Kepatuhan PCI WooCommerce: Semua yang Perlu Anda Ketahui!

Diterbitkan: 2022-01-25

WooCommerce adalah platform eCommerce Open-Source untuk WordPress yang digunakan untuk membangun etalase virtual yang indah dan dapat disesuaikan. Tetapi seberapa amankah metode pembayarannya? Apakah platform mematuhi standar kepatuhan PCI?

Kecuali jika situs web eCommerce Anda mematuhi standar PCI-DSS, situs tersebut cenderung membahayakan keamanan dan privasi data pelanggan. Dan ini bisa mempengaruhi reputasi bisnis online Anda.

Inilah semua yang harus Anda ketahui untuk memastikan data pelanggan Anda terlindungi dan aman di toko WooCommerce Anda.

Daftar Isi menunjukkan
  • Apakah WooCommerce Mematuhi PCI?
  • Apa sebenarnya Kepatuhan PCI itu?
  • Manfaat utama memiliki situs web yang sesuai dengan PCI:
  • Apa persyaratan untuk Kepatuhan PCI-DSS?
  • Apakah WooCommerce aman?
    • Melindungi Informasi Kartu Kredit Tersimpan
    • Keamanan yang Ditingkatkan dengan SSL
    • Sistem Masuk WordPress
  • Apakah WooCommerce Menyimpan Informasi Kartu Kredit?
  • Kesimpulan & FAQ

Apakah WooCommerce Mematuhi PCI?

kepatuhan woocommerce-pci

Plugin inti WooCommerce tidak sesuai dengan PCI-DSS. Namun, itu dapat dengan mudah dikonfigurasi agar sepenuhnya sesuai. Pada akhirnya, tanggung jawab membuat situs web yang sesuai dengan PCI terletak pada pemilik toko. Dan oleh karena itu, mereka harus mengambil semua langkah untuk memastikan situs web eCommerce mereka aman dan terjamin.

Idealnya, beberapa aspek persyaratan kepatuhan PCI-DSS berada di luar cakupan WooCommerce atau WordPress. Sebaliknya, mereka berada di bawah cakupan penyedia hosting atau praktik bisnis yang dipatuhi situs web Anda. Plugin WooCommerce dirancang dengan mempertimbangkan keamanan dan ada beberapa cara untuk memastikan keamanan lengkap.

Berikut adalah fitur utama WooCommerce yang dapat membantu situs web eCommerce Anda pada awalnya sesuai dengan PCI:

Akses terbatas:

WooCommerce menggunakan login WordPress yang aman yang memungkinkan pengguna menetapkan tingkat dan peran privasi individu untuk pengguna yang berbeda. Akses terbatas ke informasi pembayaran pelanggan memastikan peningkatan keamanan.

Keamanan SSL:

Pengguna dapat mengatur WooCommerce untuk menerapkan persyaratan SSL selama proses checkout. Memiliki sertifikasi SSL memastikan bahwa data pelanggan Anda tetap terenkripsi sepenuhnya sebelum dapat dikirim melalui web.

Keamanan Kartu Kredit Tersimpan:

Idealnya, gateway pembayaran WooCommerce asli tidak dirancang untuk menyimpan data kartu kredit pelanggan. Bahkan jika gateway pembayaran memungkinkan menyimpan kartu untuk pembayaran di masa mendatang, hanya 4 digit terakhir yang akan disimpan. Fitur WooCommerce ini memastikan peningkatan keamanan detail kartu kredit Anda.

Direkomendasikan untuk Anda: Hosting WooCommerce Terkelola oleh Nexcess – Tempat yang Bagus untuk Menghidupkan Toko Anda!

Apa sebenarnya Kepatuhan PCI itu?

Apa-itu-PCI-Kepatuhan-woocommerce

Sumber: I-Verve.com

Untuk semua jenis bisnis eCommerce, mempertahankan standar keamanan yang tinggi itu penting. Ini adalah kriteria penting yang menentukan kepercayaan dan profesionalisme perusahaan Anda. Untuk memastikan peningkatan perlindungan data pelanggan dan privasi tingkat tinggi, ada beberapa peraturan dan standar yang dapat Anda terapkan untuk memastikan keselamatan dan keamanan.

