קמעונאים רבים עם אתר מסחר אלקטרוני סביר להניח שכבר שמעתם על המונח PCI Compliance, אבל לא כולם מבינים מה המשמעות האמיתית שלו עבור העסק המקוון שלהם. לכן, להלן נספר לכם קצת על מה זה. תאימות PCI ולמה זה חשוב למסחר האלקטרוני שלך.
מהי תאימות PCI?
ראשית עליכם להבין זאת תאימות PCI אינה חוק או תקנה ממשלתיתשמו הנכון הוא PCI DSS, ראשי תיבות של "תעשיית כרטיסי התשלום - אבטחת מידע". תֶקֶן"וזה בעצם מתייחס ל- סטנדרטי עם דרישות בטיחות שכל הסוחרים, גדולים כקטנים, חייבים לציית להם.
כל סוחר חייב לעמוד בתקנות PCI, גם אם אינך מטפל במספר רב של עסקאות או משתמש בספקי צד שלישי, כגון פלטפורמות מסחר אלקטרוני מתארחות, למיקור חוץ של פרטי כרטיסי אשראי. עבור סוחרים כאלה שמממנים את תהליכי התשלום שלהם למיקור חוץ, ה- היקף ה-PCI בדרך כלל הוא קטן יותר, ו- דרישות אימות הם מינימליים, אבל הם לא נעלמים.
תאימות PCI חלה על כל עסק
Muchos קמעונאים למסחר אלקטרוני הם חושבים שתאימות PCI אינה חלה על העסקים שלהם משום שהם קטנים מדי. במציאות, תקן זה חל על כל חברה שמעבדת, מאחסנת או מעבירה נתוני כרטיסי תשלוםאם, כבעל חנות מסחר אלקטרוני, אינך מתייחס ברצינות לאבטחה ופריצה תגרום לגניבת פרטי לקוחות, אתה עלול להתמודד עם השלכות חמורות.
כתוצאה מכך, תאימות לתקן PCI היא חובה אם מתקבלים תשלומים בכרטיס אשראי.אי ציות עלול להוביל ל קנסות חוזיים, תוספות תשלום עבור אירוע, עלות רכישה גבוהה יותר ובמקרים קיצוניים, ה- אובדן היכולת לעבד כרטיסיםמכאן החשיבות של תאימות PCI למסחר אלקטרוני ולכך שיהיה אמין יותר עבור הלקוחות שלך.
דרישות מפתח של PCI DSS: יעדים ובקרות
PCI DSS מקבץ את בקרותיו ל 6 יעדים y 12 דרישות טכניות וארגוניות שמחזקים את הביטחון:
- בנה ותחזק רשת מאובטחת1) חומת האש מוגדרת כהלכה; 2) שינוי אישורי ברירת מחדל.
- הגן על נתוני הבעלים3) להגן על נתונים מאוחסנים; 4) הצפנה במעבר ברשתות ציבוריות.
- ניהול נקודות תורפה5) עדכון של אנטי-וירוס/אנטי-תוכנות זדוניות; 6) תיקון ופיתוח מאובטח.
- שליטה בגישה7) גישה על סמך צורך לדעת; 8) מזהה ייחודי ו-MFA; 9) בקרות פיזיות.
- ניטור ובדיקה: 10) רישום ומעקב גישה; 11) בדיקות וסריקה תקופתיות.
- מדיניות אבטחה: 12) ממשלה והכשרה עבור כל הצוות.
שיטות עבודה מומלצות כוללות: פילוח רשת, את אסימון כדי למזער נתונים מאוחסנים, בדיקות חדירה וסקירה חצי-שנתית של כללי חומת האש.
רמות תאימות ותיקוף
- רמת 1יותר מ-6 מיליון עסקאות בשנה. דורש ROC על ידי QSA או מבקר פנימי מוסמך, AOC שנתי ו סריקות ASV רבעוניות.
- רמות 2–4: נפח נמוך יותר. הם דורשים SAQ שנתי (סוג לפי אינטגרציה: לדוגמה, A, A-EP, D), AOC וכאשר רלוונטי, ASV רבעוניים.
דרישות אלו הן חוזים עם מותגי כרטיסי האשראיאי ציות עלול להוביל ל... ההשלכות הכלכליות ותפעולי.
כיצד להשיג ולשמור על תאימות במסחר אלקטרוני
1) מפחית טווחהשתמשו בשערי אירוח, טוקניזציה ופילוח כדי להבטיח שהסביבה שלכם תטפל בנתונים פחות רגישים. 2) תצורות הקשחה: הסר סיסמאות ברירת מחדל, אכיפת MFA ועקרון הרשאות מינימליות. 3) הגנה על נתוניםהצפנה תוך כדי העברה (TLS חזק) ואם מאוחסן, הצפנה באמצעות ניהול מפתחות מאובטח. 4) מעקב מתמשךSIEM, שמירת יומני רישום, התראות ו סריקות ASV רבעוני. 5) בדיקותבדיקות חדירה תקופתיות ותיקון ממצאים. 6) ניהול פגיעות: מלאי, תיקונים ואנטי-וירוס. 7) מדיניות והדרכהמודעות עובדים ותגובה לאירועים. 8) תיעוד: להכין SAQ/ROC ו-AOC עם ראיות מעודכנות.
שערי תשלום וארנקים
ل שערים לתשלום y ארנקים דיגיטלייםכמו Paysafecard, חייבים גם לעמוד בתקן PCI DSS. ההסמכה שלהם עוזרת לצמצם את ההיקף של הסוחר, אבל לא פטורים כדי לעמוד בבקרות החלות בסביבה שלך (למשל, אבטחת אינטרנט, ניהול גישה ויומני רישום).
נתונים מוגנים ושיטות עבודה מומלצות
PCI מגן על מידע כגון פאן (מספר כרטיס), שם בעל הכרטיס, תאריך תפוגה, קודי שירות, נתוני מסלול ואלמנטים רגישים של אימות כגון CVV y קוד אישי (אין לאחסן את האחרון). המלצות עיקריות: אל תשמור נתונים אלא אם כן יש צורך בכך, מזער את השמירה שלך ולהשתמש באסימון.
יתרונות וסיכונים
עמידה בתקן PCI DSS מפחיתה הונאה, מגן על מוניטין ומשפר ביטחון של הלקוח. אי ציות חושף ברכות, קנסות אפשריים, בדיקה משפטית חובה ואובדן היכולת לקבל כרטיסי אשראי.
אימוץ PCI DSS מחזק תרבות של אבטחה מעוצבת שמונע תקריות יקרות, מקל על ביקורות ומבטיח חוויות תשלום חלקות ואמינות עבור הלקוחות שלך.
