9 Novembre, 2023 – 11:03
  • Home
  • Marketing
  • Social Media
  • Copywriting
  • Ecommerce
Menu
  • Home
  • Marketing
  • Social Media
  • Copywriting
  • Ecommerce
Home Ecommerce

Spiegazione dei requisiti + Lista di controllo (2018)

megamarketing by megamarketing
Settembre 20, 2018
in Ecommerce
0

Se sei stato contattato dalla tua banca o istituto finanziario solo di recente per scoprire che i tuoi dati della carta di credito sono stati compromessi, allora hai sentito la crescente frustrazione che molti consumatori devono affrontare oggi.

In effetti, la situazione relativa alle frodi con carta di credito sta solo peggiorando.

Affrontare un compromesso è una seccatura che richiede tempo dal punto di vista del consumatore.

Ciò è dovuto al fatto che molti di noi mantengono un gran numero di profili online personali (presumibilmente sicuri) che ci offrono un modo conveniente per gestire pagamenti ricorrenti mensili o annuali.

Come possiamo essere sicuri che questi fornitori di servizi online, che accettano e conservano così prontamente i dati della nostra carta di credito, stiano adottando le misure appropriate per assicurarlo?

Questo è lo scopo di PCI DSS – e ogni rivenditore è tenuto a rispettare.

A seconda della tecnologia di e-commerce e del back-end utilizzato da un rivenditore, la conformità PCI può essere un facile controllo di un lungo elenco di cose che i rivenditori devono fare per garantire che i loro clienti stiano effettuando transazioni in modo sicuro.

Oppure può essere un grande dolore – costando tempo, risorse e denaro.

In questa guida imparerai:

  • Che cos'è PCI DSS.
  • Come ottenerlo per il tuo business.
  • In che modo il tuo back-end di ecommerce svolge un ruolo importante nello sforzo richiesto.

Cos'è lo standard PCI DSS?

Gli standard PCI DSS sono standard che tutte le aziende che effettuano transazioni tramite carta di credito devono rispettare.

Originariamente creato da Visa, MasterCard, Discover e American Express nel 2004, il PCI DSS si è evoluto nel corso degli anni per garantire che i venditori online avessero i sistemi e i processi in atto per prevenire una violazione dei dati.

La versione più recente è PCI DSS 3.2. La versione 3.2 è stata introdotta nell'aprile 2016 e ha sostituito ufficialmente la versione 3.1 il 1 ° febbraio 2018 come standard che tutte le aziende devono seguire.

Il PCI Security Standards Council (PCI SSC) definisce una serie di specifici DSS (Data Security Standards) che sono rilevanti per tutti i commercianti, indipendentemente dal volume delle transazioni relative alle entrate e alle carte di credito.

Raggiungere e mantenere la conformità PCI è il processo continuo che un'organizzazione si impegna a garantire che aderisca agli standard di sicurezza definiti dal PCI SSC.

L'SSC definisce e gestisce gli standard, mentre la conformità ad essi viene applicata dalle stesse società di carte di credito.

Ancora una volta, questi standard si applicano a tutte le organizzazioni che si occupano dei dati dei titolari di carta.

I dati del titolare della carta si riferiscono specificamente al numero della carta di credito, insieme al nome del titolare della carta, alla data di scadenza e al codice di sicurezza (CSC).

In totale, PCI DSS delinea 12 requisiti per la conformità.

Dodici requisiti potrebbero non sembrare molto. Infatti, una rapida scansione della documentazione di conformità PCI online ti farà credere che la conformità PCI sia semplice.

In realtà, il mantenimento della conformità PCI è estremamente complesso, specialmente per le grandi imprese.

In realtà significa che è necessario soddisfare un totale di 251 sotto-requisiti tra i 12 requisiti delineati in PCI DSS 3.2 per affrontare completamente le crescenti minacce alle informazioni sui pagamenti dei clienti.

Hosting PCI conforme di livello 1

La conformità PCI di livello 1 è solo l'inizio. Con un uptime del 99,99%, HTTPS su tutto il sito e molto altro, BigCommerce gestisce le puntate del tavolo di sicurezza.

Guarda come è costruita la sicurezza.

Perché la sicurezza delle carte di credito è spesso un argomento trascurato

Jasper Studios offre servizi di sviluppo e-commerce ai rivenditori omnicanale sia grandi che piccoli.

Come tale, abbiamo visto ogni tipo di trasgressione di archiviazione della carta di credito immaginabile.

Abbiamo visto i dati dei titolari di carta memorizzati in file di testo normale senza alcuna crittografia o offuscamento di base che risiedono sotto la scrivania del CFO in un PC polveroso risalente alla fine degli anni '90 – tutti appena catturati da un gateway di pagamento insicuro in una piattaforma di e-commerce locale.

  • Il mio numero di carta di credito potrebbe essere stato memorizzato in quel vecchio PC polveroso?
  • Era tuo?

Questo tipo di pratica è pura negligenza.

Fortunatamente, tuttavia, questa non è una pratica intrapresa dalla maggior parte delle organizzazioni e, quando viene eseguita, è in genere causata da un'ignoranza involontaria sull'argomento.

Ma questi tipi di storie dell'orrore persistono ancora oggi.

Nessuna meraviglia che molte delle nostre carte di credito siano state o alla fine compromesse.