Yang paling menonjol di antaranya adalah PCI-DSS atau Standar Keamanan Data Industri Kartu Pembayaran. Itu juga diakui sebagai standar PCI.

Industri eCommerce terus-menerus ditantang oleh serangan dunia maya yang canggih, yang menimbulkan ancaman serius terhadap keamanan dan privasi data. Karenanya, memastikan keamanan gateway pembayaran itu penting. Ini membantu membangun kepercayaan di benak pelanggan, mendorong lebih banyak penjualan dan penjualan berulang.

Tapi bagaimana Anda bisa menunjukkan bahwa situs web eCommerce Anda memiliki sistem pembayaran yang aman? Ini dapat dilakukan dengan membuat pemirsa dan pemirsa Anda sadar bahwa situs web Anda sesuai dengan PCI.

PCI adalah standar yang diterima secara global yang dikelola oleh Dewan Standar Keamanan Industri Kartu Pembayaran, yang didirikan oleh JCB International, Visa Inc., MasterCard, Discover Financial Services, dan American Express. Tujuannya adalah untuk meningkatkan keamanan dan meminimalisir penipuan terkait transaksi kartu kredit online.

Jika situs web eCommerce Anda menerima pembayaran melalui kartu kredit, itu harus sesuai dengan PCI. Kegagalan untuk mematuhi standar PCI dapat menyebabkan hukuman keuangan yang berat bagi bisnis Anda dan juga dapat merusak reputasi Anda.

Manfaat utama memiliki situs web yang sesuai dengan PCI:

acungan jempol-pro-seperti-positif-plus-tinggi-baik
  • Dengan kepatuhan PCI-DSS, jarang terjadi data kartu kredit dicuri saat seseorang membeli dari toko online Anda. Fitur seperti persetujuan ganda, autentikasi dua faktor, dan HTTPS mencegah peretas mencuri data sensitif dari situs web eCommerce Anda.
  • Ini menunjukkan bahwa toko online Anda memiliki sistem pembayaran yang aman, yang membantu menanamkan rasa percaya di antara pelanggan untuk menyelesaikan proses checkout dengan aman.
  • Ini memungkinkan pedagang eCommerce untuk mengurangi tolak bayar yang dapat mengakibatkan kerugian signifikan bagi bisnis Anda. Karena serangan dunia maya semakin canggih, peretas mencuri informasi kartu kredit pelanggan dan menggunakannya untuk membeli produk secara online. Saat pelanggan mengidentifikasi tagihan tak terduga ini, mereka segera menangguhkan pembayaran. Akibatnya, Anda tidak akan punya apa-apa – tidak ada produk kembali, tidak ada uang.
  • Dengan kepatuhan PCI, Anda dapat mengambil langkah untuk mencegah kebocoran dan peretasan data. Ini dapat membantu menghindari tuntutan hukum, yang dapat menghabiskan banyak uang, waktu, dan reputasi bisnis eCommerce Anda.

Apa persyaratan untuk Kepatuhan PCI-DSS?

daftar periksa-tugas-catatan-jadwal

Ada 12 persyaratan inti PCI-DSS, dikategorikan dalam bidang-bidang berikut”

