Ce este conformitatea Magento PCI și de ce are nevoie magazinul tău Magento?
Publicat: 2022-06-01Comerțul electronic s-a dezvoltat din ce în ce mai rapid în ultima perioadă. Prin urmare, multe companii își deschid magazinul online pe diferite platforme, cum ar fi Woocommerce, Shopify, ... în special Magento, datorită caracteristicilor geniale. Cu toate acestea, alături de beneficiile uriașe, securitatea este, de asemenea, principala preocupare atât a clienților, cât și a proprietarilor. Cumpărătorii nu doresc ca informațiile lor personale să fie dezvăluite terților, ceea ce le poate dăuna, iar companiile doresc să rămână o imagine profesională pentru a câștiga încrederea clienților. Prin urmare, în acest articol vă vom prezenta o soluție excepțională pentru a vă ajuta să rezolvați problema grea: conformitatea Magento PCI.
Pentru început, ar trebui să fiți familiarizat cu conformitatea PCI
Deci, ce este conformitatea PCI?
PCI este abrevierea pentru Payment Card Industry. Conformitatea PCI este o colecție de standarde și legi de bază cu scopul de a îmbunătăți securitatea datelor de plată în întreaga lume. Printre acestea se numără politicile, managementul securității, arhitectura rețelei, proiectarea software-ului și alte restricții. PCI DSS stabilește cele mai bune practici pentru afacerile de comerț electronic pentru a oferi un mediu sigur pentru datele sensibile. O altă cunoștință este că PCI Security Standards Council dezvoltă și distribuie toate standardele de conformitate PCI. Consiliul pentru Standarde de Securitate PCI a fost înființat în 2006 pentru a dezvolta aceste reglementări și pentru a supraveghea conformitatea PCI în industria comerțului electronic. Visa, Mastercard, JCB International, Discover Financial Services și American Express sunt printre cele mai mari rețele globale de carduri de plată reprezentate în consiliu.
Conformitatea PCI este obligatorie pentru orice afacere care operează un magazin online. Companiile care aderă și obțin conformitatea cu PCI DSS (Standardele de securitate a datelor din industria cardurilor de plată) sunt denumite conform PCI.
Există diferite niveluri de conformitate PCI DSS pe care ar trebui să le cunoașteți
Conformitatea PCI are patru etape diferite, fiecare dintre ele se referă la o evaluare anuală efectuată de un evaluator de securitate calificat și la o scanare trimestrială de către un furnizor de scanare aprobat de diferite dimensiuni.
Nivelul de conformitate PCI DSS 1
Acesta este nivelul inițial de conformitate PCI pentru comerțul electronic și este utilizat pentru organizațiile care procesează milioane de tranzacții. Următoarele tipuri de întreprinderi sunt supuse acestor reguli:
- Companiile de comerț electronic care gestionează peste 6 milioane de tranzacții Visa sau Mastercard în fiecare an, constau atât din tranzacții online, cât și din offline (dacă o companie are o prezență offline)
- În fiecare an, facilitatorii de plăți execută aproximativ 300.000 de tranzacții.
- Toate magazinele online pe care Visa le consideră a fi Nivelul 1
- În fiecare an, un auditor autorizat PCI efectuează un audit pentru a verifica conformitatea acestora. În fiecare trimestru, organizațiile de nivel 1 trebuie să aibă o scanare PCI efectuată de un furnizor de scanare aprobat sau ASV.
Conformitate PCI DSS Nivelul 2
Această formă de reglementare este de obicei potrivită pentru întreprinderile mari cu un volum de tranzacții mai mic de 6 milioane:
- 1-6 milioane de tranzacții Visa sunt efectuate anual de către comercianți, având plăți atât online, cât și fizice.
- Cu peste 300.000 de tranzacții anuale, facilitatorii de plăți sunt la mare căutare.
- În fiecare an, aceste companii trebuie să completeze un chestionar de autoevaluare sau SAQ, precum și o scanare PCI în fiecare trimestru.
Nivelul 3 de conformitate PCI DSS
Acest nivel de conformitate PCI pentru comerțul electronic este pentru comercianții care efectuează între 20.000 și 1 milion de tranzacții Visa eCommerce pe an.
Aceste firme, ca și nivelul 2, trebuie să finalizeze un SAQ anual, dar au doar obligația de a executa scanări trimestriale în anumite condiții.
