اگر شما شده است توسط بانک یا مؤسسه مالی تماس تازگی تنها به کشف که اطلاعات کارت اعتباری شما به خطر افتاده است، پس شما سرخوردگی در حال رشد بسیاری از مصرف کنندگان امروز با آن مواجه حس کرده ام.

در واقع، وضعیت با توجه به تقلب در کارت اعتباری فقط بدتر شدن.

• اطلاعات کارت از 5 میلیون مشتری Saks و خداوند و تیلور به سرقت رفته در 2018
• 56 میلیون شماره کارت از خانه انبار در سال 2014
• 40 میلیون شماره کارت از Target در سال 2013

برخورد با یک مصالحه بدون هیچ زحمتی وقت گیر از دیدگاه مصرف کننده است.

این امر به ویژه به دلیل بسیاری از ما حفظ تعداد زیادی از (ظاهرا امن) پروفایل شخصی آنلاین است که به ما استطاعت یک راه مناسب برای مقابله با تکرار پرداخت ماهانه یا سالانه.

این هدف PCI DSS است - و هر خرده مورد نیاز است برای مطابقت داشته باشد.

بسته به نوع تکنولوژی تجارت الکترونیک و باطن یک خرده استفاده می کند، پیروی از PCI می تواند یک چک به راحتی بر روی یک لیست طولانی از همه چیز خرده فروشان نیاز به انجام برای اطمینان از مشتریان خود را به معامله ایمن.

یا می توان آن را درد بزرگ - هزینه و زمان کافی، منابع و پول است.

در این راهنما، شما خواهید آموخت که:

• چه PCI DSS است.
• چگونه برای رسیدن به آن را برای کسب و کار خود را.
• چگونه باطن تجارت الکترونیک خود را نقش زیادی در تلاش مورد نیاز خود را ایفا می کند.

به PCI DSS چیست؟

PCI DSS استانداردهای همه کسب و کار است که از طریق کارت اعتباری و ستد باید با رعایت می شود.

نوشته اصلی توسط ویزا، مسترکارد، کشف، و American Express در سال 2004 ایجاد شده، PCI DSS است در طول سال تکامل یافته برای اطمینان حاصل شود که فروشندگان آنلاین داریم سیستم ها و فرآیندهای در محل برای جلوگیری نقض داده.

جدید ترین نسخه PCI DSS 3.2 است. نسخه 3.2 در آوریل 2016 معرفی شد و رسما نسخه 3.1 در تاریخ 1 فوریه سال 2018 استاندارد همه شرکت ها باید به دنبال جایگزین شده است.

شورای استانداردهای امنیت PCI (PCI SSC) یک سری از استانداردهای امنیتی خاص داده (DSS) که مربوط به تمام تجار هستند، صرف نظر از درآمد و کارت اعتباری حجم معامله تعریف می کند.

SSC تعریف و مدیریت استانداردها، در حالی که به پیروی از آنها توسط شرکت های کارت اعتباری خود را به اجرا گذاشته.

باز هم، این استانداردها را به تمام سازمان هایی که با اطلاعات دارنده کارت مقابله اعمال می شود.

اطلاعات دارنده کارت به طور خاص اشاره به شماره کارت اعتباری، همراه با نام دارنده کارت، تاریخ انقضا و کد امنیتی (CSC).

در مجموع، PCI DSS به تشریح 12 الزامات مورد نیاز برای انطباق.

دوازده مورد نیاز ممکن است زیاد به نظر نمی رسد. در واقع، یک اسکن سریع برای اسناد پیروی از PCI آنلاین به شما منجر به این باور است که پیروی از PCI آسان است.

در واقع، حفظ پیروی از PCI بسیار پیچیده - به ویژه برای شرکت های بزرگ.

چرا کارت اعتباری امنیت اغلب موضوع فراموش شده

جاسپر استودیو ارائه دهنده خدمات تجارت الکترونیک و توسعه به omnichannel خرده فروشان کوچک و بزرگ.

ما شاهد اطلاعات دارنده کارت ذخیره شده در فایل های متنی ساده و بدون هر گونه رمزگذاری و یا ابهام اساسی ساکن در زیر میز مدیر امور مالی در یک کامپیوتر قدمت گرد و خاکی به اواخر دهه 1990 ام - همه تازه از دروازه پرداخت ناامن در یک پلت فرم تجارت الکترونیک وطنی دستگیر شده است.

• می تواند شماره کارت اعتباری خود را در که کامپیوتر گرد و خاکی قدیمی ذخیره شده است؟
• مال شما بود؟

این نوع از عمل سهل انگاری ساده است.

اما، خوشبختانه، این است که یک عمل انجام شده توسط بسیاری از سازمان ها نیست، و هنگامی که انجام این کار، آن را به طور معمول با جهل غیر عمدی در مورد این موضوع ایجاد می شود.

اما، این نوع از داستان های ترسناک هنوز که هنوز است ادامه داشته باشد.

این فقط سازمان های کوچکتر است که می تواند استانداردهای اسفناک برای امنیت داده ها ندارد.