Sasaran Persyaratan PCI-DSS
Membangun & Memelihara Jaringan Aman 1. Pasang dan gunakan konfigurasi firewall tangguh yang membantu melindungi informasi pemegang kartu.
2. Jangan pernah menggunakan default yang disediakan vendor untuk parameter keamanan dan kata sandi sistem.
Menjaga Data Pemegang Kartu 3. Lindungi semua data kartu kredit yang tersimpan.
4. Pastikan enkripsi data pemegang kartu di seluruh jaringan publik dan terbuka.
Buat Program Manajemen Kerentanan 5. Gunakan perangkat lunak anti-virus yang kuat dan perbarui secara teratur.
6. Kembangkan aplikasi dan sistem yang aman.
Terapkan Tindakan Kontrol Akses Full-Proof 7. Izinkan akses ke data sensitif pemegang kartu hanya jika perlu diketahui.
8. Batasi akses fisik ke semua data pemegang kartu yang tersimpan.
9. Tetapkan ID unik untuk setiap pengguna yang memiliki akses komputer.
Uji dan Pantau Jaringan Secara Rutin 10. Secara efisien memantau dan melacak akses ke semua data pemegang kartu dan sumber daya jaringan.
11. Menguji proses dan sistem keamanan secara teratur.
Menetapkan Kebijakan Keamanan Data 12. Buat kebijakan definitif yang membantu menangani keamanan data.

Idealnya, pelaporan kepatuhan PCI ditegakkan oleh pemroses pembayaran. Untuk ini, Anda mungkin diminta untuk mengisi kuesioner khusus seperti Self-Assessment Questionnaire (SAQ). Sistem pembayaran Anda juga dipindai oleh Approved Scanning Vendor (ASV) oleh otoritas.

Anda mungkin menyukai: 10 Ekstensi / Plugin WooCommerce Gratis untuk Meningkatkan Harga Toko eCommerce WordPress Anda.

Apakah WooCommerce aman?

kepatuhan woocommerce-pci

WooCommerce dengan jelas menyatakan bahwa semua dua belas persyaratan kepatuhan PCI berada di luar cakupannya. Artinya, persyaratan lain berada di bawah tanggung jawab lingkungan server penyedia hosting Anda.

Biasanya, penyedia hosting mana pun dapat dibuat patuh, beberapa server pada awalnya lebih patuh daripada yang lain. Seperti penyedia VPS yang dikelola dengan panel kontrol cenderung secara default sesuai dengan banyak persyaratan PCI karena telah dikonfigurasi sebelumnya dalam pengaturannya, yang menghilangkan banyak pekerjaan dari pemilik situs web.

Jadi, jika serius menjalankan bisnis online Anda, dan keamanan adalah yang paling penting, maka Anda harus selalu memilih VPS daripada shared hosting.

Namun, jika Anda hanya mengandalkan plugin, Anda mungkin memiliki beberapa kriteria lain yang disertakan dengan plugin, tetapi ini tidak cukup untuk menyatakan bahwa metode pembayaran Anda sesuai dengan PCI-DSS.

Berikut adalah tiga persyaratan kepatuhan PCI utama yang dipenuhi WooCommerce untuk memastikan keamanan komprehensif:

Melindungi Informasi Kartu Kredit Tersimpan

WooCommerce mungkin tidak memberikan perlindungan lengkap untuk semua informasi kartu kredit yang disimpan, tetapi WooCommerce dibuat untuk TIDAK menyimpan data tersebut sejak awal. Itu berarti WooCommerce akan menyimpan informasi kartu kredit apa pun yang digunakan pelanggan untuk melakukan pembayaran di situs web Anda.

Jika pelanggan memilih untuk menetapkan metode pembayaran sebagai opsi pilihan untuk penggunaan di masa mendatang, WooCommerce hanya akan menyimpan empat digit terakhir dari nomor kartu. Ini mencegah penjahat dunia maya mendapatkan akses ke detail kartu. Namun, fitur keamanan ini hanya tersedia dengan aplikasi WooCommerce asli. Jika Anda menggunakan plugin pihak ke -3, plugin tersebut dapat menyimpan detail lengkap kartu.

Keamanan yang Ditingkatkan dengan SSL

Menurut standar PCI, Anda harus memiliki sertifikat SSL yang valid jika Anda menerima pembayaran pelanggan di situs web Anda. Memiliki sertifikat SSL memastikan bahwa data apa pun yang diberikan pelanggan Anda di situs web Anda dienkripsi sepenuhnya sebelum dikirim. Ini membantu mengurangi penipuan dan peretasan kartu kredit, membuat toko online Anda lebih aman. Selain itu, sertifikat SSL juga memberikan peningkatan SEO pada situs web Anda.

