什么是 Magento PCI 合规性以及您的 Magento 商店为什么需要它?
已发表: 2022-06-01电子商务最近发展得越来越快。 因此,许多企业在 Woocommerce、Shopify 等不同平台上开设在线商店……尤其是 Magento,因为它具有出色的功能。 然而,伴随着巨大的利益,安全性也是客户和业主最关心的问题。 买家不希望他们的个人信息被泄露给第三方,这可能会伤害他们,企业希望保持专业形象以获得客户的信任。 因此,在本文中,我们将向您介绍一个出色的解决方案,以帮助您解决棘手的问题: Magento PCI 合规性。
首先,您应该熟悉 PCI 合规性
那么,什么是 PCI 合规性?
PCI 是支付卡行业的缩写。 PCI 合规性是一系列基本标准和法律,旨在提高全球支付数据的安全性。 其中包括策略、安全管理、网络架构、软件设计和其他限制。 PCI DSS 为电子商务企业建立了最佳实践,为敏感数据带来了安全的环境。 另一项知识是 PCI 安全标准委员会开发和分发所有 PCI 合规标准。 PCI 安全标准委员会成立于 2006 年,旨在制定这些法规并监督电子商务行业的 PCI 合规性。 Visa、Mastercard、JCB International、Discover Financial Services 和 American Express 是理事会代表的最大的全球支付卡网络之一。
任何经营在线商店的企业都必须遵守 PCI。 遵守并实现 PCI DSS(支付卡行业数据安全标准)合规性的企业被称为 PCI 合规性。
您应该了解不同的 PCI DSS 合规级别
PCI 合规性有四个不同的阶段,每个阶段指的是由合格的安全评估员进行的年度评估和由不同范围的经批准的扫描供应商进行的季度扫描。
PCI DSS 合规性 1 级
这是电子商务 PCI 合规性的初始级别,用于处理数百万笔交易的组织。 以下类型的企业受这些规则的约束:
- 每年处理超过 600 万笔 Visa 或 Mastercard 交易的电子商务公司,包括线上和线下交易(如果公司有线下业务)
- 每年,支付服务商执行大约 300,000 笔交易。
- Visa 认为是 1 级的所有在线商店
- 每年,授权的 PCI 审核员都会进行审核以验证其合规性。 每个季度,1 级组织必须由经批准的扫描供应商 (ASV) 执行 PCI 扫描。
PCI DSS 合规性 2 级
这种监管形式通常适用于交易量小于 600 万的大企业:
- 商家每年进行 1-6 百万次 Visa 交易,包括在线支付和实体支付。
- 每年有超过 300,000 笔交易,支付服务商的需求量很大。
- 每年,这些公司都必须完成自我评估问卷或 SAQ,以及每季度进行一次 PCI 扫描。
PCI DSS 合规性 3 级
这一级别的电子商务 PCI 合规性适用于每年进行 20,000 至 100 万次 Visa 电子商务交易的商家。 这些公司,如 2 级,必须完成年度 SAQ,但只有在某些条件下执行季度扫描的义务。
PCI DSS 合规性 4 级
第 4 级适用于交易较少的小型电子商务企业:
- 每年进行少于 20,000 笔 Visa 交易的卖家不符合资格。
- 每年执行一百万次或更多 Visa 交易的商户(线上和线下)
尽管需要每年进行一次 SAW,但每季度一次的 PCI 扫描是在“根据需要”的基础上执行的。 上面提供的主要 PCI DSS 合规级别概述将帮助您确定贵公司应达到的合规级别。
Magento PCI 合规性
首先, Magento Commerce 版
如您所知, Magento 2 Commerce (Cloud) Edition,尤其是最新版本的Magento 2.4.4已通过 PCI 认证为一级解决方案提供商,继承了其前身的传统。 企业越来越容易获得 PCI 合规性。 他们可能会依靠 Magento 的 PCI 合规性证明来帮助他们证明他们已经达到了标准。
由于使用 Commerce Edition 的大多数人是每年处理超过 600 万笔交易的大中型企业,因此这一点至关重要。
此外,Magento 商店链接到支付网关,支付网关直接将数据发送到支付网关,而不是将其存储在 Magento 服务器上。 Magento Open Source 和 Commerce 版本都具有此功能。
接下来, Magento 开源版
开源版不包含 PCI 合规性作为一项功能。 但是,有几个选项可以让您的 Magento 网站符合 PCI 标准:
1.通过第三方服务(例如PayPal express)进行支付
这是我们在商务版部分中所述的方式。
如果您选择此选项,您将不需要符合 PCI 标准,因为信用卡信息不会存储在您的服务器上。 过去使用第三方支付网关可能会导致客户的结账过程中断。 但是,这不再是问题。
借助第三方支付网关,例如Magento Stripe 集成,商家现在可以提供无缝的结账体验。 如果敏感数据未存储在 Magento 服务器上,您可以对核心 Magento 电子商务应用程序进行更改,而无需重新评估是否符合 PCI。
2. 使用符合 PCI 的 SaaS 支付应用程序。
您可以使用符合 PCI 标准的 CRE Secure 作为示例。 客户被定向到不同的网站(URL 更改),但可以调整表单以匹配您商店的设计。
问题是为什么您需要符合 PCI 标准?