اگر این می تواند به برخی از بزرگترین خرده فروشان در جهان اتفاق می افتد، آن را قطعا می تواند به کوچکتر نیز حادث شود.

آیا من نیاز به اطمینان از انطباق PCI برای سازمان من؟

اگر شما کار خود را در فرض یا راه حل تجارت ابر خود میزبانی، پس از آن پاسخ کوتاه این است، بله.

انطباق تجارت الکترونیک PCI مهم است که شما یک آجر و ملات محل واحد خرده فروشی و یا شما یک سازمان بزرگ فروش کالا در سراسر فروشگاه های متعدد و سایت های تجارت الکترونیک هستند، در هر جایی که حساب تاجر کارت اعتباری خود را متصل شده است و یکپارچه نیاز به توجه.

تمام حجم تراکنش کارت اعتباری فرآیندهای سازمان خود را در سراسر کانال های متعدد جمع (یعنی در فروشگاه های خرده فروشی نقطه از فروش پایانه ها و دروازه پرداخت آنلاین) و خلاصه تا برای تعیین سطح پیروی از PCI مناسب است.

خوشبختانه، اگر شما به کار خود یک فروشگاه تجارت الکترونیک بر SaaS و هیچ دسترسی به هر گونه اطلاعات اعتباری دارنده کارت (که در مورد برای سیستم عامل های تجارت ترین SaaS به مدرن) را نداشته باشند، نیاز خود را برای پیروی از PCI است تا حد زیادی کاهش داد.

بلند کردن اجسام سنگین ماهرانه و زیبا و در دست کارشناسان فن آوری کار برای شرکت SaaS، که به نظر حرفه ای ما است دقیقا همان که در آن تعلق واگذار کرده است.

تجارت الکترونیک PCI پذیرش مورد نیاز

اگر شما میزبان و مدیریت پلت فرم تجارت الکترونیک خود را (به عنوان مثال یک راه حل سفارشی)، شما نیاز به اطمینان از انطباق PCI برای سازمان شما.

گام اول برای تعیین سطح انطباق مورد نیاز است.

همه بازرگانان را در یکی از چهار سطح بر اساس حجم معاملات کارت اعتباری یا بدهکاری در طی یک دوره 12 ماهه قرار می گیرند.

سطح 1 سخت ترین در شرایط مورد نیاز DSS، که در آن سطح 4 حداقل سخت است:

تقریبا تمام کسب و کارهای کوچک و متوسط ​​(SMB ها) طبقه بندی به عنوان کاهش سطح 3 یا 4 سطح تجاری، با این حال، این به آن ضرورت حفظ انطباق با سعی و کوشش همان سازمان های بزرگ مانع است.

در واقع، آن یک تصور غلط مواجه می شوند پر هزینه در میان موسسات کوچک و متوسط ​​که بر این باورند که آنها لازم نیست که در مورد انطباق در تمام نگرانی چرا که آنها یک حجم به اندازه کافی قابل توجهی از خرید و فروش آنلاین یا در فروشگاه انجام نیست.

جریمه برای عدم رعایت

PCI است، نه در خود، یک قانون است.

این یک استاندارد است که توسط مارک های کارت های بزرگ از جمله ویزا، مسترکارد، کشف، AMEX و JCB ایجاد شد است.

شرکت های کارت اعتباری به طور معمول انجام به طور مستقیم نمی رسیدگی پردازش پرداخت خود توابع، اما تکیه بر پردازنده های شخص ثالث (مانند چیس Paymentech یا Moneris راه حل) که مسئولیت رسیدگی به خدمات تراکنشی.

100،000 $ در هر ماه برای نقض پیروی از PCI و یا نقض - ​​شرکت های کارت اعتباری، در اختیار خود، آنهایی که اداره جریمه به بانک های تجاری (و یا موسسه مالی مشابه، شناخته شده به عنوان واحد تحصیلکننده) و می تواند بین $ 5000 محدوده می باشد.

بانک / تحصیل در نوبه خود عبور جریمه پایین دست تا سرانجام بازدید بازرگان.

در بالای جریمه که از شرکت های کارت اعتباری سرچشمه، تجار ممکن است موضوع به مجازات های اضافی از بانک خود نیز هست.

چه خبر مسلما حتی بدتر این است که بانک یا پردازنده ممکن است تجاری نیاز به حرکت کردن یک سطح در تطابق اگر آنها را نقض می شود، ساخت مورد نیاز پایبندی تمام تر دشوار را بر بازرگان حرکت رو به جلو.

این جریمه ها آشکارا مورد بحث است و نه بوده ولی می توان آنها را فاجعه بار به کسب و کار.

این مهم است که با کارت اعتباری منظور شده برای حساب های تجاری (بازدید کنندگان)، که باید به طور کامل طرح قرار گرفتن در معرض خود را آشنا.

چه استانداردهای امنیت اطلاعات PCI دخالت

این یک موضوع بسیار فنی برای پوشش به عنوان خوب، که در فصل بعد خلاصه است.