WooCommerce memungkinkan Anda menetapkan kriteria persyaratan SSL di semua halaman pembayaran. Dengan demikian, WooCommerce membantu kepatuhan terhadap standar PCI dengan memastikan peningkatan keamanan melalui SSL. Tetapi penting untuk memvalidasi dengan penyedia hosting situs web Anda jika mereka dapat menawarkan sertifikat SSL.

Sertifikat HTTP-ke-HTTPS-SSL

Sistem Masuk WordPress

Sistem login WordPress adalah cara lain yang digunakan WooCommerce untuk mendukung kepatuhan PCI. Ini memungkinkan pengaturan berbagai tingkat akses pengguna ke informasi sensitif kartu kredit. Itu berarti Anda dapat membuat peran pengguna yang berbeda dan mengatur akses masuk unik untuk memastikan keamanan yang lebih baik.

Misalnya, penulis postingan blog di situs web Anda hanya dapat membuat dan mengedit postingan, tetapi tidak memiliki wewenang untuk mengakses atau melihat data pelanggan WooCommerce. Jadi, ini seperti menyiapkan akses “yang perlu diketahui saja” yang dapat membantu Anda tetap mematuhi persyaratan PCI.

Beginilah cara WooCommerce memberikan keamanan yang cukup besar dengan mengintegrasikan persyaratan kepatuhan PCI di atas.

Apakah WooCommerce Menyimpan Informasi Kartu Kredit?

kartu kredit-pembayaran-ecommerce-belanja

Plugin inti WooCommerce tidak menyimpan informasi kartu kredit meskipun pelanggan menyimpan metode pembayaran untuk digunakan di masa mendatang, hanya 4 digit terakhir dari kartu kredit yang akan disimpan.

Jadi, jika pertanyaan Anda adalah – apakah toko eCommerce saya harus sesuai dengan PCI, maka jawabannya adalah TIDAK. Ini hanya ketika toko WooCommerce Anda bekerja pada plugin inti dan tidak menyimpan, mengirimkan, atau memproses data pemegang kartu. Dalam kasus seperti itu, pembayaran dilakukan di luar lokasi – dengan menggunakan gateway yang biasanya menggunakan servernya untuk menerima pembayaran.

Namun, jika Anda menggunakan plugin pihak ketiga yang dapat menyimpan informasi pemegang kartu atau Anda mengumpulkan, mengirimkan, dan memproses data kartu kredit sebagaimana dinyatakan dalam standar PCI, maka situs web Anda harus sesuai dengan PCI-DSS.

Anda mungkin juga menyukai: Magento vs Shopify vs WooCommerce: Pertarungan E-Commerce.

Kesimpulan & FAQ

woocommerce-pci-compliance-questions-answers-faq-query-help

Singkatnya, WooCommerce tidak sepenuhnya sesuai dengan standar PCI. Namun, ini memberikan tingkat perlindungan tertentu terhadap hilangnya data atau meretas informasi sensitif pemegang kartu sesuai persyaratan kepatuhan PCI. Selain itu, ini juga memberikan fleksibilitas untuk membuat kepatuhan PCI toko WooCommerce Anda dengan mengambil langkah-langkah pasti yang telah dibahas di bagian FAQ artikel ini.

T. Apakah WordPress sesuai dengan PCI?

TIDAK; WordPress tidak sepenuhnya sesuai dengan PCI dan hanya memenuhi persyaratan sebagaimana dinyatakan dalam pedoman Dewan Standar Keamanan Industri Kartu Pembayaran. Namun, platform ini dapat diperbarui dengan mulus untuk mengintegrasikan fitur-fitur lain yang sesuai dengan PCI dan membuat sistem pembayaran situs web Anda sepenuhnya tahan terhadap peretasan dan kehilangan data.

