WooCommerce PCI Uyumluluğu: Bilmeniz Gereken Her Şey!

Yayınlanan: 2022-01-25

WooCommerce, güzel ve özelleştirilebilir sanal vitrinler oluşturmak için kullanılan, WordPress için Açık Kaynaklı bir e-Ticaret platformudur. Ancak ödeme yöntemleri ne kadar güvenli? Platform, PCI uyumluluğu standartlarına uygun mu?

E-Ticaret web siteniz PCI-DSS standartlarıyla uyumlu olmadığı sürece, müşteri verilerinin güvenliğini ve gizliliğini tehlikeye atma eğilimindedir. Bu da çevrimiçi işletmenizin itibarını etkileyebilir.

Müşterilerinizin verilerinin WooCommerce mağazanızda korunmasını ve güvende olmasını sağlamak için bilmeniz gereken her şey burada.

İçindekiler tablosu gösterisi
  • WooCommerce PCI Uyumlu mu?
  • PCI Uyumluluğu tam olarak nedir?
  • PCI uyumlu bir web sitesine sahip olmanın temel avantajları:
  • PCI-DSS Uyumluluğu için gereksinimler nelerdir?
  • WooCommerce güvenli mi?
    • Kayıtlı Kredi Kartı Bilgilerinin Korunması
    • SSL ile Gelişmiş Güvenlik
    • WordPress Giriş Sistemi
  • WooCommerce Kredi Kartı Bilgilerini Kaydediyor mu?
  • Sonuç ve SSS

WooCommerce PCI Uyumlu mu?

woocommerce-pci-uyumluluğu

Çekirdek WooCommerce eklentisi, PCI-DSS uyumlu değildir. Ancak, tamamen uyumlu olacak şekilde kolayca yapılandırılabilir. Sonuç olarak, web sitesini PCI uyumlu hale getirme sorumluluğu mağaza sahibine aittir. Bu nedenle, e-Ticaret web sitelerinin güvenli ve emniyetli olmasını sağlamak için tüm adımları atmalıdırlar.

İdeal olarak, PCI-DSS uyumluluk gereksinimlerinin çeşitli yönleri, WooCommerce veya WordPress'in kapsamı dışındadır. Bunun yerine, web sitenizin uyduğu barındırma sağlayıcısının veya iş uygulamalarının kapsamına girerler. WooCommerce eklentisi, güvenlik düşünülerek tasarlanmıştır ve tam güvenliği sağlamanın birkaç yolu vardır.

E-Ticaret web sitenizin başlangıçta PCI uyumlu olmasına yardımcı olabilecek WooCommerce'in temel özellikleri şunlardır:

Sınırlı erişim:

WooCommerce, kullanıcıların farklı kullanıcılara bireysel gizlilik seviyeleri ve rolleri atamasını sağlayan güvenli WordPress oturum açma özelliğini kullanır. Müşterilerin ödeme bilgilerine sınırlı erişim, gelişmiş güvenlik sağlar.

SSL Güvenliği:

Kullanıcılar, ödeme işlemi sırasında SSL gereksinimlerini uygulamak için WooCommerce'i ayarlayabilir. SSL sertifikasına sahip olmak, müşteri verilerinizin web üzerinden iletilmeden önce tamamen şifreli kalmasını sağlar.

Depolanmış Kredi Kartının Güvenliği:

İdeal olarak, yerel WooCommerce ödeme ağ geçitleri, müşterilerin kredi kartı verilerini kaydetmek için tasarlanmamıştır. Bir ödeme ağ geçidi, kartı gelecekteki ödemeler için kaydetmeye izin verse bile, yalnızca son 4 hane saklanacaktır. WooCommerce'in bu özelliği, kredi kartı ayrıntılarınızın güvenliğini artırır.

Sizin için önerilenler: Nexcess Tarafından Yönetilen WooCommerce Barındırma – Mağazanızı Yaşamak İçin Harika Bir Yer!

PCI Uyumluluğu tam olarak nedir?

PCI-Uyumluluk-woocommerce Nedir?