بسیاری از موضوعات در این معامله PCI DSS با حفظ یک راه حل ذخیره سازی داده ها حرفه ای یافت می شود.

این شامل اطلاعات در تامین امنیت یک شبکه میزبانی داخلی، به اندازه کافی محافظت از اطلاعات دارنده کارت، اجرای اقدامات کنترل دسترسی کاربر قوی، مدیریت سیاست های امنیت داده ها، اجرای یک برنامه مدیریت آسیب پذیری و انجام یک ممیزی امنیتی خارجی.

همچنین دستورالعمل های دقیق در مورد چگونگی تکمیل پرسشنامه خود ارزیابی PCI خود را فراهم می کند.

در کل، اگر شما یک بازی خالص (یعنی اینترنتی تنها) تاجر هستید که یک فروشگاه خرده فروشی فیزیکی ندارد اما به شما رجوع، حفظ و یا انتقال اطلاعات کارت اعتباری از طریق خود فروشگاه تجارت الکترونیک خود میزبانی خود را (از طریق سیستم عامل های منبع باز مانند : OpenCart، از ZenCart، داریم، و غیره) شما باید مثبت خود را آشنا با امنیت DSS PCI و درک سطح انطباق مورد نیاز خود را.

نظر استخدام یک حزب خارجی واجد شرایط که به خوبی در موضوع PCI آشنا و می توانید یک نظر هدف در مورد چگونه به طور خاص رسیدن به انطباق برای سازمان خود.

ما همچنین به دست آوردن یک مشاور پذیرش مستقل همراه با امنیت ارزیاب واجد شرایط (یا QSA) توصیه می شود. PSC یکی از این شریک QSA که می تواند راهنمایی دقیق به نحوه به دست آوردن انطباق فراهم کند و همچنین به عنوان حسابرس مستقل برای تست امنیت داخلی خود را عمل می کنند.

تجارت الکترونیک PCI پذیرش در گسترش سیستم عامل منبع

موضوع پیروی از PCI فوق العاده به هر خرده فروش آنلاین است که انتقال و یا فروشگاه های دارنده کارت داده ها (به عنوان مثال کارت اعتباری و یا اطلاعات کارت نقدی) در خود، فیزیکی در محل سرور و یا مزارع داده از راه دور است.

اطلاعات دارنده کارت است که از طریق یک فروشگاه و خرده فروشی نقطه از فروش سیستم آنلاین پردازش ترکیب به شکل یک حجم معامله تنها مورد استفاده برای تعیین سطح انطباق تاجر سازمان است.

برای کسانی که با استفاده از یک SaaS به و یا فن آوری تجارت الکترونیک مبتنی بر ابر نیست، اطلاعات زیر به تشریح مراحل شما باید به منظور به اطمینان حاصل شود که کسب و کار آنلاین خود را سازگار با PCI است.

سطح انطباق شما تعیین مقدار کار شما نیاز به انجام است، و سطوح به عنوان چنین می باشد:

• سطح 1 و 2 برای پردازش 1000000 معاملات یا بیشتر در هر سال تاجران هستند
• سطح 3 شامل یک سازمان است که پردازش بیشتر از 20000 کارت اعتباری یا بدهکاری معاملات در هر سال
• سطح 4 شامل یک سازمان است که پردازش کمتر از 20،000 معاملات در هر سال

در بهره از اختصار، به عنوان این موضوع بسیار پیچیده است، ما در سازمان سطح 3 یا 4 سطح تمرکز کنید.

ارزیابی خود برای سطح تاجر PCI 3 و 4

اگر شما یک تاجر سطح 3 یا سطح 4 هستند، PCI DSS شما فراهم می کند گزینه ای برای انجام یک ارزیابی داخلی، به موجب آن یکی از اعضای کارکنان واجد شرایط و یا افسر شرکت های بزرگ از سازمان شما می تواند حسابرسی خود و یا خود انجام و ثبت نام کردن برای تولید یک رسمی PCI DSS گواهی از بسته پذیرش نشان می دهد مانند.

اولین گام برای تعیین سطح انطباق مورد نیاز خود را و سپس دانلود و بررسی پرسشنامه خود ارزیابی مناسب (SAQ) بر روی PCI SSC وب سایت.

می SAQs مختلف برای هر سطح تجاری و مرتبط نیز متفاوت گواهی DSS از اشکال پذیرش برای هر سطح نیز وجود دارد.

قبل از اینکه شما سرمایه گذاری را در این مسیر و تلاش برای دانلود SAQ خود را و شروع، شما باید به اولین هضم یک سند شش صفحه فقط برای کشف کردن که فرم SAQ برای استفاده در وهله اول.

و اگر شما به طور کامل خسته و پس از انجام این کار اشتباه نیست، شما مطمئنا بعد از اشاره به واژه نامه PCI طولانی از کلمات اختصاری و اصطلاحات فنی مرتبط با موضوع باشد.