Non sono solo le organizzazioni più piccole che possono avere standard deplorevoli per la sicurezza dei dati.

Notevoli violazioni dei dati al dettaglio:

Nel 2005, Wal-Mart ha avuto una grave violazione della sicurezza che ha preso di mira i propri sistemi di punti vendita.

Un precedente audit interno ha rivelato che migliaia di numeri di carte del cliente e altri dati personali erano stati trovati sui loro server in forma non criptata.

Questi dati potrebbero essere stati compromessi durante la violazione, anche se ciò non è stato confermato ufficialmente.

Più recentemente, nel 2013, il gigante della vendita al dettaglio statunitense Target Corporation è stato violato: sono stati rubati dalla loro rete ben 40 milioni di carte di credito e debito.

Nel 2014, Home Depot ha visto una simile violazione – con il furto di 56 milioni di numeri di carte di credito.

E nel 2018, Saks e Lord & Taylor sono l'ultima vittima della violazione – questa volta provengono da un hack nella loro soluzione POS in-store.

Se questo può accadere ad alcuni dei più grandi rivenditori al mondo, può certamente succedere anche a quelli più piccoli.

Devo garantire la conformità PCI per la mia organizzazione?

Se gestisci la tua soluzione di cloud-commerce on-premise o self-hosted, la risposta breve è sì.

Ecommerce La conformità PCI è importante sia che si gestisca un unico punto vendita al dettaglio sia che si tratti di una grande organizzazione di vendita di beni in più negozi e siti di e-commerce, ovunque sia collegato e integrato l'account commerciante di carte di credito.

Tutti i volumi delle transazioni con carta di credito i processi dell'organizzazione sono aggregati su più canali (ad esempio nei terminali di punto vendita di vendita al dettaglio e gateway di pagamento online) e riassunti per determinare un adeguato livello di conformità PCI.

Ciò significa che una grande catena di distribuzione internazionale che gestisce 6 milioni di transazioni all'anno sarà considerata un commerciante di livello 1 (il livello più severo) e sarà mantenuta ai massimi standard di conformità PCI, anche se il relativo negozio di commercio elettronico elabora meno di 500 ordini di vendita al mese.

Fortunatamente, se gestisci un negozio di ecommerce basato su SaaS e non hai accesso a dati di titolari di carte di credito (come nel caso delle più moderne piattaforme di commercio SaaS), la tua esigenza di conformità PCI è fortemente mitigata.

Il sollevamento pesante è stato affidato in modo esperto e mirato agli esperti di tecnologia che lavorano per le società SaaS, che secondo la nostra opinione professionale sono esattamente al loro posto.

Come SaaS si confronta per la conformità PCI:

Le soluzioni SaaS come BigCommerce si prendono cura della maggior parte dei passaggi verso la conformità PCI e-commerce per qualsiasi cliente sulla piattaforma.

Con un software di e-commerce come Magento, un'azienda dovrà pagare qualcuno per configurare server e reti e adottare le misure necessarie per proteggere quell'infrastruttura per renderli compatibili con PCI per il tuo negozio online.

Magento non è compatibile con lo standard PCI. Di fatto, migliaia di negozi Magento subiscono continuamente violazioni.

Requisiti di conformità PCI per l'e-commerce

Se si ospita e si gestisce la propria piattaforma di e-commerce (ad esempio una soluzione personalizzata), è necessario garantire la conformità PCI per la propria organizzazione.

Il primo passo è determinare il livello di conformità richiesto.

Tutti i commercianti rientrano in uno dei quattro livelli in base al volume delle transazioni con carta di credito o debito su un periodo di 12 mesi.

Il Livello 1 è il più rigido in termini di requisiti DSS, dove il Livello 4 è il meno severo:

Quasi tutte le piccole e medie imprese (PMI) si classificano come mercanti di livello 3 o 4 di livello inferiore, tuttavia ciò non preclude la necessità di mantenere la conformità con la stessa diligenza delle organizzazioni più grandi.

Di fatto, si tratta di un malinteso costoso tra le PMI che ritengono di non aver bisogno di preoccuparsi della conformità perché non fanno un volume abbastanza significativo di vendite online o in negozio.

La non conformità è altrettanto costosa quanto una violazione, in cui è necessario valutare lo standard di Livello 1 per il prossimo anno, inclusa una verifica sul posto.

Conformità PCI di BigCommerce:

Il Data Cardholder Data Environment di BigCommerce è certificato PCI DSS livello 1 sia come commerciante che come fornitore di servizi.

Questo protegge dalle violazioni dei dati delle carte di credito ed elimina il costo enorme e la seccatura della conformità.

Sanzioni per non conformità

Il PCI non è, di per sé, una legge.

È uno standard creato dalle principali marche di carte, tra cui Visa, MasterCard, Discover, AMEX e JCB.

Generalmente le società di carte di credito non gestiscono direttamente le funzioni di elaborazione dei pagamenti, ma si affidano a processori di terze parti (come Chase Paymentech o Moneris Solutions) per gestire i servizi transazionali.

I commercianti che non rispettano PCI DSS e sono coinvolti in una violazione della carta di credito possono essere soggetti a multe, costi di sostituzione della carta o incorrere in costosi controlli legali.

Le società delle carte di credito, a loro discrezione, sono quelle che amministrano le ammende alla banca del commerciante (o istituto finanziario simile, noto come l'acquirente) e possono oscillare tra $ 5.000 – $ 100.000 al mese per violazioni o violazioni della conformità PCI.