Nivelul de conformitate PCI DSS 4
Nivelul 4 se referă la întreprinderile de comerț electronic mai mici, cu mai puține tranzacții:
- Vânzătorii care efectuează mai puțin de 20.000 de tranzacții Visa pe an nu sunt eligibili.
- Comercianți care execută un milion sau mai multe tranzacții Visa pe an (online și offline)
Deși este necesar un SAW anual, scanarea trimestrială PCI este efectuată „după nevoie”.
Prezentarea generală a principalelor niveluri de conformitate PCI DSS furnizate mai sus vă va ajuta să determinați ce nivel de conformitate ar trebui să atingă compania dvs.
Conformitate Magento PCI
Magento Commerce Edition
Magento 2 Commerce (Cloud) Edition, în special cea mai recentă versiune Magento 2.4.4 este certificat PCI ca furnizor de soluții de nivel 1, continuând moștenirea predecesorului său. Conformitatea PCI este din ce în ce mai accesibilă pentru întreprinderi. Aceștia se pot baza pe Atestarea de conformitate PCI de la Magento pentru a-i ajuta să demonstreze că au îndeplinit criteriile.
Deoarece majoritatea oamenilor care folosesc Commerce Edition sunt companii mijlocii și mari care gestionează peste 6 milioane de tranzacții pe an, acest lucru este esențial.
În plus, magazinele Magento sunt legate de gateway-uri de plată, care trimit date direct către gateway-ul de plată, mai degrabă decât să le stocheze pe serverul Magento. Atât edițiile Magento Open Source, cât și edițiile Commerce au această capacitate.
Magento Open Source Edition
Ediția Open Source nu conține ca caracteristică conformitatea PCI. Cu toate acestea, există câteva opțiuni pentru a face site-ul dvs. Magento compatibil PCI:
1. Efectuați o plată printr-un serviciu terță parte (de exemplu, PayPal express)
Acesta este modul în care am afirmat în secțiunea ediție Commerce.
Nu va trebui să fiți compatibil PCI dacă alegeți această opțiune, deoarece informațiile despre cardul de credit nu vor fi stocate pe serverul dvs. Utilizarea unui gateway de plată terță parte în trecut ar fi putut cauza întreruperea procesului de plată al clientului dvs. Cu toate acestea, aceasta nu mai este o problemă.
Cu un gateway de plată terță parte, de exemplu integrarea Magento Stripe, comercianții pot oferi acum o experiență de plată fără probleme. Puteți face modificări în aplicația de bază Magento eCommerce fără a fi nevoie să treceți printr-o reevaluare pentru a fi compatibil cu PCI, dacă datele sensibile nu sunt stocate pe serverul Magento.
2. Utilizați o aplicație de plată SaaS compatibilă cu PCI.
Puteți utiliza CRE Secure, care este compatibil PCI, ca exemplu. Clientul este direcționat către un alt site web (URL-ul se modifică), dar formularul poate fi ajustat pentru a se potrivi cu designul magazinului dvs.
Și întrebarea este de ce trebuie să fii compatibil PCI?
Nu este o exagerare să afirmi că comerțul electronic a dominat piața în ultimii câțiva ani. Odată cu această dezvoltare, există o grijă din ce în ce mai mare pentru securitatea datelor clienților atunci când este legată de tranzacțiile financiare online. În ciuda faptului că conformitatea PCI nu este cerută de lege, este considerată astfel de precedent. Acest lucru se întâmplă deoarece, în timp ce acceptați plăți cu cardul, este responsabilitatea dumneavoastră să protejați informațiile financiare sensibile ale clienților dumneavoastră.
Afacerile de comerț electronic beneficiază de respectarea PCI în diferite moduri, inclusiv:
Scurgeri de date
- Fără conformitatea PCI, afacerea dvs. este expusă riscului de încălcare a datelor, scurgeri de informații și hackeri, ceea ce poate duce la pierderi grave de venituri.
- Conformitatea PCI vă întărește apărarea împotriva criminalității cibernetice și ajută la prevenirea încălcării datelor.
- În plus, compania dumneavoastră se poate confrunta cu procese, taxe de înlocuire a cardului și costuri de compensare a clienților.
