Conformidade PCI WooCommerce: tudo o que você precisa saber!

Publicados: 2022-01-25

WooCommerce é uma plataforma de comércio eletrônico de código aberto para WordPress usada para criar vitrines virtuais bonitas e personalizáveis. Mas quão seguros são seus métodos de pagamento? A plataforma segue os padrões de conformidade com o PCI?

A menos que seu site de comércio eletrônico esteja em conformidade com os padrões PCI-DSS, ele tende a comprometer a segurança e a privacidade dos dados do cliente. E isso pode afetar a reputação do seu negócio online.

Aqui está tudo o que você deve saber para garantir que os dados de seus clientes estejam protegidos e seguros em sua loja WooCommerce.

Índice mostra
  • WooCommerce é compatível com PCI?
  • O que exatamente é conformidade com PCI?
  • Principais benefícios de ter um site compatível com PCI:
  • Quais são os requisitos para conformidade com PCI-DSS?
  • O WooCommerce é seguro?
    • Protegendo informações de cartão de crédito armazenadas
    • Segurança aprimorada com SSL
    • Sistema de login do WordPress
  • O WooCommerce salva as informações do cartão de crédito?
  • Conclusão e perguntas frequentes

WooCommerce é compatível com PCI?

woocommerce-pci-conformidade

O plug-in principal do WooCommerce não é compatível com PCI-DSS. No entanto, ele pode ser facilmente configurado para ser totalmente compatível. Em última análise, a responsabilidade de tornar o site compatível com o PCI é do proprietário da loja. E, portanto, eles devem tomar todas as medidas para garantir que seu site de comércio eletrônico seja seguro e protegido.

Idealmente, vários aspectos dos requisitos de conformidade PCI-DSS estão além do escopo do WooCommerce ou WordPress. Em vez disso, eles se enquadram no escopo do provedor de hospedagem ou nas práticas comerciais que seu site segue. O plug-in WooCommerce foi projetado pensando na segurança e existem várias maneiras de garantir segurança total.

Aqui estão os principais recursos do WooCommerce que podem ajudar seu site de comércio eletrônico a se tornar compatível com PCI inicialmente:

Acesso limitado:

O WooCommerce usa login seguro do WordPress que permite aos usuários atribuir níveis e funções de privacidade individuais a diferentes usuários. O acesso limitado às informações de pagamento dos clientes garante maior segurança.

Segurança SSL:

Os usuários podem configurar o WooCommerce para aplicar os requisitos de SSL durante o processo de checkout. Ter a certificação SSL garante que os dados do cliente permaneçam totalmente criptografados antes de serem transmitidos pela web.

Segurança do cartão de crédito armazenado:

Idealmente, os gateways de pagamento WooCommerce nativos não são projetados para salvar os dados do cartão de crédito dos clientes. Mesmo que um gateway de pagamento permita salvar o cartão para pagamentos futuros, apenas os últimos 4 dígitos serão armazenados. Esse recurso do WooCommerce garante maior segurança dos detalhes do seu cartão de crédito.

Recomendado para você: Hospedagem gerenciada de WooCommerce da Nexcess – um ótimo lugar para viver sua loja!

O que exatamente é conformidade com PCI?

O que é PCI-Compliance-woocommerce

Fonte: I-Verve.com

Para qualquer tipo de negócio de comércio eletrônico, é importante manter altos padrões de segurança. É um critério crucial para determinar a confiabilidade e o profissionalismo de sua empresa. Para garantir proteção aprimorada dos dados do cliente e altos níveis de privacidade, existem vários regulamentos e padrões que você pode implementar para garantir a segurança.

O mais proeminente entre eles é o PCI-DSS ou o padrão de segurança de dados do setor de cartões de pagamento. Também é reconhecido como o padrão PCI.

A indústria de comércio eletrônico é constantemente desafiada por ataques cibernéticos sofisticados, representando uma séria ameaça à segurança e privacidade dos dados. Portanto, garantir a segurança do gateway de pagamento é importante. Isso ajuda a criar confiança nas mentes dos clientes, gerando mais vendas e vendas repetidas.

Mas como você pode demonstrar que seu site de comércio eletrônico possui um sistema de pagamento seguro? Isso pode ser feito informando seus espectadores e público de que seu site é compatível com PCI.