La banca / acquirente a sua volta passa le multe a valle fino a quando non colpisce il commerciante.

Oltre alle multe che derivano dalle società delle carte di credito, i commercianti possono essere soggetti a ulteriori sanzioni dalla propria banca.

Banche e processori di pagamento possono interrompere del tutto la loro relazione con il commerciante, o semplicemente aumentare le spese di elaborazione per transazione e richiedere al commerciante di pagare per la sostituzione delle carte di credito che sono state compromesse nella spiaggia originaria.

Ciò che è forse anche peggiore è che la banca o il trasformatore può richiedere al commerciante di salire di livello in conformità se vengono violati, rendendo i requisiti di adesione ancora più onerosi sul mercantile che avanza.

Le sanzioni non sono discusse apertamente né ampiamente pubblicizzate, ma possono essere catastrofiche per un'azienda.

È importante avere familiarità con il / i contratto / i dell'account del commerciante della carta di credito, che dovrebbe delineare completamente la tua esposizione.

Che cosa implicano gli standard di sicurezza dei dati PCI

Lo standard PCI DSS (standard di sicurezza dei dati) è una lettura estremamente secca, simile a guardare la vernice sbucciarsi dolorosamente fuori dalle mura in un caldo pomeriggio estivo.

È un argomento abbastanza tecnico da trattare, che è riassunto nel prossimo capitolo.

La maggior parte degli argomenti trattati nel PCI DSS si occupa del mantenimento di una soluzione di archiviazione dati professionale.

Comprende informazioni sulla protezione di una rete di hosting interna, proteggendo adeguatamente i dati dei titolari di carta, implementando misure di controllo degli accessi per gli utenti forti, gestendo le politiche di sicurezza dei dati, eseguendo un programma di gestione delle vulnerabilità e eseguendo un controllo di sicurezza esterno.

Fornisce inoltre istruzioni dettagliate su come completare il proprio questionario di autovalutazione PCI.

In totale, se sei un commerciante puro (cioè solo online) che non ha un negozio fisico al dettaglio, ma accetti, trattieni o trasmetti i dati della carta di credito attraverso il tuo negozio di e-commerce self-hosted (tramite piattaforme open source come : OpenCart, ZenCart, Magento, ecc.) È necessario familiarizzare positivamente con PCI Security DSS e comprendere il livello di conformità richiesto.

Prendi in considerazione l'assunzione di una parte esterna qualificata che abbia esperienza nell'argomento PCI e possa fornire un'opinione obiettiva su come raggiungere in modo specifico la conformità per la tua organizzazione.

La conformità PCI è il suo intero universo di complessità e molte organizzazioni non hanno le risorse interne sufficientemente qualificate da scavare nelle sue viscere.

Raccomandiamo inoltre di ottenere un consulente per l'adozione indipendente insieme a un Qualified Security Assessor (o QSA). PSC è uno di questi partner QSA che può fornire indicazioni dettagliate su come ottenere la conformità e anche agire come revisore indipendente per testare la sicurezza interna.

Conformità PCI e-commerce su piattaforme Open Source

Il tema della conformità PCI è estremamente importante per qualsiasi rivenditore online che trasmette o memorizza i dati dei titolari di carta (ad esempio informazioni relative a carte di credito o carte di debito) nei propri server fisici on-site o farm di dati remoti.

I dati dei titolari di carta che vengono elaborati attraverso un negozio online e un sistema di punti vendita al dettaglio si combinano per formare un volume di transazione unico utilizzato per determinare il livello di conformità del commerciante di un'organizzazione.

SaaS è compatibile PCI pronto all'uso:

Tieni presente che se stai utilizzando una soluzione di e-commerce basata su cloud SaaS o cloud come BigCommerce, la tua conformità PCI viene notevolmente attenuata dal tuo provider.

Per coloro che non utilizzano una tecnologia di e-commerce basata su cloud o SaaS, le seguenti informazioni illustrano i passaggi da eseguire per garantire che la propria attività online sia conforme allo standard PCI.

Il tuo livello di conformità determina la quantità di lavoro che devi svolgere e i livelli sono tali:

  • I livelli 1 e 2 sono destinati ai commercianti che elaborano 1.000.000 di transazioni o più all'anno
  • Il livello 3 si applica a un'organizzazione che elabora oltre 20.000 transazioni di carte di credito o di debito all'anno
  • Il livello 4 si applica a un'organizzazione che elabora meno di 20.000 transazioni all'anno

Nell'interesse della brevità, poiché questo argomento è molto complesso, ci concentreremo su un'organizzazione di livello 3 o livello 4.

Autovalutazione per PCI Merchant Levels 3 e 4

Se sei un commerciante di livello 3 o di livello 4, PCI DSS ti offre la possibilità di eseguire una valutazione interna, in base alla quale un membro del personale qualificato o un funzionario aziendale della tua organizzazione può eseguire la propria verifica e sottoscrizione per produrre un formale Pacchetto di attestazione di conformità PCI DSS che indica tale.

I primi passi sono per determinare il livello di conformità richiesto e quindi scaricare e rivedere il questionario di autovalutazione appropriato (SAQ) disponibile sul sito Web PCI SSC.