Kaynak: I-Verve.com

Her türlü e-Ticaret işi için yüksek güvenlik standartlarını korumak önemlidir. Firmanızın güvenilirliğini ve profesyonelliğini belirleyen çok önemli bir kriterdir. Müşteri verilerinin daha iyi korunmasını ve yüksek düzeyde gizliliği sağlamak için, emniyet ve güvenliği sağlamak üzere uygulayabileceğiniz çeşitli düzenlemeler ve standartlar vardır.

Bunlardan en öne çıkanı PCI-DSS veya Ödeme Kartı Endüstrisi Veri Güvenliği Standardı'dır. Aynı zamanda PCI standardı olarak kabul edilmektedir.

E-Ticaret endüstrisi, veri güvenliği ve mahremiyet için ciddi bir tehdit oluşturan karmaşık siber saldırılarla sürekli olarak karşı karşıyadır. Bu nedenle, ödeme ağ geçidinin güvenliğini sağlamak önemlidir. Müşterilerin zihninde güven oluşturmaya, daha fazla satış yapmaya ve satışları tekrarlamaya yardımcı olur.

Ancak, e-Ticaret web sitenizin güvenli bir ödeme sistemine sahip olduğunu nasıl gösterebilirsiniz? Bu, izleyicilerinizin ve hedef kitlenizin web sitenizin PCI uyumlu olduğunun farkına varmasını sağlayarak yapılabilir.

PCI, JCB International, Visa Inc., MasterCard, Discover Financial Services ve American Express tarafından kurulan Payment Card Industry Security Standards Council tarafından yönetilen, dünya çapında kabul görmüş bir standarttır. Amaç, güvenliği artırmak ve çevrimiçi kredi kartı işlemleriyle ilgili dolandırıcılığı en aza indirmektir.

E-Ticaret siteniz kredi kartı ile ödeme kabul ediyorsa PCI uyumlu olmalıdır. PCI standartlarına uyulmaması işletmenizin ciddi mali cezalara uğramasına neden olabilir ve ayrıca itibarınıza da zarar verebilir.

PCI uyumlu bir web sitesine sahip olmanın temel avantajları:

yaşasın-profesyonel-benzeri-olumlu-artı-yüksek-iyi
  • PCI-DSS uyumluluğu sayesinde, birisi çevrimiçi mağazanızdan alışveriş yaparken kredi kartı verilerinin çalınması gibi nadir olasılıklar vardır. Çift katılım, iki faktörlü kimlik doğrulama ve HTTPS gibi özellikler, bilgisayar korsanlarını e-Ticaret web sitenizden hassas verileri çalmaktan caydırır.
  • Çevrimiçi mağazanızın güvenli bir ödeme sistemine sahip olduğunu gösterir ve bu, ödeme işlemini güvenli bir şekilde tamamlamak için müşteriler arasında bir güven duygusu oluşturmaya yardımcı olur.
  • E-Ticaret satıcılarının işletmenizde önemli kayıplara neden olabilecek ters ibrazları azaltmasına olanak tanır. Siber saldırılar daha gelişmiş olduğundan, bilgisayar korsanları bir müşterinin kredi kartı bilgilerini çalar ve bunları çevrimiçi ürün satın almak için kullanır. Müşteri bu beklenmeyen ödemeyi tespit ettiğinde ödemeyi hemen askıya alır. Sonuç olarak, elinizde hiçbir şey kalmayacak – ürün iadesi yok, para yok.
  • PCI uyumluluğu ile veri sızıntısını ve bilgisayar korsanlığını caydırmak için bir adım atabilirsiniz. Bu, e-Ticaret işinize önemli ölçüde para, zaman ve itibar kazandırabilecek davalardan kaçınmanıza yardımcı olabilir.

PCI-DSS Uyumluluğu için gereksinimler nelerdir?

kontrol listesi-görevler-notlar-programı

Aşağıdaki alanlar altında kategorize edilmiş 12 çekirdekli PCI-DSS gereksinimleri vardır”