T. Apakah Shopify mematuhi PCI?

Shopify adalah platform eCommerce terkemuka lainnya yang memungkinkan bisnis pedagang menawarkan pengalaman berbelanja yang aman kepada pelanggan dengan mengikuti praktik terbaik industri dalam hal sistem keamanan. Ini adalah platform kepatuhan PCI-DSS Level 1 bersertifikat yang memenuhi keenam persyaratan kepatuhan PCI:

  • Amankan data pemegang kartu.
  • Pertahankan jaringan yang aman.
  • Secara teratur menguji dan memantau jaringan.
  • Menetapkan program manajemen kerentanan.
  • Menjaga kebijakan keamanan data yang komprehensif.
  • Siapkan langkah-langkah kontrol akses yang kuat.

Jadi, tidak seperti WooCommerce, Shopify memenangkan permainan saat mematuhi standar PCI-DSS.

T. Bagaimana cara membuat WordPress sesuai dengan PCI?

Untuk membuat situs web WordPress Anda sesuai dengan PCI, pertama-tama penting untuk memilih prosesor pembayaran yang mematuhi standar PCI. Pilih prosesor yang menyediakan gateway pembayaran yang aman. Hanya dengan begitu Anda dapat melanjutkan ke langkah-langkah berikut untuk membuat WordPress sesuai dengan PCI:

  • Tetapkan level pedagang Anda: Aturan untuk kepatuhan PCI akan bervariasi bergantung pada volume transaksi bisnis Anda. Oleh karena itu, Anda harus terlebih dahulu menentukan level merchant Anda. Misalnya, jika Anda adalah bisnis kecil, Anda mungkin memenuhi syarat untuk Level 4, yang memiliki proses kepatuhan paling sederhana.
  • Ambil kuesioner penilaian diri: Lengkapi kuesioner penilaian diri (SAQ) yang akan membantu memahami paparan risiko Anda saat ini.
  • Mengintegrasikan vendor pemindaian yang disetujui: ASV dapat menggunakan alat otomatis untuk mengidentifikasi potensi kerentanan dalam perangkat keras dan perangkat lunak yang mengumpulkan dan memproses data pembayaran.
  • Dapatkan sertifikat SSL: Sertifikat SSL memberi pelanggan Anda ketenangan pikiran bahwa mereka memiliki koneksi terenkripsi dan langsung dengan situs web Anda. "HTTPS" domain situs web Anda adalah kredensial keamanan tambahan yang memenuhi standar PCI.
  • Gunakan alat dan plugin yang tepat: Menggunakan plugin dan alat yang tepat untuk toko WordPress atau WooCommerce Anda dapat memberikan lapisan keamanan tambahan ke toko eCommerce Anda. Misalnya, WordPress memiliki kontrol admin yang memungkinkan Anda membatasi akses ke informasi pemegang kartu, memastikan peningkatan perlindungan data dan privasi.
  • Lebih banyak langkah untuk verifikasi pembayaran: Saat melakukan pembayaran, sebagian besar gateway pembayaran memerlukan nama pemegang kartu, nomor kartu kredit, dan tanggal kedaluwarsa kartu. Data ini dapat dengan mudah diretas oleh penjahat dunia maya, yang menyebabkan kerugian tahunan miliaran dolar. Menyertakan detail verifikasi tambahan seperti CVV, alamat penagihan, pertanyaan keamanan, atau OTP dapat memastikan keamanan yang lebih baik.
  • Tetap perbarui dengan kebijakan keamanan terbaru: Selain langkah-langkah di atas, penting juga untuk tetap mengikuti kebijakan dan tren keamanan terbaru. Ini akan mendorong Anda selangkah lebih maju untuk mendapatkan kepatuhan PCI. Perlindungan antivirus terbaru, pembaruan perangkat lunak reguler, pemindaian malware, dan tambalan keamanan adalah suatu keharusan untuk memastikan peningkatan keamanan situs web. Selain itu, orang-orang Anda juga harus dilatih untuk menggunakan data pembayaran secara aman dan efisien.