PCI é um padrão globalmente aceito que é gerenciado pelo Payment Card Industry Security Standards Council, estabelecido pela JCB International, Visa Inc., MasterCard, Discover Financial Services e American Express. O objetivo é melhorar a segurança e minimizar fraudes relacionadas a transações com cartão de crédito online.

Se o seu site de comércio eletrônico aceita pagamento por cartão de crédito, ele deve ser compatível com PCI. O não cumprimento dos padrões PCI pode causar penalidades financeiras severas ao seu negócio e também pode prejudicar sua reputação.

Principais benefícios de ter um site compatível com PCI:

polegar para cima-pro-como-positivo-mais-alto-bom
  • Com a conformidade com o PCI-DSS, existem raras possibilidades de que os dados do cartão de crédito sejam roubados quando alguém compra em sua loja online. Recursos como aceitação dupla, autenticação de dois fatores e HTTPS impedem que hackers roubem dados confidenciais do seu site de comércio eletrônico.
  • Isso indica que sua loja online possui um sistema de pagamento seguro, o que ajuda a incutir um sentimento de confiança entre os clientes para concluir o processo de checkout com segurança.
  • Ele permite que os comerciantes de comércio eletrônico reduzam os estornos que podem resultar em perdas significativas para o seu negócio. Como os ataques cibernéticos são mais avançados, os hackers roubam as informações do cartão de crédito do cliente e as usam para comprar produtos online. Ao identificar essa cobrança inesperada, o cliente suspende imediatamente o pagamento. Como resultado, você ficará sem nada – sem produto de volta, sem dinheiro.
  • Com a conformidade com o PCI, você pode dar um passo para impedir o vazamento de dados e a invasão de hackers. Isso pode ajudar a evitar processos judiciais, que podem custar dinheiro, tempo e reputação significativos ao seu negócio de comércio eletrônico.

Quais são os requisitos para conformidade com PCI-DSS?

lista de verificação-tarefas-notas-agenda

Existem 12 requisitos principais do PCI-DSS, categorizados nas seguintes áreas”

Metas Requisito PCI-DSS
Construa e mantenha uma rede segura 1. Instale e use uma configuração de firewall robusta que ajude a proteger as informações do titular do cartão.
2. Nunca use padrões fornecidos pelo fornecedor para parâmetros de segurança e senhas do sistema.
Proteger os dados do titular do cartão 3. Proteja todos os dados de cartão de crédito armazenados.
4. Garanta a criptografia dos dados do titular do cartão em redes abertas e públicas.
Crie um programa de gerenciamento de vulnerabilidades 5. Use um software antivírus poderoso e atualize-o regularmente.
6. Desenvolva aplicativos e sistemas seguros.
Implementar medidas de controle de acesso totalmente à prova 7. Permita o acesso a dados confidenciais do titular do cartão apenas quando necessário.
8. Limite o acesso físico a todos os dados armazenados do titular do cartão.
9. Defina um ID exclusivo para cada usuário com acesso ao computador.
Teste e monitore as redes regularmente 10. Monitore e rastreie com eficiência o acesso a todos os dados do titular do cartão e recursos de rede.
11. Teste regularmente os processos e sistemas de segurança.
Estabeleça uma Política de Segurança de Dados 12. Crie uma política definitiva que ajude a abordar a segurança dos dados.

Idealmente, o relatório de conformidade com o PCI é aplicado pelo processador de pagamento. Para isso, pode ser necessário preencher questionários específicos, como o Questionário de Autoavaliação (SAQ). Seu sistema de pagamento também é verificado por um Fornecedor de Digitalização Aprovado (ASV) pelas autoridades.

Você pode gostar de: 10 Extensões/Plugins WooCommerce Gratuitos para Incrementar sua Loja de Comércio Eletrônico WordPress.

O WooCommerce é seguro?

woocommerce-pci-conformidade

O WooCommerce afirma claramente que todos os doze requisitos de conformidade com o PCI estão além de seu escopo. O que significa que os outros requisitos são de responsabilidade do ambiente de servidor do seu provedor de hospedagem.