Hedefler PCI-DSS Gereksinimi
Güvenli Ağ Oluşturun ve Sürdürün 1. Kart sahibi bilgilerinin korunmasına yardımcı olan sağlam bir güvenlik duvarı yapılandırması kurun ve kullanın.
2. Güvenlik parametreleri ve sistem parolaları için satıcı tarafından sağlanan varsayılanları asla kullanmayın.
Kart Sahibi Verilerini Koruyun 3. Depolanan tüm kredi kartı verilerini koruyun.
4. Kart sahibi verilerinin halka açık, açık ağlarda şifrelenmesini sağlayın.
Bir Güvenlik Açığı Yönetimi Programı Oluşturun 5. Güçlü anti-virüs yazılımı kullanın ve düzenli olarak güncelleyin.
6. Güvenli uygulamalar ve sistemler geliştirin.
Tam Korumalı Erişim Kontrol Önlemlerini Uygulayın 7. Hassas kart sahibi verilerine erişime yalnızca bilinmesi gerekenler temelinde izin verin.
8. Saklanan tüm kart sahibi verilerine fiziksel erişimi sınırlayın.
9. Bilgisayar erişimi olan her kullanıcı için benzersiz bir kimlik belirleyin.
Ağları Düzenli Olarak Test Edin ve İzleyin 10. Tüm kart sahibi verilerine ve ağ kaynaklarına erişimi verimli bir şekilde izleyin ve takip edin.
11. Güvenlik süreçlerini ve sistemlerini düzenli olarak test edin.
Bir Veri Güvenliği Politikası Oluşturun 12. Veri güvenliğini ele almaya yardımcı olan kesin bir politika oluşturun.

İdeal olarak, PCI uyumluluğunun bildirilmesi, ödeme işlemcisi tarafından zorunlu kılınır. Bunun için Kişisel Değerlendirme Anketi (SAQ) gibi belirli anketleri doldurmanız gerekebilir. Ödeme sisteminiz de yetkililer tarafından Onaylı Tarama Sağlayıcısı (ASV) tarafından taranır.

Hoşunuza gidebilir: WordPress e-Ticaret Mağazanızı Güçlendirmek için 10 Ücretsiz WooCommerce Uzantısı / Eklentisi.

WooCommerce güvenli mi?

woocommerce-pci-uyumluluğu

WooCommerce, on iki PCI uyumluluk gereksiniminin tamamının kapsamı dışında olduğunu açıkça belirtir. Diğer gereksinimler, barındırma sağlayıcınızın sunucu ortamının sorumluluğundadır.

Genellikle, herhangi bir barındırma sağlayıcısı uyumlu hale getirilebilir, bazı sunucular başlangıçta diğerlerinden daha uyumludur. Kontrol panelli yönetilen VPS sağlayıcıları gibi, ayarlarında önceden yapılandırılmış olduğu için birçok PCI gereksinimiyle varsayılan olarak uyumlu olma eğilimindedir, bu da web sitesi sahiplerinden çok iş alır.

Bu nedenle, çevrimiçi işinizi yürütme konusunda ciddiyseniz ve güvenlik son derece önemliyse, paylaşımlı barındırma yerine her zaman bir VPS'ye gitmeyi tercih etmelisiniz.

Bununla birlikte, yalnızca eklentiye güvenecek olsaydınız, eklentide yerleşik olarak bulunan başka kriterler de olabilir, ancak bunlar, ödeme yönteminizin PCI-DSS uyumlu olduğunu belirtmek için yeterli değildir.

Kapsamlı güvenliği sağlamak için WooCommerce'in yerine getirdiği üç temel PCI uyumluluğu gereksinimi şunlardır:

Kayıtlı Kredi Kartı Bilgilerinin Korunması

WooCommerce, saklanan tüm kredi kartı bilgileri için tam koruma sağlamayabilir, ancak bu verileri en başta SAKLAMAMAK için oluşturulmuştur. Bu, WooCommerce'in bir müşterinin web sitenizde ödeme yapmak için kullandığı tüm kredi kartı bilgilerini saklayacağı anlamına gelir.

Müşterinin ileride kullanmak üzere ödeme yöntemini tercih etmesi durumunda, WooCommerce kart numarasının yalnızca son dört hanesini saklayacaktır. Bu, siber suçluların kart ayrıntılarına erişmesini engeller. Ancak, bu güvenlik özelliği yalnızca yerel WooCommerce uygulamalarında mevcuttur. 3. taraf eklentileri kullanırsanız, tüm kart bilgilerini saklayabilirler.