این یک گام ضروری است، به عنوان آنها اغلب به این نکته اشاره انحرافات در DSS PCI استاندارد آنها احساس ممکن است در مورد شما اعمال می شود.

سطح 3 تجار نیاز به سه ماهه اسکن آسیب پذیری خارجی که توسط یک ASV (فروشنده مورد تأیید اسکن).

لیستی از ASV را می توان یافت و شامل شرکت هایی مانند سیستم های سیسکو وارز، هشدار منطق، شرکت و امنیت ستون فقرات، شرکت به نام چند.

تکمیل پرسشنامه خود ارزیابی برای رسیدن به سطح 3 و سطح 4 تجار بر سیستم افتخار است، بسیار شبیه به تکمیل اظهارنامه مالیات بر درآمد خود را.

بسیاری از رک و پوست کنده برخی از موارد در SAQ برای شروع شود را درک کند.

گفته می شود، نمی تواند نادرست به غلط اطلاعات در SAQ. اگر شما یک نقض امنیتی داده ها و اسناد خود را تحت بررسی قرار گرفته است، شما می توانید شدت جریمه و در بدترین حالت، حساب های تجاری خود را (ها) را می توان توسط بانک / موسسه مالی خود را کاهش یافته است.

دستیابی به PCI پذیرش: آغاز به کار

به PCI DSS شامل چه در واقع مبتنی بر عقل سلیم امنیت داده ها به طور کلی بهترین شیوه برای هر تیم مدیریت سیستم است که به میزبانی اطلاعات حساس شرکت در یک محیط شبکه مدرن استفاده می شود.

مشکل در رسیدن به انطباق آغاز می شود که یک سازمان به اندازه کافی فناوری اطلاعات داخلی را تجربه نکرده اند / IS ادارات و متاسفانه می تواند کشف کنند که محیط میزبانی داخلی خود توسط کارکنان خود را به طور گسترده ناامن و مستعد ابتلا به هر دو جاسوسی داخلی است و یا آنها گسترده ای به نفوذ در خارج باز است.

هر سازمان با هدف دستیابی به پیروی از PCI در همان محل آغاز می شود.

سه مرحله در سفر به پیوستن به DSS PCI را و تبدیل شدن به سازگار وجود دارد:

• اول، ارزیابی - انجام حسابرسی خود را برای شناسایی اطلاعات دارنده کارت به شما مسئول هستند، را موجودی از دارایی های IT خود را و فرآیندهای کسب و کار برای پردازش کارت پرداخت و برای آسیب پذیری های است که می تواند اطلاعات دارنده کارت حساس در معرض تجزیه و تحلیل آنها.
• بعد، اصلاح - رفع آسیب پذیری شما را در دنباله اولویت را کشف کنید. در حالت ایده آل از ذخیره اطلاعات دارنده کارت در همه مگر اینکه شما مطلقا نیاز به حرکت به دور. بسیاری از سازمان ها ذخیره اطلاعات دارنده کارت در خود سیستم عامل تجارت الکترونیک وطنی خود را پس از گرفتن یک خاموش مهمان پرداخت سفارش با به هیچ وجه قصد استفاده از اطلاعات است. در این مورد، به همین دلیل نگه بر روی آن در همه؟ فقط یک تاجر به دنبال تنظیم صورتحساب دوره ای در محدوده در واقع ممکن است نیاز به حفظ اطلاعات دارنده کارت خود و ما اغلب متوجه شده ام که تجار B2C تجارت الکترونیک به طور معمول لازم نیست که به حمایت از پروفیل های حساب دوره ای.
  • هر کجا و هر زمان که اطلاعات دارنده کارت می تواند توسط یک بدن واجد شرایط خارجی به جای سازمان خود را ذخیره ایده آل است، زیرا هیچ چیز به سرعت تر از ذخیره و یا انتقال اطلاعات دارنده کارت در همه کمک خواهد کرد برسد پیروی از PCI فوری.
• در نهایت، گزارش - تهیه و تسلیم مورد نیاز سوابق اعتبار اصلاح (در صورت وجود)، و ارائه گزارش تطابق با به دست آوردن بانک و کارت مارک های (به عنوان مثال برای گرفتن ویزا، مسترکارد، AMEX، و غیره) که شما با آن انجام کسب و کار.

تکمیل پرسشنامه ارزیابی خود (SAQ).

SAQ یک سند نسبتا کوتاه (یعنی پنج یا شش صفحات طولانی) است و می تواند خود را در چند ساعت توسط کسی واجد شرایط در سازمان شما به پایان رسید.

این کار رسیدن به این نقطه، هر چند، به بازی می آید زمانی که تلاش برای پاسخ به سوالات SAQ صادقانه و به طور کامل، و به شیوه ای که در واقع در دستیابی به انطباق منجر خواهد شد.

در انجام این کار، یک سازمان بدون شک برخی از چالش های فنی قابل توجهی روبرو می شوند.

در زیر نمای کلی سریع از آنچه شما می توانید انتظار بر اساس تجربه خود من است که به دنبال انطباق برای مشتریان است.