Normalmente, qualquer provedor de hospedagem pode ser compatível, alguns servidores são inicialmente mais compatíveis do que outros. Como provedores VPS gerenciados com painéis de controle tendem a ser compatíveis por padrão com muitos requisitos PCI, pois são pré-configurados em suas configurações, o que tira muito trabalho dos proprietários do site.

Portanto, se você leva a sério o gerenciamento de seus negócios on-line e a segurança é da maior importância, sempre deve optar por um VPS em vez de hospedagem compartilhada.

No entanto, se você contar apenas com o plug-in, talvez alguns outros critérios integrados ao plug-in, mas eles não sejam suficientes para afirmar que seu método de pagamento é compatível com PCI-DSS.

Aqui estão os três principais requisitos de conformidade com PCI que o WooCommerce atende para garantir segurança abrangente:

Protegendo informações de cartão de crédito armazenadas

O WooCommerce pode não fornecer proteção completa de todas as informações de cartão de crédito armazenadas, mas é construído para NÃO armazenar esses dados em primeiro lugar. Isso significa que o WooCommerce armazenará todas as informações de cartão de crédito que um cliente usar para efetuar o pagamento em seu site.

Caso o cliente opte por definir o método de pagamento como opção preferencial para uso futuro, o WooCommerce armazenará apenas os quatro últimos dígitos do número do cartão. Isso impede que os cibercriminosos tenham acesso aos detalhes do cartão. No entanto, esse recurso de segurança está disponível apenas com os aplicativos WooCommerce nativos. Se você usar plug-ins de terceiros , eles podem armazenar detalhes completos do cartão.

Segurança aprimorada com SSL

De acordo com os padrões PCI, você deve ter um certificado SSL válido se aceitar pagamentos de clientes em seu site. Ter um certificado SSL garante que todos os dados que seus clientes forneçam em seu site sejam totalmente criptografados antes de serem transmitidos. Isso ajuda a mitigar fraudes e hackers de cartão de crédito, tornando sua loja online mais segura. Além disso, um certificado SSL também dá ao seu site um impulso de SEO.

O WooCommerce permite que você defina os critérios de exigência de SSL em todas as páginas de checkout. Assim, o WooCommerce ajuda na adesão aos padrões PCI, garantindo maior segurança por meio do SSL. Mas é importante validar com o provedor de hospedagem do seu site se eles podem oferecer o certificado SSL.

Certificado HTTP-para-HTTPS-SSL

Sistema de login do WordPress

O sistema de login do WordPress é outra maneira que o WooCommerce usa para oferecer suporte à conformidade com o PCI. Ele permite definir diferentes níveis de acesso do usuário a informações confidenciais de cartão de crédito. Isso significa que você pode criar diferentes funções de usuário e definir acesso de login exclusivo para garantir maior segurança.

Por exemplo, um escritor de postagem de blog em seu site só pode criar e editar postagens, mas não tem autoridade para acessar ou visualizar os dados do cliente WooCommerce. Portanto, é como configurar um acesso “necessário apenas saber” que pode ajudá-lo a manter a conformidade com os requisitos do PCI.

É assim que o WooCommerce fornece uma quantidade considerável de segurança, integrando os requisitos de conformidade PCI acima.

O WooCommerce salva as informações do cartão de crédito?

cartão de crédito-pagamento-ecommerce-compras

O plug-in principal do WooCommerce não armazena informações de cartão de crédito, mesmo que um cliente salve o método de pagamento para uso futuro, apenas os últimos 4 dígitos do cartão de crédito serão armazenados.

Portanto, se sua pergunta for - minha loja de comércio eletrônico precisa ser compatível com PCI, a resposta será NÃO. Isso ocorre apenas quando sua loja WooCommerce funciona no plug-in principal e não armazena, transmite ou processa os dados do titular do cartão. Nesses casos, os pagamentos são feitos fora do local – usando um gateway que normalmente usa seus servidores para receber pagamentos.

No entanto, se você estiver usando plug-ins de terceiros que podem armazenar informações do titular do cartão ou coletar, transmitir e processar dados de cartão de crédito conforme declarado nos padrões PCI, seu site deve ser compatível com PCI-DSS.

Você também pode gostar: Magento vs Shopify vs WooCommerce: a batalha do comércio eletrônico.