毫不夸张地说,电子商务在过去几年中一直主导着市场。 随着这一发展,与在线金融交易相关的客户数据安全性也越来越受到关注。 尽管法律不要求遵守 PCI 规定,但在先例中是这样认为的。 这是因为在接受信用卡付款时,您有责任保护客户的敏感财务信息。
电子商务企业以各种方式受益于 PCI 合规性,包括:
数据泄露
- 如果没有 PCI 合规性,您的企业就会面临数据泄露、泄露和黑客攻击的风险,这可能会导致严重的收入损失。
- PCI 合规性可加强您对网络犯罪的防御,并有助于防止数据泄露。
- 此外,您的公司可能会面临诉讼、换卡费用和客户赔偿费用。
- 如果发现数据泄露并且您的公司符合 PCI 标准,那么泄露的成本就会降低。
- 减少数据泄露的数量。 最重要的是,保护持卡人(我们客户的)数据免受网络攻击。
罚款和巨额罚款
- 不遵守 PCI 规则可能会导致各种罚款,从而完全耗尽您的财务资源。
- 根据交易量和违规时间长短,罚款可能从每月 5,000 美元到 100,000 美元不等。
- 除了支付提供商处以的罚款外,政府不遵守规定还可能导致巨额罚款。
- 对于严重的违规行为,罚款可能高达 2000 万欧元。
- 如果公司再次违法,可能会被处以欺诈指控、法医检查和额外处罚
声誉和收入损失
- 根据 Verizon 最近的一项调查,69% 的客户会避免与经历过数据泄露的公司开展业务,即使他们提供的交易比竞争对手更好。
- 由于对消费者数据隐私问题的了解增加,消费者现在对数据隐私漏洞有很高的安全期望和较低的容忍度。
- 数据泄露会损害您的品牌声誉,同时也会降低客户忠诚度。
暂停在您的 Magento 商店使用信用卡
- 数据泄露后,不遵守 PCI 合规性可能会导致您的信用卡付款被撤销。
- 暂停您的信用卡帐户对您的业务来说是一个更严重的损失,因为它会阻止您的商店将来处理信用卡。
- 您将需要符合 PCI 准则的严格安全策略来避免此类损失。
现在,我们进入 PCI DSS 合规性要求清单
对于管理持卡人数据和维护支付处理网络的公司,PCI SSC 制定了 12 个标准,分为六个部分。 任何想要合规的公司都必须满足所有这些要求。
建立和维护安全网络
第一组要求涉及安全网络的维护,并规定公司必须:
- 安装并保持防火墙最新。
- 在客户数据上,使用原始的、用户选择的密码,而不是供应商提供的密码。
保护持卡人数据
保护已存储的持卡人信息。
- 多个安全级别用于处理存储的持卡人数据。
- 通过避免保留持卡人数据超过必要的时间来满足这一 PCI 合规性要求至关重要。
- 让客户通过支付网关输入他们的信用卡信息,并且永远不要在没有强大加密的情况下发送支付信息。
加密通过互联网传输的持卡人数据。
- 通过开放和公共网络加密持卡人数据传输。
- 在将敏感卡数据传输到多个系统之前,对其进行加密至关重要。 使用 SSL 和 TLS 技术,您可以做到这一点。
- 在传输过程中加密数据非常重要,因为即使在传输过程中网络被破坏,它也可以保护消费者数据。
- SSL 证书增加了消费者的信心,同时也批准了安全的数据传输。
管理漏洞
第三类涉及公司如何管理网络漏洞,它要求公司:
- 杀毒软件应该有应用程序并定期更新。
- 创建和维护安全的软件和系统。
实施强大的访问控制措施
限制访问卡数据
- 对持卡人数据的访问应该是那些有业务需要知道的人的限制。
- 通过限制少数人访问持卡人数据,您可以减少欺诈和数据盗窃。
- 具有凭据授权的管理员可以访问。
- 它还可以帮助您通过监控和记录访问控制来跟踪所有系统修改。
- 有限的条目允许您根据需要知道的人对安全程序进行分类,让您清楚地了解所有管理任务。
用于数据访问的唯一 ID
- 每个有权访问计算机的人都应该收到一个唯一的 ID。
- 您可以使用唯一 ID 跟踪每个授权个人的活动。
- 执行 2 因素授权以增加保护,定期更改访问密码并保留详细日志。
- 唯一 ID 还可以帮助您控制用户帐户并保护所有级别的用户访问,从而使身份和访问管理 (IAM) 变得更加容易。
限制对数据的物理访问
- 对持卡人数据的物理访问应受到限制
- 数据安全扩展到物理世界中的数据中心和服务器。
- 数据必须位于具有授权访问权限的安全环境中,无论是现场还是非现场。
- 内部数据中心应密切关注非法工人和访客。 在授予对数据中心的访问权限之前,您还可以定期更新安全检查。
- 如果您将数据保存在异地,请查看存储提供商使用的安全预防措施并选择信誉良好的 Magento 托管服务。
定期监控和测试网络
第五套标准侧重于公司如何监控和检查其网络,并要求公司:
- 对持卡人数据和网络资源的所有访问都将进行跟踪和监控。
- 定期评估安全系统和协议。
维护信息安全政策
最后,所有系统和程序必须按照 PCI DSS 的要求进行定期检查,以确保维护安全。
那么,如何获得 PCI 合规性?