- Dacă se descoperă o încălcare a datelor și compania dumneavoastră respectă PCI, costurile încălcării sunt reduse.
- Reduceți numărul de încălcări ale datelor. Cel mai esențial, protejează datele deținătorilor de carduri (clienții noștri) împotriva atacurilor cibernetice.
Penalități și amenzi mari
- Nerespectarea regulilor PCI poate duce la o varietate de amenzi care vă pot epuiza complet resursele financiare.
- Luând în considerare volumul tranzacțiilor și durata neconformității, penalitățile pot varia de la 5.000 USD la 100.000 USD pe lună.
- Nerespectarea conformității guvernamentale ar putea duce la amenzi substanțiale în plus față de sancțiunile impuse de furnizorii de plăți.
- Pentru încălcări grave, amenzile ar putea ajunge la 20 de milioane de euro.
- Taxele de fraudă, examinările medico-legale și sancțiunile suplimentare pot fi impuse dacă compania încalcă din nou legea
Pierderea reputației și a veniturilor
- Potrivit unui sondaj recent Verizon, 69% dintre clienți ar evita să facă afaceri cu o firmă care a suferit o încălcare a datelor, chiar dacă ar oferi oferte mai bune decât rivalii lor.
- Consumatorii au acum așteptări mari de securitate și o toleranță scăzută față de vulnerabilitățile legate de confidențialitatea datelor, datorită cunoștințelor sporite despre problemele legate de confidențialitatea datelor consumatorilor.
- Încălcările de date pot dăuna reputației mărcii dvs., reducând în același timp loialitatea clienților.
Suspendarea utilizării cardurilor de credit în magazinul dvs. Magento
- După o încălcare a datelor, nerespectarea conformității PCI poate duce la revocarea capacității dvs. de a accepta plăți cu cardul de credit.
- Suspendarea contului cardului dvs. de credit este o pierdere mai gravă pentru afacerea dvs., deoarece împiedică magazinul dvs. să proceseze cardurile de credit în viitor.
- Pentru a evita astfel de pierderi, veți avea nevoie de o politică de securitate strictă, care să respecte regulile PCI.
Acum, trecem la lista de verificare a cerințelor de conformitate PCI DSS
Pentru firmele care gestionează datele deținătorilor de card și mențin o rețea de procesare a plăților, PCI SSC a stabilit 12 standarde împărțite în șase secțiuni. Toate aceste cerințe trebuie îndeplinite de orice companie care dorește să le respecte.
Construiți și mențineți o rețea sigură
Primul set de cerințe se referă la întreținerea unei rețele securizate și specifică faptul că o companie trebuie:
- Instalează și menține un firewall la zi.
- Pe datele clienților, folosește parole originale, selectate de utilizator, mai degrabă decât parole furnizate de furnizor.
Protejați datele deținătorului cardului
Protejează informațiile despre deținătorii de carduri care au fost stocate.
- Sunt utilizate mai multe niveluri de securitate pentru a avea grijă de datele stocate ale titularului de card.
- Este esențial să îndepliniți această cerință de conformitate PCI evitând păstrarea datelor deținătorului cardului mai mult decât este necesar.
- Permiteți clienților să introducă informațiile cardului de credit printr-un gateway de plată și nu trimite niciodată informații de plată fără o criptare robustă.
Criptați datele despre deținătorii de carduri care sunt trimise prin internet.
- Criptați transmiterea datelor deținătorului de card prin rețele publice și deschise.
- Înainte de a transporta datele sensibile ale cardului către mai multe sisteme, este esențial să le criptați. Folosind tehnologiile SSL și TLS, puteți realiza acest lucru.
- Criptarea datelor în timpul tranzitului este extrem de importantă, deoarece protejează datele consumatorilor chiar dacă rețelele sunt încălcate în timpul transferului.
- Un certificat SSL mărește credința consumatorilor, aprobând, de asemenea, tranzitul securizat de date.
Gestionarea vulnerabilității
A treia categorie se referă la modul în care o companie gestionează vulnerabilitățile rețelei și necesită ca o companie:
- Software-ul antivirus trebuie utilizat și actualizat în mod regulat.
- Creează și menține software și sisteme securizate.
Implementați măsuri puternice de control al accesului
Restricționați accesul la datele cardului
Accesul la datele deținătorilor de card ar trebui să fie limitarea pentru cei care au nevoia de a cunoaște afacerile.