Esistono diversi SAQ per ciascun livello di commerciante e anche diversi moduli di attestato di conformità DSS relativi a ciascun livello.

Prima di intraprendere questa strada e tentare di scaricare il tuo SAQ e iniziare, dovrai prima digerire un documento di sei pagine solo per capire quale modulo SAQ utilizzare in primo luogo.

E, se non sei completamente annoiato e confuso dopo averlo fatto, quasi certamente lo farai dopo aver fatto riferimento al lungo glossario PCI degli acronimi e del gergo tecnico relativi all'argomento.

A mio modesto parere (e anche secondo gli stessi PCI SSC), la cosa migliore e più facile da fare qui è contattare la banca mercantile e chiedere loro di identificare quali documenti specifici è necessario utilizzare.

Questo è un passaggio essenziale, in quanto spesso indicano deviazioni negli standard PCI DSS che potrebbero ritenere applicabili nel tuo caso.

I commercianti di livello 3 richiedono scansioni di vulnerabilità esterne trimestrali da un ASV (fornitore di scansioni approvato).

Un elenco di ASV può essere trovato qui e includere società come Cisco Systems Inc, Alert Logic, Inc e Backbone Security, Inc per citarne alcuni.

Il completamento di un questionario di autovalutazione per i commercianti di livello 3 e 4 è basato sul sistema d'onore, proprio come completare la dichiarazione dei redditi.

È una tentazione per le organizzazioni di indovinare il loro modo attraverso alcune risposte o addirittura di fabbricarle per evitare le risorse umane e fisiche necessarie per correggere le vulnerabilità.

Molti francamente non capiscono che alcuni degli articoli sul SAQ debbano cominciare.

Detto questo, non essere disonesto o travisare informazioni sul SAQ. Se hai una violazione della sicurezza dei dati e i tuoi documenti vengono esaminati attentamente, puoi essere multato pesantemente e, nel peggiore dei casi, il tuo account commerciante può essere sganciato dalla tua banca / istituto finanziario.

Raggiungere la conformità PCI: come iniziare

PCI DSS contiene le best practice di sicurezza dei dati generali di buon senso per qualsiasi team di amministrazione del sistema utilizzato per l'hosting di informazioni aziendali riservate in un ambiente di rete moderno.

Il problema nel raggiungere la conformità inizia quando un'organizzazione non ha esperienza di reparti IT / IS interni sufficienti e può sfortunatamente scoprire che il proprio ambiente di hosting interno è insicuro e vulnerabile allo spionaggio interno da parte del proprio personale o è completamente esposto a intrusioni esterne.

Tutte le organizzazioni che mirano a ottenere la conformità PCI iniziano nello stesso posto.

Ci sono tre passaggi nel percorso per aderire allo standard PCI DSS e diventare conformi:

  • Innanzitutto, valuta – Esegui il tuo audit per identificare i dati dei titolari di carta di cui sei responsabile, fai un inventario delle risorse IT e dei processi aziendali per l'elaborazione delle carte di pagamento e analizzale per vulnerabilità che potrebbero esporre i dati sensibili dei titolari di carta.
  • Quindi, Correzione – Corregge le vulnerabilità rilevate nella sequenza di priorità. Preferibilmente allontanati dalla memorizzazione dei dati di titolari di carta, a meno che tu non sia assolutamente necessario. Molte organizzazioni archiviano i dati dei titolari di carta all'interno delle proprie piattaforme di e-commerce nazionali dopo aver sottoscritto un ordine di check-out unico, senza l'intenzione di utilizzare nuovamente le informazioni. In questo caso, perché non tenerlo per niente? Solo un commerciante che cerca di impostare fatturazioni ricorrenti potrebbe effettivamente aver bisogno di conservare i dati dei titolari di carta e abbiamo spesso riscontrato che i commercianti di e-commerce B2C in genere non devono supportare i profili di fatturazione ricorrenti.
    • Ovunque e ogni volta che i dati dei titolari di carta possono essere archiviati da un ente esterno qualificato invece che dalla propria organizzazione è l'ideale, perché nulla aiuterà a raggiungere la conformità PCI immediata più rapidamente di quanto non stia memorizzando o trasmettendo i dati dei titolari di carta.
  • Infine, Segnala – Compila e invia i record di convalida di riparazione richiesti (se applicabile) e invia rapporti di conformità ai marchi di banca e carta acquirente (ad esempio Visa, Mastercard, Amex, ecc.) Con i quali intrattieni rapporti commerciali.

Completamento del questionario di autovalutazione (SAQ).

Il SAQ è un documento relativamente breve (vale a dire di cinque o sei pagine) e può essere completato in un numero di ore da qualcuno qualificato all'interno della propria organizzazione.

Il lavoro che arriva fino a quel momento, però, entra in gioco quando si tenta di rispondere alle domande di SAQ in modo veritiero e completo, e in un modo che risulti effettivamente nel raggiungimento della conformità.

In tal modo, un'organizzazione incontrerà senza dubbio alcune importanti sfide tecniche.

Di seguito è riportato un breve schema di ciò che puoi aspettarti in base alla mia esperienza personale che sta cercando la conformità per i clienti.