1. چالش فنی به برآوردن SAQ.

حتی اگر اطلاعات کارت اعتباری از طریق خود میزبان (یعنی غیر SaaS) در پلت فرم تجارت الکترونیک خود را عبور می کند، شما هنوز هم در قلاب برای تضمین این که هر سرور مرتبط شما کنترل (می شود آن سرور شما پایگاه داده، سیستم های بوص، ترمینال پردازش کارت اعتباری، ابزار هستند سرور و یا نرم افزار سرور به اینترنت) به اندازه کافی امن و سازگار می باشد.

هر سرور که اطلاعات دارنده کارت در داخل ذخیره شده و یا انتقال از طریق (دارنده کارت محیط زیست داده) CDE نامیده می شود و نیاز به:

• نرم افزار Tripwire در با مشخصات اطلاع رسانی تشدید برای هشدار به مدیران که کسی ممکن است از دسترسی غیر مجاز به سرور به دست آورد و / یا دستکاری فایل ها / مجوز بر روی سرور. Tripwire در نرم افزار است که حضور یک تغییر کد و یا ساختار فایل تغییر مشخصات در سرور تشخیص است. مشخصات اطلاع رسانی تشدید یک سری از ایمیل و یا SMS پیام خودکار است. به سیستم های پرسنل کلیدی اعزام در صورتی که از نفوذ تشخیص داده و یا یک تغییر غیر منتظره به مشخصات ساختار فایل رخ داده است.
• نرم افزار اسکن ویروس نصب شده و در حال اجرا در روز است.
• سیستم عامل آن به تا به روز با آخرین وصله های امنیتی نگه داشته شود.
• حاوی اتاق و یا دندانه دار کردن سرور (یعنی محیط فیزیکی شامل سیستم های کامپیوتری در حال اجرا سرور بازرگانی مرتبط با) تحت قفل و کلید با محدود تنها دسترسی مدیریتی مجاز نگهداری می شود.
• ورود به / از اتاق با پرسنل اداری (از جمله تاریخ / زمان و هدف از دسترسی) نیاز به سیستم وارد شود. این سیاهههای مربوط به آرشیو و انتقال خارج از سرورهای اصلی و قرار ایمن در جای دیگر به طوری که حسابرسان به آسانی می توانید آنها را در صورتی که توسط بانکی یا کارت اعتباری از شرکت مورد نیاز دسترسی داشته باشید.
• همه اطلاعات دارنده کارت است که برای ذخیره سازی محلی حفظ بنابراین با استفاده از چه PCI DSS اشاره به رمزگذاری به عنوان قوی (نگاه کنید به PCI SSC واژه نامه اصطلاحات برای اطلاعات بیشتر) انجام شود. رمزگذاری محافظت از داده ها را از به راحتی به عنوان خوانده شده و مورد استفاده توسط مهاجمان اگر در طول یک رویداد نقض سرقت رفته است.
• معماری رمزنگاری قوی زمینه باید به طور کامل مستند و به روز نگه داشته.
• پرسنل با دسترسی از راه دور (و یا غیر کنسول دسترسی مدیریتی) به محیط سرور باید از طریق تنها احراز هویت چند عاملی ارتباط برقرار کنند.
• تست نفوذ خارجی هر شش ماه انجام شود تا اطمینان حاصل شود که محیط امن است.

2. تعمیر و نگهداری مداوم: راهکار اصلی کاهش داده های مشترک امنیتی سوء استفاده.

سرورهای فیزیکی نیاز به طور مداوم در برابر آسیب پذیری های امنیتی تازه کشف شده وصله.

سوء استفاده امنیتی مختلف است که به عنوان Heartbleed، نوعی سگ پشمالوی باهوش و Logjam اخیرا چنین بوجود آمده اند در نظر بگیرید.

برنامه تحت وب خود و یا پلت فرم تجارت الکترونیک این است که پردازش های اعتباری و یا کارت های بدهی نیز نیاز به در برابر سمت سرویس گیرنده (به عنوان مثال مرورگر وب) سوء استفاده کد مانند XSS و حملات تزریق SQL امن، به نام چند.

تفکیک PCI: زمان و هزینه برای رسیدن به پذیرش

به طور متوسط، سیستم های با تجربه تیم مدیریت ما سه تا چهار روز کسب و کار صرف تامین امنیت سرور و تهیه اسناد و مدارک مناسب برای یک تاجر سطح 3 یا 4 سطح.