Conclusão e perguntas frequentes

woocommerce-pci-conformidade-perguntas-respostas-faq-consulta-ajuda

Resumindo, o WooCommerce não é totalmente compatível com os padrões PCI. No entanto, ele fornece um certo nível de proteção contra perda de dados ou invasão de informações confidenciais do titular do cartão de acordo com os requisitos de conformidade com o PCI. Além disso, ele também fornece a flexibilidade para tornar sua loja WooCommerce compatível com PCI, tomando medidas definitivas que foram discutidas na seção de perguntas frequentes deste artigo.

P. O WordPress é compatível com PCI?

Não; O WordPress não é totalmente compatível com PCI e atende apenas aos requisitos estabelecidos nas diretrizes do Payment Card Industry Security Standards Council. No entanto, a plataforma pode ser atualizada perfeitamente para integrar outros recursos compatíveis com PCI e tornar o sistema de pagamento do seu site totalmente à prova de hackers e perda de dados.

P. A Shopify é compatível com PCI?

Shopify é outra plataforma líder de comércio eletrônico que permite que os comerciantes ofereçam uma experiência de compra segura aos clientes, aderindo às melhores práticas do setor em termos de sistemas de segurança. É uma plataforma compatível com PCI-DSS nível 1 certificada que atende a todos os seis requisitos de conformidade com PCI:

  • Proteja os dados do titular do cartão.
  • Mantenha uma rede segura.
  • Teste e monitore regularmente as redes.
  • Estabeleça um programa de gerenciamento de vulnerabilidades.
  • Mantenha uma política abrangente de segurança de dados.
  • Configure fortes medidas de controle de acesso.

Portanto, ao contrário do WooCommerce, Shopify ganha o jogo quando se trata de cumprir os padrões PCI-DSS.

P. Como faço para tornar o WordPress compatível com PCI?

Para tornar seu site WordPress compatível com PCI, primeiro é importante escolher um processador de pagamento que cumpra os padrões PCI. Selecione um processador que forneça um gateway de pagamento seguro. Só então você pode passar para as seguintes etapas para tornar o WordPress compatível com PCI:

  • Defina seu nível de comerciante: as regras de conformidade com o PCI variam de acordo com o volume transacional do seu negócio. Portanto, você deve primeiro determinar seu nível de comerciante. Por exemplo, se você for uma pequena empresa, poderá se qualificar para o Nível 4, que possui o processo de conformidade mais simples.
  • Faça o questionário de autoavaliação: Preencha o questionário de autoavaliação (SAQ) que ajudará a entender sua exposição atual a riscos.
  • Integre um fornecedor de verificação aprovado: o ASV pode usar ferramentas automatizadas para identificar possíveis vulnerabilidades no hardware e no software que coleta e processa dados de pagamento.
  • Obtenha um certificado SSL: um certificado SSL oferece aos seus clientes a tranquilidade de saber que eles têm uma conexão criptografada e direta com seu site. O “HTTPS” do domínio do seu site é uma credencial de segurança adicional que atende aos padrões PCI.
  • Use as ferramentas e plug-ins certos: usar os plug-ins e ferramentas certos para sua loja WordPress ou WooCommerce pode fornecer uma camada adicional de segurança à sua loja de comércio eletrônico. Por exemplo, o WordPress possui controles administrativos que permitem limitar o acesso às informações do titular do cartão, garantindo maior proteção e privacidade dos dados.
  • Mais etapas para a verificação do pagamento: Ao fazer o pagamento, a maioria dos gateways de pagamento exige o nome do titular do cartão, o número do cartão de crédito e a data de validade do cartão. Esses dados podem ser facilmente hackeados por cibercriminosos, levando a bilhões de dólares em perdas anuais. A inclusão de detalhes de verificação adicionais, como CVV, endereço de cobrança, perguntas de segurança ou OTP, pode garantir maior segurança.
  • Mantenha-se atualizado com as políticas de segurança mais recentes: além das etapas acima, também é crucial manter-se informado sobre as políticas e tendências de segurança mais recentes. Isso o levará a um passo à frente em direção à conformidade com o PCI. A mais recente proteção antivírus, atualizações regulares de software, varredura de malware e patches de segurança são essenciais para garantir a segurança aprimorada do site. Além disso, seu pessoal também deve ser treinado para usar os dados de pagamento com segurança e eficiência.