1. Sfide tecniche per soddisfare il questionario SAQ.

Anche se i dati della carta di credito passano attraverso la tua piattaforma di e-commerce self-hosted (cioè non SaaS), sei ancora al corrente per garantire che tutti i server correlati che controlli (che si tratti del server di database, del sistema PoS, del terminale di elaborazione della carta di credito, dell'utilità) server o server di applicazioni Internet) sono sufficientemente sicuri e conformi.

Ogni server che i dati dei titolari di carta vengono memorizzati all'interno o trasmessi attraverso viene definito un CDE (ambiente di dati dei titolari di carta) e richiede:

  • Software Tripwire con un profilo di escalation della notifica per avvisare gli amministratori che qualcuno potrebbe aver ottenuto l'accesso non autorizzato al server e / o manomesso con i file / le autorizzazioni sul server. Un tripwire è un software che rileva la presenza di un cambio di codice o modifica del profilo della struttura file su un server. Un profilo di escalation della notifica è una serie di messaggi e-mail o SMS automatizzati. inviato al personale dei sistemi principali nel caso in cui venga rilevata un'intrusione o si sia verificata una modifica imprevista del profilo della struttura del file.
  • Software di scansione antivirus installato e funzionante quotidianamente.
  • Il suo sistema operativo deve essere aggiornato con le ultime patch di sicurezza.
  • La stanza di contenimento o il rack del server (ovvero l'ambiente fisico contenente i sistemi di computer che eseguono server di commercio) devono essere tenuti in lock-and-key solo con un accesso amministrativo autorizzato limitato.
  • L'accesso alla / dalla stanza da parte del personale amministrativo (compresa la data / l'ora e lo scopo dell'accesso) deve essere registrato. Questi registri devono essere archiviati e migrati dai server primari e archiviati in modo sicuro altrove, in modo che i revisori possano accedervi facilmente se richiesto dalla banca o dalla società emittente della carta di credito.
  • Tutti i dati di titolari di carta conservati per l'archiviazione locale devono essere eseguiti in modo tale da utilizzare ciò a cui PCI DSS fa riferimento come crittografia avanzata (consultare il Glossario dei termini PCI SSC per ulteriori informazioni). La crittografia protegge i dati da essere letti e utilizzati facilmente dagli aggressori se vengono rubati durante un evento di violazione.
  • La solida architettura di crittografia sottostante deve essere completamente documentata e mantenuta aggiornata.
  • Il personale con accesso remoto (o accesso amministrativo non console) all'ambiente server deve connettersi solo tramite autenticazione a più fattori.
  • I test di penetrazione esterni devono essere eseguiti ogni sei mesi per garantire la sicurezza dell'ambiente.

2. Manutenzione continua: attenuazione degli exploit di sicurezza dei dati comuni.

I server fisici devono essere continuamente aggiornati sulle vulnerabilità di sicurezza appena scoperte.

Prendi in considerazione vari exploit di sicurezza recentemente scoperti come HEARTBLEED, POODLE e Logjam.

Suggerimento

TLS (transport layer security) – a volte indicato come SSL – è il protocollo di crittografia sottostante per la trasmissione sicura dei dati su Internet. È la "S" in HTTPS.

La tua applicazione web o piattaforma di e-commerce che sta elaborando carte di credito o di debito deve anche essere protetta contro exploit di codice lato client (cioè browser web) come XSS e SQL Injection Attacks, solo per citarne alcuni.

Scomposizione PCI: tempo e costi per raggiungere la conformità

In media, il nostro team di amministrazione di sistemi esperti impiegherà dai tre ai quattro giorni lavorativi a proteggere un singolo server e a preparare la documentazione appropriata per un commerciante di livello 3 o di livello 4.

I costi per farlo quando calcoliamo il nostro tempo e le risorse di personale del commerciante sono in media di circa $ 14.650 USD.

I commercianti che tentano di raggiungere la conformità PCI da soli, tuttavia, senza il supporto di un partner esterno e che sono già esperti nell'affrontare gli argomenti relativi alla sicurezza dei dati, possono aspettarsi di impiegare 3-4 settimane per svolgere le seguenti attività:

  • Ricerca degli standard PCI Data Security (DSS)
  • Determinare quale livello di conformità e quale PCI SAQ è richiesto
  • Protezione dei loro server fisici (spesso l'aspetto più grande e costoso del progetto)
  • Esaminando plug-in o componenti software di terze parti sui server che passano i dati dei titolari di carta e assicurando che anch'essi siano conformi PCI e in grado di produrre documentazione esterna che provi tale
  • Completamento del questionario SAQ PCI e dell'attestazione di conformità (ROC)

Per le imprese complesse che coinvolgono più di un centro dati in loco e in cui un commerciante sta acquisendo e conservando i dati dei titolari di carta, budget almeno sei settimane nel piano del progetto e costi stimati correlati tra $ 48.625 e $ 64.900 USD per raggiungere la conformità.

La stima di cui sopra condiziona un po 'di tempo per il personale multiplo all'interno della vostra organizzazione che di solito coinvolge un gruppo multidisciplinare di:

  • Analisti aziendali.
  • Amministratori di sistema
  • Sviluppatori di piattaforme di e-commerce.
  • Capi progetto.
  • Squadre legali
  • Personale per la protezione delle risorse.

Tiene inoltre conto di un budget per le spese di consulente esterno / revisore dei conti e la possibilità di assumere un Qualified Security Assessor di terze parti.