SSL ile Gelişmiş Güvenlik

PCI standartlarına göre, web sitenizde müşteri ödemelerini kabul ediyorsanız, geçerli bir SSL sertifikanızın olması gerekir. Bir SSL sertifikasına sahip olmak, müşterilerinizin web sitenizde sağladığı tüm verilerin iletilmeden önce tamamen şifrelenmesini sağlar. Bu, kredi kartı dolandırıcılıklarının ve bilgisayar korsanlığının azaltılmasına yardımcı olarak çevrimiçi mağazanızı daha güvenli hale getirir. Ek olarak, bir SSL sertifikası web sitenize bir SEO desteği de sağlar.

WooCommerce, tüm ödeme sayfalarında SSL gereksinimi kriterlerini belirlemenize olanak tanır. Böylece WooCommerce, SSL aracılığıyla gelişmiş güvenlik sağlayarak PCI standartlarına uymaya yardımcı olur. Ancak, SSL sertifikası sunabileceklerini web sitesi barındırma sağlayıcınızla doğrulamak önemlidir.

HTTP-to-HTTPS-SSL-Sertifikası

WordPress Giriş Sistemi

WordPress oturum açma sistemi, WooCommerce'in PCI uyumluluğunu desteklemek için kullandığı başka bir yoldur. Hassas kredi kartı bilgilerine farklı düzeylerde kullanıcı erişiminin ayarlanmasına izin verir. Bu, daha iyi güvenlik sağlamak için farklı kullanıcı rolleri oluşturabileceğiniz ve benzersiz oturum açma erişimi ayarlayabileceğiniz anlamına gelir.

Örneğin, web sitenizdeki bir blog gönderisi yazarı yalnızca gönderiler oluşturabilir ve düzenleyebilir, ancak WooCommerce müşteri verilerine erişme veya bunları görüntüleme yetkisine sahip değildir. Bu nedenle, PCI gereksinimleriyle uyumlu kalmanıza yardımcı olabilecek bir "yalnızca bilmesi gerekenler" erişimi ayarlamak gibidir.

WooCommerce, yukarıdaki PCI uyumluluk gereksinimlerini entegre ederek önemli miktarda güvenlik sağlar.

WooCommerce Kredi Kartı Bilgilerini Kaydediyor mu?

kredi kartı-ödeme-e-ticaret-alışveriş

WooCommerce çekirdek eklentisi, bir müşteri ödeme yöntemini ileride kullanmak üzere kaydetse bile kredi kartı bilgilerini saklamaz, kredi kartının yalnızca son 4 hanesi saklanır.

Dolayısıyla, sorunuz şuysa - e-Ticaret mağazamın PCI uyumlu olması gerekiyor mu, o zaman cevap HAYIR olacaktır. Bu, yalnızca WooCommerce mağazanız temel eklenti üzerinde çalıştığında ve kart sahibi verilerini saklamadığında, iletmediğinde veya işlemediğinde gerçekleşir. Bu gibi durumlarda ödemeler, genellikle ödemeleri almak için kendi sunucularını kullanan bir ağ geçidi kullanılarak tesis dışında alınır.

Ancak, kart sahibi bilgilerini saklayabilecek üçüncü taraf eklentiler kullanıyorsanız veya kredi kartı verilerini PCI standartlarında belirtildiği şekilde topluyor, iletiyor ve işliyorsanız, web sitenizin PCI-DSS uyumlu olması gerekir.

Şunlar da hoşunuza gidebilir: Magento, Shopify ve WooCommerce: E-Ticaret Savaşı.

Sonuç ve SSS

woocommerce-pci-uyumluluk-soruları-cevapları-sss-sorgusu-yardımı

Özetlemek gerekirse, WooCommerce, PCI standartlarıyla tam olarak uyumlu değildir. Ancak, PCI uyumluluğu gereklilikleri uyarınca veri kaybına veya hassas kart sahibi bilgilerinin çalınmasına karşı belirli bir düzeyde koruma sağlar. Ek olarak, bu makalenin SSS bölümünde açıklanan kesin önlemleri alarak WooCommerce mağazanızı PCI uyumlu hale getirme esnekliği de sağlar.

S. WordPress PCI uyumlu mu?

HAYIR; WordPress tam olarak PCI uyumlu değildir ve yalnızca Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi yönergelerinde belirtilen gereksinimleri karşılar. Ancak platform, diğer PCI uyumlu özellikleri entegre etmek ve web sitenizin ödeme sistemini bilgisayar korsanlığı ve veri kaybına karşı tam korumalı hale getirmek için sorunsuz bir şekilde güncellenebilir.