Restricționând accesul la datele deținătorului cardului la un număr mic de persoane, puteți reduce frauda și furtul de date.
Administratorilor cu acreditări autorizate li se poate acorda acces.
De asemenea, vă ajută să urmăriți toate modificările sistemului prin monitorizarea și documentarea controlului accesului.
Intrarea limitată vă permite să clasificați procedurile de securitate în funcție de cine trebuie să știe, oferindu-vă o imagine clară a tuturor sarcinilor de administrare.
ID-uri unice pentru accesul la date
Fiecare persoană care are acces la computer ar trebui să primească un ID unic.
Puteți urmări activitatea fiecărei persoane autorizate folosind ID-uri unice.
Efectuați autorizarea în doi factori pentru protecție suplimentară, modificați parolele de acces în mod regulat și păstrați jurnalele detaliate.
ID-urile unice vă ajută, de asemenea, să controlați conturile de utilizator și să protejați accesul utilizatorilor la toate nivelurile, facilitând gestionarea identității și accesului (IAM).
Restricționați accesul fizic la date
Accesul fizic la datele deținătorului cardului ar trebui să fie o limitare
Securitatea datelor se extinde la centrele de date și serverele din lumea fizică.
Datele trebuie să fie păstrate într-un mediu securizat cu acces autorizat, fie la fața locului, fie în afara acestuia.
Centrele de date interne ar trebui să țină cont de lucrătorii și vizitatorii ilegali. Înainte de a acorda acces la centrul de date, puteți actualiza periodic verificările de securitate.
Dacă păstrați datele în afara site-ului, analizați măsurile de securitate utilizate de furnizorul de stocare și alegeți un serviciu de găzduire Magento de renume.
Monitorizați și testați rețelele în mod regulat
Al cincilea set de standarde se concentrează pe modul în care o companie își monitorizează și își examinează rețeaua și obligă compania:
- Tot accesul la datele deținătorului de card și la resursele rețelei este urmărit și monitorizat.
- Evaluează în mod regulat sistemele și protocoalele de securitate.
Menține o politică de securitate a informațiilor
Și, în sfârșit, toate sistemele și procedurile trebuie testate în mod regulat, conform cerințelor PCI DSS, pentru a se asigura că securitatea este menținută.
Apoi, cum obțineți conformitatea PCI?
Orice companie sau organizație care efectuează plăți cu cardul online sau păstrează datele cardului de credit ar trebui să respecte PCI, prin intermediul PCI Compliance Security Standard Council.
Întreprinderile trebuie de obicei să verifice conformitatea PCI în fiecare an sau trimestru, angajând un evaluator profesionist sau o companie pentru a stabili dacă efectuează tranzacțiile corect.
Deci, cum respectați PCI?
- Determinați nivelul PCI pe care doriți să îl utilizați. Cantitatea de tranzacții cu cardul pe care organizația dvs. le procesează în fiecare an determină care dintre cele patru niveluri vi se va atribui. Acestea vă vor influența abordarea conformității cu PCI DSS.
- Alegeți un chestionar pentru autoevaluare (SAQ). Induceți șapte tipuri diferite în funcție de nivelul dvs. de comerciant și de modul în care procesați informațiile despre cardul de credit. Fiecare clasă indică un set separat de standarde care trebuie îndeplinite pentru a fi conform PCI.
- Creați o rețea sigură pentru a satisface standardele de certificare PCI DSS. De la scanarea vulnerabilităților până la întreținerea și repararea securității, această metodă poate gestiona totul. Pentru a face față tuturor sarcinilor grele, veți avea nevoie de asistența unui contractant de tehnologie a informației.
- Completați formularul de atestare a conformității (AOC) – Un document care verifică constatările unui audit PCI DSS.
- Drumul către conformitatea PCI ar putea fi dificil de parcurs. Cu toate acestea, dacă doriți să vă asigurați percepțiile clienților despre dvs. și datele dvs. vitale de la hackeri, merită călătoria.
Vă propunem ca, în calitate de proprietar al unui magazin Magento, să configurați un plugin SecurePay compatibil cu PCI DSS. Pentru comercianții cu amănuntul, aceasta va fi o modalitate mai rentabilă de a trimite informații despre tranzacție către SecurePay pentru procesare.