Si noti che la nostra stima non tiene conto di eventuali costi aggiuntivi relativi all'acquisto di nuovi rack di server, all'aggiornamento di sistemi informatici, all'aggiunta di nuove licenze software e all'installazione di sistemi di controllo dell'accesso (come i sistemi di carte di identità dello staff) o altre spese fisiche che potrebbero essere richieste per raggiungere conformità.

In che modo la tua piattaforma di e-commerce influisce sulla tua conformità PCI

Puoi acquisire il software di e-commerce in diversi modi:

  • Acquisto di software commerciale da eseguire sul tuo hardware on-premise
  • Utilizzo di software open source sull'hardware on-premise (l'approccio Do-It-Yourself)
  • Registrazione per software ospitato fornito come servizio (SaaS)

Ogni approccio raggiunge un diverso equilibrio tra costi, benefici e rischi PCI e e-workload. La tabella riassume i punti salienti e le sezioni seguenti descrivono ciascuna opzione in modo più dettagliato.

N. 1: Software commerciale: l'opzione costosa

Ciò richiede l'acquisto e la manutenzione del proprio hardware, oltre a uno shell out per una licenza software commerciale e un supporto annuale.

Il software di e-commerce potrebbe essere compatibile con PCI pronto per l'uso, oppure potresti avere molto lavoro per arrivarci. Tuttavia, qualsiasi supporto aggiuntivo richiesto dal fornitore per PCI probabilmente avrà un costo aggiuntivo.

Questa opzione potrebbe funzionare per te, se la tua azienda sceglie di:

  • Acquista e mantieni l'hardware in sede
  • Paga una licenza e un supporto software on-premise
  • Mantieni le competenze interne per installare, personalizzare e gestire una piattaforma di e-commerce
  • Mantieni qualcuno in servizio 24 ore su 24, 7 giorni su 7, per risolvere qualsiasi problema e riportare rapidamente la piattaforma in caso di guasto

Chiaramente, gli svantaggi qui sono gli alti costi dell'hardware, del software e del supporto, oltre all'imprevisto onere della gestione di alcuni dei vostri standard PCI.

Se ciò non sembra allettante, salta questo approccio e continua a leggere.

# 2: On-Premise, software Open Source: costo inferiore, rischio più elevato

Questa opzione è molto simile alla scrittura del tuo codice.

Paghi ancora il tuo hardware, ma eviti di pagare alcuna tariffa di licenza del software. Sembra un affare, giusto? Non così in fretta.

Devi assemblare, compilare, installare e modificare il tuo software. E, per quanto riguarda il PCI, questo può trasformarsi in una buca per i soldi. L'open source è una scatola nera dove nessuno sa veramente cosa sta succedendo.

"Il problema con l'open source è che non stai acquistando da nessun fornitore", afferma Beckett. "Quindi non c'è nessuno a cui chiedere aiuto. Potresti non ricevere alcun supporto o nessun numero di telefono che puoi chiamare. O forse il revisore PCI potrebbe non gradire qualcosa sulla piattaforma. "

In tal caso, sei bloccato.

Potrebbe essere necessario documentare ogni fase del processo con dettagli dolorosi. Ciò significa organizzare riunioni, analizzare codice, disegnare diagrammi di flusso, scrivere rapporti … trascorrere settimane di sforzi che possono facilmente superare qualsiasi risparmio ottenuto dall'open source.

L'opzione fai-da-te potrebbe funzionare, se la tua azienda può permettersi di:

  • Acquista e mantieni l'hardware in sede
  • Mantieni le competenze interne per collegare, modificare e gestire il software di e-commerce
  • Dedica tempo al personale per tenere molte riunioni e creare documenti relativi a PCI

L'utilizzo di software open source significa che sei responsabile per il 100% della tua conformità PCI – per non parlare del tempo di attività del tuo negozio.

Se non vuoi affrontare quei carichi, salta questo approccio e continua a leggere.

3: Software-as-a-Service in hosting (SaaS): basso costo, basso rischio

Il software in esecuzione come servizio è accessibile attraverso il web, eseguito su hardware gestito in un centro dati sicuro dal fornitore di servizi.

Se si desidera risparmiare denaro e non è possibile risparmiare molto personale per sviluppare policy PCI e scrivere report, è consigliabile utilizzare un servizio di e-commerce ospitato come BigCommerce.

In questo modo, puoi dimenticarti di giocherellare con l'hardware e il software di e-commerce, pagare un canone mensile per coprire la tua piattaforma di e-commerce e rimanere conforme allo standard PCI con un minimo di tempo e costi.

Un'importante considerazione nella scelta di questa opzione, tuttavia, è che ti verrà comunque richiesto di compilare un questionario SAQ (questionario di autovalutazione) come commerciante di livello 2-4 e un ROC (ossia un rapporto sulla conformità, anche sinonimo di Attestato di conformità). se sei un commerciante di livello 1.

Pertanto, il lavoro di documentazione e reporting su una piattaforma di e-commerce SaaS di qualità indipendentemente dal livello di conformità è molto meno coinvolto in termini di costi e rischi rispetto alle altre due opzioni presentate.

L'opzione SaaS funzionerà per te se la tua azienda:

  • Vuole risparmiare denaro su hardware, licenze software e supporto
  • Non ha persone a giocherellare con hardware e software
  • Preferisce pagare un canone mensile per coprire la tua piattaforma di e-commerce
  • Vuole rimanere conforme allo standard PCI con il minimo sforzo

Con costi inferiori, meno rischi e meno problemi con PCI, questa opzione è il percorso scelto per molti negozi online.