通过 PCI 合规安全标准委员会,任何在线支付卡或保存信用卡数据的公司或组织都应符合 PCI。
企业通常必须每年或每季度通过聘请专业评估员或公司来检查他们的 PCI 合规性,以确定他们是否正确地进行交易。
那么,您如何遵守 PCI?
- 确定要使用的 PCI 级别。 您的组织每年处理的卡交易数量决定了您将被分配到四个级别中的哪一个。 它们会影响您实现 PCI DSS 合规性的方法。
- 为您的自我评估 (SAQ) 选择一份问卷。 根据您的商户级别和您处理信用卡信息的方式,归纳出七种不同的类型。 每个类别表示一组单独的标准,这些标准必须具有足够的标准才能符合 PCI。
- 创建满足 PCI DSS 认证标准的安全网络。 从漏洞扫描到安全维护和修复,这种方法都能应付自如。 要处理所有繁重的工作,您需要信息技术承包商的帮助。
- 填写合规证明 (AOC) 表格 - 用于验证 PCI DSS 审核结果的文件。
- 通往 PCI 合规的道路可能难以驾驭。 但是,如果您想保护客户对您和您的重要数据的看法免受黑客攻击,那么值得一游。
我们建议您作为 Magento 商店所有者设置一个符合 PCI DSS 的 SecurePay 插件。 对于零售商而言,这将是一种将交易信息发送到 SecurePay 进行处理的更具成本效益的方式。
此外,您可以关心 PCI 合规性的成本是多少?
PCI 合规成本取决于您公司的规模、卡处理程序和其他考虑因素。
小公司每年的 PCI DSS 合规成本可能低至 300 美元,具体取决于以下因素:
- 50 - 200 美元的自我评估问卷 (SAQ)。
- 每个 IP 地址的漏洞扫描成本在 100 美元到 200 美元之间。
- 每位员工约 70 美元用于培训和政策制定。
- 修复费用从 100 美元到 10,000 美元不等(取决于满足合规性和安全性所需的工作量)。
主要企业的 PCI DSS 检查总成本预计约为 70.000 美元,包括
- 现场审核:约 40,000 美元
- 漏洞扫描成本约为 1,000 美元。
- 大约 15,000 美元用于渗透测试
- 5,000 美元用于政策制定和培训。
- 整治(软件和硬件更新等):10,000 - 500,000 美元
在企业级符合 PCI 的价格并不便宜。 尽管如此,任何 PCI 合规费用都不值得损害您的客户信息或公司的长期形象。
最后但同样重要的是,我们将为您提供一些 Magento PCI 合规性的最佳实践
员工培训
Magento PCI 合规性是一项技术要求,在实施之前需要广泛的知识和培训。
借助专家团队,确保您的 Magento 平台具有良好的安全性。
致力于员工培训或聘请行业专家来帮助您实现 Magento 合规性和安全性。
自我评估问卷 (SAQ)
对于小型零售商,PCI DSS 发布了九份自我评估问卷。
SAQ 是一项基本的是/否安全评估考试,可让您评估您的安全性并执行有效的修复操作。
确定适合贵公司的问卷后,您可以完成评估并添加合规证明。
PCI SAQ 用于验证合规性和安全性。 当与第三方公司合作时,这是有利的。
记录政策和合规报告
通过定期记录公司的变更和操作流程来记录安全法规。
PCI 合规性和合规性证明 (RoC/AoC) 报告是一项安全合规性评估。
它由合格的安全评估员 (QSA) 或合格的内部评估员执行,以确定您的 Magento 商店是否可以安全地处理持卡人数据。
进行定期维护
Magento PCI 合规性是一个持续的管理过程,而不是一次性评估。
应定期执行漏洞扫描,更新安全性,并彻底记录合规程序。
Magento 系统配置一直在变化,如果您跟不上它们,您将失去合规控制并危及数据安全。
结论
在互联网环境中,应对安全问题对企业和客户来说都不是一件容易的事。 因此,Magento PCI 合规性可以帮助公司降低来自在线环境的风险。 它不仅可以帮助买家在您的商店购物时感到更加安全,还可以建立客户的信念,从而提升品牌形象并吸引更多客户。 那么,如果您是 Magento 商店所有者,请不要犹豫实施 Magento PCI 合规性。 如果您不知道该怎么做,您可以访问我们的服务: Magento 开发以查找解决方案或直接联系我们以方便。