بازرگانان تلاش برای رسیدن به پیروی از PCI خود را با این حال، بدون حمایت از یک شریک در خارج، و که در حال حاضر خود را در برخورد با موضوع امنیت داده ها ماهر، می توانید انتظار به صرف رو به بالا از 3-4 هفته از زمان انجام وظایف زیر است:

• تحقیق در مورد استانداردهای امنیت اطلاعات PCI (DSS)
• تعیین این که کدام سطح انطباق و که PCI SAQ مورد نیاز است
• ایمن سرورهای فیزیکی خود (که اغلب بزرگترین و پر هزینه ترین جنبه از این پروژه)
• بررسی هر شخص پلاگین شخص یا اجزای نرم افزار در سرور است که اطلاعات دارنده کارت عبور از و حصول اطمینان از آنها، بیش از حد، سازگار با PCI و می توانید اسناد خارجی که ثابت می کند مانند تولید
• تکمیل SAQ PCI و شهادت از پذیرش (ROC)

برآورد بالا عوامل برخی از زمان برای کارکنان متعدد در داخل سازمان خود را که معمولا شامل یک گروه چند رشته ای از:

• تحلیلگران کسب و کار.
• مدیران سیستم.
• توسعه دهندگان پلت فرم تجارت الکترونیک.
• مدیران پروژه.
• تیم حقوقی.
• کارکنان حفاظت از منابع.

همچنین این را به حساب طول می کشد برخی بودجه برای مشاور خارجی / هزینه حسابرس، و ارائه به استخدام یک شخص ثالث واجد شرایط امنیتی ارزیاب.

چگونه بستر های نرم افزاری تجارت الکترونیک خود را تحت تاثیر PCI پذیرش شما

شما می توانید نرم افزار تجارت الکترونیک به روش های مختلف به دست آوردن:

• خرید نرم افزار تجاری برای اجرا بر روی سخت افزار بر روی فرض خود را
• با استفاده از نرم افزار منبع باز خود را سخت افزار بر روی فرض (انجام آن را به خودتان نزدیک)
• ثبت نام برای نرم افزار میزبانی تحویل داده به عنوان یک سرویس (SaaS)

هر رویکرد موازنه مختلف بین هزینه های خود را، منافع و خطرات تجارت الکترونیک PCI و حجم کار. جدول خلاصه برجسته، و بخش های بعدی توضیح هر یک از گزینه جزئیات بیشتر.

# 1: نرم افزار تجاری: آیا انتخاب پرهزینه

این نیاز شما را به خرید و نگهداری سخت افزار خود را، به علاوه پوسته را برای یک مجوز نرم افزار تجاری و پشتیبانی سالانه.

نرم افزار تجارت الکترونیک ممکن است PCI سازگار با خارج از جعبه، و یا شما می توانید مقدار زیادی از کار گرفتن وجود دارد. اما به هر گونه حمایت های اضافی شما را از فروشنده برای PCI نیاز به احتمال زیاد هزینه اضافی.

این گزینه می تواند برای شما کار می کنند، اگر شرکت شما را به:

• خرید و نگهداری در فرض سخت افزار
• پرداخت هزینه برای مجوز در فرض نرم افزار و پشتیبانی
• حفظ در خانه تخصص برای نصب، سفارشی کردن و حفظ یک پلت فرم تجارت الکترونیک
• کسی نگه دارید در پاسخ 24/7 به رفع هر گونه مشکل و پلت فرم تا سریع اگر تا به حال پایین می رود

در صورتی که صدای جذاب، جست و خیز این رویکرد و خواندن.

# 2: بر فرض، نرم افزار منبع باز: کاهش هزینه ها، در معرض خطر بیشتر

این گزینه بسیار شبیه به نوشتن کد خود شما است.

شما باید برای جمع آوری، تدوین، نصب و نیشگون گرفتن و کشیدن نرم افزار خود را. و، به عنوان برای PCI، این می تواند به یک پول و معادن تبدیل شود. منبع باز یک جعبه سیاه که در آن هیچ کس واقعا نمی داند چه خبر است.

"مشکل با منبع باز است که شما در حال از هر فروشنده خرید نیست، می گوید:" بکت است. "بنابراین هیچ یک به سقوط در برای کمک وجود دارد. شما ممکن است به هر گونه حمایت کنید، و یا شماره تلفن شما می توانید پاسخ. یا شاید حسابرس PCI را ممکن است چیزی در مورد پلت فرم را دوست ندارم. "

در آن صورت، شما گیر کرده است.

گزینه DIY می تواند کار، اگر شرکت شما می توانید به پرداخت هزینه:

• خرید و نگهداری در فرض سخت افزار
• حفظ در خانه تخصص، لینک، نیشگون گرفتن و کشیدن و حفظ نرم افزار تجارت الکترونیک
• وقت کارکنان به برگزاری بسیاری از جلسات و ایجاد اسناد مربوط به PCI

با استفاده از نرم افزار منبع باز معنی است که شما مسئول برای 100٪ از پیروی از PCI خود را - به ذکر آپ تایم فروشگاه شما نیست.

اگر شما نمی خواهید به در آن بار، جست و خیز این رویکرد و خواندن.

# 3: میزبانی نرم افزار به عنوان یک سرویس (SaaS) در: هزینه پایین، کم خطر

نرم افزار در حال اجرا به عنوان یک سرویس است که از طریق وب قابل دسترسی است، در حال اجرا بر روی سخت افزار های موجود در یک مرکز داده امن توسط ارائه دهنده خدمات خود را.

