環境中,應對安全問題對企業和客戶來說都不是一件容易的事。 因此,Magento PCI 合規性可以幫助公司降低來自在線環境的風險。 它不僅可以幫助買家在您的商店購物時感到更加安全,還可以建立客戶的信念,從而提升品牌形象並吸引更多客戶。 那麼,如果您是 Magento 商店所有者,請不要猶豫實施 Magento PCI 合規性。 如果您不知道該怎麼做,您可以訪問我們的服務:Magento 開發以查找解決方案或直接聯繫我們以方便。