S. Shopify PCI uyumlu mu?

Shopify, ticari işletmelerin güvenlik sistemleri açısından sektördeki en iyi uygulamalara bağlı kalarak müşterilere güvenli bir alışveriş deneyimi sunmalarını sağlayan bir başka lider e-ticaret platformudur. Altı PCI uyumluluğu gereksiniminin tümünü karşılayan, sertifikalı bir Düzey 1 PCI-DSS uyumlu platformdur:

  • Güvenli kart sahibi verileri.
  • Güvenli bir ağ koruyun.
  • Ağları düzenli olarak test edin ve izleyin.
  • Bir güvenlik açığı yönetim programı oluşturun.
  • Kapsamlı bir veri güvenliği politikası sürdürün.
  • Güçlü erişim kontrol önlemleri ayarlayın.

Dolayısıyla, WooCommerce'in aksine, konu PCI-DSS standartlarına uymak olduğunda Shopify oyunu kazanır.

S. WordPress PCI ile uyumlu hale nasıl getirebilirim?

WordPress web sitenizi PCI uyumlu hale getirmek için öncelikle PCI standartlarına uyan bir ödeme işlemcisi seçmek önemlidir. Güvenli bir ödeme ağ geçidi sağlayan bir işlemci seçin. Ancak o zaman WordPress PCI uyumlu hale getirmek için aşağıdaki adımlara geçebilirsiniz:

  • Satıcı düzeyinizi belirleyin: PCI uyumluluğuna ilişkin kurallar, işletmenizin işlem hacmine bağlı olarak değişir. Bu nedenle öncelikle üye işyeri seviyenizi belirlemelisiniz. Örneğin, küçük bir işletmeyseniz, en basit uyum sürecine sahip Seviye 4'e hak kazanabilirsiniz.
  • Öz değerlendirme anketini doldurun: Mevcut risklere maruz kalma durumunuzu anlamanıza yardımcı olacak öz değerlendirme anketini (SAQ) doldurun.
  • Onaylı bir tarama tedarikçisini entegre edin: ASV, ödeme verilerini toplayan ve işleyen donanım ve yazılımlardaki olası güvenlik açıklarını belirlemek için otomatik araçlar kullanabilir.
  • Bir SSL sertifikası alın: Bir SSL sertifikası, müşterilerinize web sitenizle şifreli ve doğrudan bir bağlantıya sahip oldukları konusunda gönül rahatlığı sağlar. Web sitenizin etki alanı "HTTPS", PCI standartlarını karşılayan bir eklenti güvenlik kimlik bilgisidir.
  • Doğru araçları ve eklentileri kullanın: WordPress veya WooCommerce mağazanız için doğru eklentileri ve araçları kullanmak, e-Ticaret mağazanıza ek bir güvenlik katmanı sağlayabilir. Örneğin WordPress, kart sahibi bilgilerine erişimi sınırlandırarak gelişmiş veri koruması ve gizliliği sağlayan yönetici denetimlerine sahiptir.
  • Ödeme doğrulaması için daha fazla adım: Ödemeyi yaparken, çoğu ödeme ağ geçidi kart sahibinin adını, kredi kartı numarasını ve kartın son kullanma tarihini ister. Bu veriler siber suçlular tarafından kolaylıkla hacklenebilir ve yıllık milyarlarca dolarlık kayba yol açabilir. CVV, fatura adresi, güvenlik soruları veya OTP gibi ek doğrulama ayrıntılarının dahil edilmesi daha fazla güvenlik sağlayabilir.
  • En son güvenlik politikalarıyla güncel kalın: Yukarıdaki adımlara ek olarak, en son güvenlik politikaları ve trendlerinden haberdar olmak da çok önemlidir. Bu sizi PCI uyumluluğuna doğru bir adım ileriye taşıyacaktır. En son antivirüs koruması, düzenli yazılım güncellemeleri, kötü amaçlı yazılım taraması ve güvenlik yamaları, gelişmiş web sitesi güvenliği sağlamak için bir zorunluluktur. Ek olarak, çalışanlarınızın da ödeme verilerini güvenli ve verimli bir şekilde kullanmaları için eğitilmesi gerekir.