În plus, puteți fi îngrijorat de cât costă conformitatea PCI?
Costurile conformității PCI variază în funcție de dimensiunea companiei dvs., procedurile de procesare a cardurilor și alte considerente.
Conformitatea PCI DSS poate costa până la 300 USD pe an pentru firmele mici, în funcție de următorii factori:
- 50 USD – 200 USD pentru un chestionar de autoevaluare (SAQ).
- Scanarea vulnerabilităților costă între 100 și 200 USD per adresă IP.
- Aproximativ 70 USD per angajat pentru formare și formularea politicilor.
- De la 100 USD la 10.000 USD pentru remediere (în funcție de cantitatea de muncă necesară pentru a îndeplini conformitatea și securitatea).
Costul total al unei examinări PCI DSS pentru companiile majore este de așteptat să fie de aproximativ 70.000 USD, inclusiv
- Audit la fața locului: Aproximativ 40.000 USD
- Scanarea vulnerabilităților costă în jur de 1.000 USD.
- Aproximativ 15.000 USD pentru teste de penetrare
- 5.000 USD pentru formularea politicilor și instruire.
- Remediere (actualizări ale software-ului și hardware-ului etc.): 10.000 USD – 500.000 USD
Prețul de a fi conform PCI la nivel de întreprindere nu este ieftin. Cu toate acestea, nicio taxă de conformitate PCI nu merită să pună în pericol informațiile clienților sau imaginea companiei pe termen lung.
Nu în ultimul rând, vă vom oferi câteva bune practici pentru conformitatea Magento PCI
Instruirea angajaților
Conformitatea Magento PCI este o cerință tehnologică care necesită cunoștințe și instruire extinse înainte de implementare.
Asigurați-vă că platforma dvs. Magento este securizată de o echipă de experți.
Dedicați-vă pregătirii angajaților sau angajați experți din industrie pentru a vă ajuta cu conformitatea și securitatea Magento.
Chestionare de autoevaluare (SAQs)
Cu comercianții mici, PCI DSS a lansat nouă chestionare de autoevaluare.
SAQ este un examen de bază de evaluare a securității da/nu, care vă permite să vă evaluați securitatea și să efectuați acțiuni eficiente de reparare.
Puteți finaliza evaluarea și adăuga o atestare de conformitate după ce ați determinat ce chestionar este potrivit pentru compania dvs.
PCI SAQ servește ca verificare a conformității și securității. Atunci când colaborezi cu companii terțe, este avantajos.
Documentați politicile și rapoartele de conformitate
Păstrați o evidență a reglementărilor de securitate documentând schimbările și procesele operaționale din compania dumneavoastră în mod regulat.
Raportul PCI privind conformitatea și atestarea conformității (RoC/AoC) este o evaluare a conformității securității.
Este efectuat de un evaluator de securitate calificat (QSA) sau de un evaluator intern calificat pentru a determina dacă magazinul dvs. Magento este în siguranță pentru a procesa datele deținătorului cardului.
Efectuați întreținerea regulată
Conformitatea Magento PCI este un proces de management continuu, nu o evaluare unică.
Scanările de vulnerabilități ar trebui efectuate în mod regulat, securitatea ar trebui actualizată, iar procedurile de conformitate ar trebui documentate temeinic.
Configurațiile sistemului Magento se schimbă tot timpul și, dacă nu țineți pasul cu ele, veți pierde controalele de conformitate și veți pune în pericol securitatea datelor.
Concluzie
În mediul internet, a face față problemei de securitate nu este ușor atât pentru afaceri, cât și pentru clienți. Prin urmare, conformitatea Magento PCI poate fi o asistență pentru companii pentru a reduce riscul provenit din mediul online. Nu numai că îi ajută pe cumpărători să se simtă mai în siguranță atunci când fac cumpărături în magazinul dvs., dar, de asemenea, puteți construi credința clienților, ceea ce poate spori imaginea mărcii și poate atrage mai mulți clienți. Atunci, dacă sunteți proprietarul unui magazin Magento, nu ezitați să implementați conformitatea Magento PCI. Dacă nu știți ce să faceți, puteți vizita serviciul nostru: Dezvoltare Magento pentru a găsi soluția sau contactați-ne direct pentru comoditate.