Ecco come sono suddivise alcune piattaforme di e-commerce:

Lista di controllo della conformità PCI

Ancora una volta, questo è applicabile al tuo team IT solo se scegli di non utilizzare una soluzione SaaS.

Se si utilizza una piattaforma di e-commerce open source o personalizzata, il proprio team IT dovrà esaminare annualmente la seguente lista di controllo.

Abbiamo rotto l'elenco di controllo in basso in base ai requisiti PCI.

Ricorda, ci sono 12 requisiti di conformità PCI.

1. Salvaguardare i dati dei titolari di carta implementando e mantenendo un firewall.

Mantenimento del requisito per 1:

  1. Posizionando i firewall per consentire solo il traffico necessario per accedere al CDE
  2. Avere una regola "nega tutto" per tutto il traffico in entrata e in uscita
  3. Filtro dinamico dei pacchetti
  4. Creazione di una zona sicura per l'archiviazione di tutti i dati delle carte
  5. Assicurare che tutte le connessioni in uscita dal tuo CDE siano esplicitamente autorizzate
  6. Installazione di un firewall tra le reti wireless e il CDE
  7. Documentare tutte le politiche e le procedure del firewall, inclusa la giustificazione commerciale per ogni porta o protocollo consentito attraverso i firewall

2. Creare password personalizzate e altre misure di sicurezza uniche anziché utilizzare l'impostazione predefinita dai sistemi forniti dal fornitore.

Mantenimento del requisito per 2:

  1. Mantenimento di un inventario di tutto l'hardware e il software utilizzato nel CDE
  2. Assegnazione di un amministratore di sistema responsabile della configurazione dei componenti di sistema
  3. Implementazione di una guida di configurazione e protezione del sistema che copre tutti i componenti del CDE
  4. Disabilitazione o disinstallazione di servizi, programmi, account, driver, script, funzionalità, sistemi e server Web non necessari e documentazione di quali sono consentiti
  5. Modifica dei nomi utente e delle password predefiniti forniti dal fornitore
  6. Documentazione delle politiche di sicurezza e delle procedure operative per la gestione dei valori predefiniti del fornitore e altre impostazioni di sicurezza
  7. Utilizzare tecnologie come VPN per la gestione basata sul Web e garantire che tutto il traffico sia crittografato seguendo gli standard correnti
  8. Abilitazione di una sola funzione primaria per server

3. Salvaguardare i dati memorizzati del titolare della carta.

Mantenimento del requisito per 3:

  1. Documentare una politica di conservazione dei dati
  2. Avere dipendenti riconoscere la loro formazione e la comprensione della politica
  3. Eliminating storage of sensitive authentication data after card authorization
  4. Masking the primary account number on customer receipts
  5. Understanding guidelines for handling and storing cardholder data
  6. Making sure primary account number storage is accessible by as few employees as possible, including limiting access to cryptographic keys, removable media, or hardcopies of data

4. Encrypt cardholder data that is transmitted across open, public networks.

Maintaining requirement for 4:

  1. Reviewing all locations, systems, and devices where cardholder data is transmitted to ensure you’re using appropriate encryption to safeguard data over open, public networks
  2. Verifying that encryption keys/certificates are valid and trusted
  3. Continually checking the latest encryption vulnerabilities and updating as needed
  4. Having a policy to ensure you don’t send unprotected cardholder data via end-user messaging technologies
  5. Checking with vendors to ensure supplied POS devices are appropriately encrypting data
  6. Reviewing and implementing best practices, policies, and procedures for sending and receiving payment card data
  7. Ensuring TLS is enabled whenever cardholder data is transmitted or received through web- based services
  8. Prohibiting the use of WEP, an unsecure wireless encryption standard

5. Anti-virus software needs to implemented and actively updated.

Maintaining requirement for 5:

  1. Deploying anti-virus programs on commonly affected systems
  2. Setting anti-virus to scan automatically to detect and remove malicious software
  3. Maintaining audit logs for review
  4. Ensuring the anti-virus system is updated automatically
  5. Setting up administrative access to ensure anti-virus can’t be disabled or altered by users
  6. Documenting malware procedures and reviewing with necessary staff
  7. Examining system configurations and periodically evaluating malware threats to your system

6. Create and sustain secure systems and applications.

Maintaining requirement for 6:

  1. Having a change management process
  2. Having an update server
  3. Having a process in place to keep up-to-date with the latest identified security vulnerabilities and their threat level
  4. Installing vendor-supplied security patches on all system components
  5. Ensuring all security updates are installed within one month of release
  6. Setting up a manual or automatic schedule to install the latest security patches for all system Components

7. Keep cardholder access limited by need-to-know.

Maintaining requirement for 7:

  1. Implementing access controls on any systems where cardholder data is stored and handled
  2. Having a written policy that details access to cardholder data based on defined job roles and privilege levels
  3. Training employees on their specific access level
  4. Configuring access controls to only allow authorized parties and denying all others without prior approval or access

8. Users with digital access to cardholder data need unique identifiers.

Maintaining requirement for 8:

  1. Monitoring all remote access accounts used by vendors, business partners, IT support personnel, etc. when the account is in use
  2. Disabling all remote access accounts when not in use
  3. Enabling accounts used for remote access only when they are needed
  4. Implementing a multi-factor authentication solution for all remote access sessions

9. Physical access to cardholder data needs to be restricted.

Maintaining requirement for 9:

  1. Restricting access to any publicly accessible network jacks in the business
  2. Keeping physical media secure and maintaining strict control over any media being moved within the building and outside of it
  3. Keeping media in a secure area with limited access and requiring management approval before the media is moved from its secure location
  4. Using a secure courier when sending media through the mail so the location of the media can be tracked
  5. Destroying media in a way that it cannot be reconstructed
  6. Maintaining a list of all devices used for processing and training all employees to inspect devices for evidence of tampering
  7. Having training processes for verifying the identity of outside vendors wanting access to devices and processes for reporting suspicious behavior around devices

10. Network resources and cardholder data access needs to be logged and reported.

Maintaining requirement for 10:

  1. Having audit logs that track every action taken by someone with administrative privileges, failed log in attempts, and changes to accounts
  2. The ability to identify a user, the date and time of the event, the type of event, whether the event was a success or failure, where the event originated from, and the name of the impacted data or system component
  3. Having processes and procedures to review logs and security events daily, as well as review system components defined by your risk management strategy
  4. Having a process to respond to anomalies or exceptions in logs
  5. Keeping all audit log records for at least one year and keeping logs for the most recent three months readily available for analysis

11. Run frequent security systems and processes tests.

Maintaining requirement for 11:

  1. Running quarterly internal vulnerability scans using a qualified internal resource or external third-party
  2. Running quarterly external vulnerability scans using a PCI-approved scanning vendor (ASV)
  3. Using a qualified resource to run internal and external scans after any major change to your network
  4. Configuring the change-detection tools to alert you to unauthorized modification of critical content files, system files, or configuration files, and to configure the tools to perform critical file comparisons at least once a week
  5. Having a process to respond to alerts generated by the change-detection tool
  6. Running a quarterly scan on wireless access points, and developing a plan to respond to the detection of unauthorized wireless access points
  7. Performing penetration tests to confirm segmentation is operational and isolates systems in the CDE from all other systems

12. Address information security throughout your business by creating a policy.

Maintaining requirement for 12:

  1. Developing written compliance and security policies
  2. Ensuring every employee working in the CDE completes annual security awareness training
  3. Creating a company policy documenting all critical devices and services within the CDE, including laptops, tablets, remote access, wireless access, and email/Internet usage
  4. Developing a comprehensive description of each employee’s role in the CDE, and documenting acceptable uses and storage of all technologies
  5. Creating an incident response plan in the event cardholder data is compromised
  6. Creating and updating a current list of third-party service providers
  7. Annually documenting a policy for engaging with third-party providers, obtaining a written agreement acknowledging responsibility for the cardholder data they possess, and having a  process for engaging new providers

We’ve Successfully Achieved PCI Compliance: What’s Next?

As if achieving PCI compliance wasn’t complex enough on its own, maintaining compliance year-over-year and keeping up with ever-evolving nuances to PCS data security standards (DSS) has proven itself a perpetual expense and burden to any organization.

The latest PCI DSS standard (version 3.2) released in April of 2016, for example, defines a number of changes to previously accepted rules and regulations on a variety of PCI subjects, touching upon both documentation requirements and technical adjustments to the physical hosting environment (CDE) itself.

This means as a self-hosted merchant you’ll need to concern yourself not only with getting all these requirements perfected the first time around, but you’ll also be expected to manage lists of future change requests and down-the-road migration plans that will keep your technical teams very busy ad infinitum (i.e. forever).

Let’s face it, they often have more than enough to do as it is.

In short, maintaining compliance is an ongoing process, involving all of the above as well as quarterly vulnerability scans and completing a new SAQ and Attestation of Compliance each year.

If your organization is presently at PCI compliance Level 3 and your credit card transaction volume is trending upwards at a rate of 20% or more annually, consider hiring a QSA and having a formal external security audit done every year, even if your bank doesn’t require it.

In this manner, your team won’t be flanked by a last minute crunch to get it done which will result in overstatements, omissions and increased third party auditing costs.

You’ll also proactively position your organization for an easy transition upward to a higher compliance level at a later time.

Previous Post

Revisione del libro: Creazione di siti Web Vinci dal dott. Karl Blanks e Ben Jesson

 Next Post

9 esempi di marketing VR che vorresti rubare per il 2019
Next Post

9 esempi di marketing VR che vorresti rubare per il 2019

Ultimi articoli

SGE, contenuti incentrati sulle persone e altro ancora!

by megamarketing
Novembre 9, 2023
0

Rivoluzionare la risata: Dry Bar Unscripted e il genio comico di Zach Atherton

by megamarketing
Novembre 9, 2023
0

News, guide, info su marketing, copywriting, psicologia applicata, business

  • Centro Privacy
  • Informativa sulla privacy
Menu
  • Centro Privacy
  • Informativa sulla privacy

Made with ❤ by megamarketing.it

Utilizziamo i cookie per offrirti la migliore esperienza online. Cliccando su Accetto, accetti la nostra politica sui cookie.

Accetto My Preferences Rifiuto
Centro privacy IMPOSTAZIONI DELLA PRIVACY Ulteriori info sulla Cookie Policy