اگر می خواهید صرفه جویی در پول، و می تواند بسیاری از کارکنان یدکی برای توسعه سیاست های PCI و ارسال گزارش ها، نظر با استفاده از یک سرویس تجارت الکترونیک میزبان مانند BigCommerce.

در نظر گرفتن مهم در هنگام انتخاب این گزینه، با این حال، این است که شما هنوز هم مورد نیاز خواهد بود برای تکمیل یک SAQ (پرسشنامه خود ارزیابی) به عنوان یک تاجر سطح 2/4 و ROC (یعنی گزارش انطباق، نیز مترادف با شهادت از پذیرش) اگر شما یک سطح 1 تاجر است.

بنابراین، کار در مدارک و گزارش بر روی پلت فرم با کیفیت SaaS به تجارت الکترونیک در نظر گرفتن سطح انطباق خود را بسیار کمتر درگیر از نظر هزینه و خطر از دو گزینه دیگر است.

گزینه SaaS برای شما اگر شرکت شما کار خواهد کرد:

• می خواهد به صرفه جویی در پول به سخت افزار، پروانه نرم افزار و پشتیبانی
• آیا مردم به کمانچه با سخت افزار و نرم افزار ندارد
• ترجیح به پرداخت یک هزینه ماهانه برای پوشش پلت فرم تجارت الکترونیک خود را
• می خواهد به PCI سازگار باقی می ماند با حداقل تلاش

با کاهش هزینه ها، کمتر در معرض خطر، و زحمتی PCI کمتر، این گزینه را در مسیر انتخاب شده برای بسیاری از فروشگاه های آنلاین است.

در اینجا چگونه چند محبوب سیستم عامل تجارت الکترونیک شکست است:

PCI فهرست پذیرش

باز هم، این است که تنها به تیم IT خود را قابل اجرا اگر شما را انتخاب کنید تا با یک راه حل SaaS است.

در صورت استفاده از منبع باز و یا سفارشی ساخته شده پلت فرم تجارت الکترونیک، IT تیم خود نیاز به از طریق چک لیست زیر بروید در سال است.

ما در چک لیست شکسته ام زیر بر اساس نیاز PCI است.

به یاد داشته باشید، 12 مورد نیاز پیروی از PCI وجود دارد.

حفظ پیروی از PCI برای نیاز 1 شامل:

1. فایروال موقعیت تنها اجازه می دهد ترافیک لازم را برای ورود CDE خود را
2. داشتن یک "انکار همه" قانون برای همه ترافیک ورودی و خروجی
3. فیلترینگ بسته پویا
4. ایجاد یک منطقه امن برای هر ذخیره سازی داده ها کارت
5. اطمینان از تمام اتصالات خروجی از CDE خود را به صراحت مجاز
6. نصب یک فایروال بین شبکه های بی سیم و CDE خود را
7. سندسازی همه سیاست های فایروال و روش، از جمله توجیه کسب و کار برای هر پورت یا پروتکل اجازه از طریق فایروال

حفظ پیروی از PCI برای نیاز 2 شامل:

1. حفظ موجودی از تمام سخت افزار و نرم افزار مورد استفاده در CDE
2. تعیین یک مدیر سیستم به مسئول پیکربندی اجزای سیستم
3. پیاده سازی پیکربندی سیستم و سخت شدن راهنمای که تمام اجزای CDE را پوشش می دهد
4. غیر فعال کردن و یا حذف هر گونه خدمات غیر ضروری، برنامه، حساب، درایور، اسکریپت ها، ویژگی های، سیستم ها، و وب سرور، و مستند سازی که آنهایی که مجاز هستند
5. تغییر نام کاربری پیش فرض فروشنده عرضه و کلمه عبور
6. مستند سیاست های امنیتی و روش های عمل برای مدیریت پیش فرض فروشنده و دیگر تنظیمات امنیتی
7. با استفاده از فن آوری های مانند VPN برای مدیریت مبتنی بر وب و اطمینان از تمام ترافیک زیر استانداردهای فعلی رمزگذاری شده
8. فعال کردن تنها یک تابع اولیه در هر سرور

حفظ پیروی از PCI برای نیاز 3 شامل:

1. مستند یک سیاست حفظ اطلاعات
2. کارکنان داشتن اذعان آموزش و درک خود را از سیاست
3. حذف ذخیره سازی داده های احراز هویت حساس پس از مجوز کارت
4. پوشش شماره حساب اولیه در رسید مشتری
5. درک دستورالعمل ها برای حمل و نقل و ذخیره سازی اطلاعات دارنده کارت
6. مطمئن باشید که ذخیره سازی تعداد حساب اصلی توسط به عنوان کارکنان چند که ممکن است، از جمله محدود کردن دسترسی به کلید های رمزنگاری، رسانه های قابل حمل، و یا hardcopies از داده های در دسترس است

حفظ پیروی از PCI برای نیاز 4 شامل:

1. بررسی تمام مکان ها، سیستم ها و دستگاه های که در آن اطلاعات دارنده کارت منتقل شده است برای اطمینان شما با استفاده از رمزگذاری مناسب برای حفاظت از اطلاعات بیش از باز، شبکه های عمومی
2. تایید است که کلید های رمزگذاری / گواهی های معتبر و قابل اعتماد هستند
3. به طور مستمر بررسی آخرین آسیب پذیری رمزگذاری و به روز رسانی به عنوان مورد نیاز
4. داشتن یک سیاست برای اطمینان از شما اطلاعات دارنده کارت محافظت نشده از طریق فن آوری پیام های کاربر نهایی ارسال کنید
5. چک کردن با فروشندگان برای اطمینان از دستگاه های POS عرضه به طور مناسب رمزنگاری داده ها
6. بررسی و اجرای بهترین شیوه، سیاست ها و روش برای ارسال و دریافت اطلاعات کارت های اعتباری
7. اطمینان از TLS فعال است هر زمان که اطلاعات دارنده کارت منتقل شده است و یا دریافت شده از طریق خدمات مبتنی بر وب
8. منع استفاده از WEP، یک استاندارد رمزنگاری بی سیم ناامن

حفظ پیروی از PCI برای نیاز 5 شامل:

1. استقرار برنامه های ضد ویروس بر روی سیستم های معمولا مبتلا
2. تنظیم ضد ویروس برای اسکن خودکار برای شناسایی و حذف نرم افزار های مخرب
3. حفظ وقایع بازرسی برای بررسی
4. اطمینان از سیستم ضد ویروس به صورت خودکار به روز رسانی
5. تنظیم دسترسی اداری برای اطمینان از ضد ویروس را غیرفعال کرد یا تغییر داده شده توسط کاربران
6. مستند روش نرم افزارهای مخرب و بررسی با کارکنان لازم
7. بررسی پیکربندی سیستم و به صورت دوره ارزیابی تهدیدات نرم افزارهای مخرب به سیستم خود

حفظ پیروی از PCI برای نیاز 6 شامل:

1. داشتن یک فرایند مدیریت تغییر
2. داشتن یک سرور به روز رسانی
3. داشتن یک فرایند در محل به نگه دارید تا به روز با آخرین آسیب پذیری های امنیتی شناخته شده و سطح تهدید خود
4. نصب وصله های امنیتی فروشنده عرضه در تمامی اجزای سیستم
5. اطمینان تمام به روز رسانی های امنیتی در عرض یک ماه از انتشار نصب
6. راه اندازی یک برنامه دستی و یا اتوماتیک برای نصب آخرین وصله های امنیتی برای همه اجزای سیستم

حفظ پیروی از PCI برای نیاز 7 شامل:

1. پیاده سازی کنترل دسترسی بر روی هر سیستم که در آن اطلاعات دارنده کارت ذخیره شده است و به کار گرفته
2. داشتن یک سیاست نوشته شده است که جزئیات دسترسی به اطلاعات دارنده کارت را بر اساس نقش های شغلی تعریف شده و سطح امتیاز
3. آموزش کارکنان در سطح دسترسی خاص خود را دارند
4. پیکربندی کنترل دسترسی به تنها اجازه می دهد افراد مجاز و انکار دیگران بدون مجوز قبلی و یا دسترسی

حفظ پیروی از PCI برای نیاز 8 شامل:

1. نظارت بر تمام حساب های دسترسی از راه دور مورد استفاده توسط فروشندگان، شرکای کسب و کار، فناوری اطلاعات پرسنل پشتیبانی، و غیره که حساب در حال استفاده است
2. غیر فعال کردن همه حساب دسترسی از راه دور زمانی که استفاده نمی
3. فعال کردن حساب های مورد استفاده برای دسترسی از راه دور تنها زمانی که آنها مورد نیاز است
4. پیاده سازی یک راه حل احراز هویت چند عاملی برای تمام جلسات دسترسی از راه دور

حفظ پیروی از PCI برای نیاز 9 شامل:

1. محدود کردن دسترسی به هر جک شبکه عمومی در دسترس در کسب و کار
2. نگه داشتن رسانه های فیزیکی امن و حفظ کنترل دقیق بر هر رسانه که در درون ساختمان و خارج از آن منتقل
3. نگه داشتن رسانه ها در یک منطقه امن با دسترسی محدود و نیاز به تایید مدیریت قبل از رسانه ها از محل امن خود نقل مکان کرد
4. با استفاده از یک پیک امن در هنگام ارسال رسانه از طریق پست الکترونیکی پس محل رسانه را می توان ردیابی
5. از بین بردن رسانه در راه است که نمی توان آن را بازسازی شود
6. حفظ یک لیست از تمام دستگاه های مورد استفاده برای پردازش و آموزش تمام کارکنان برای بازرسی دستگاه های شواهدی از دستکاری
7. داشتن فرآیندهای آموزش برای تأیید هویت از فروشندگان خارج مایل دسترسی به دستگاه ها و فرآیندهای برای گزارش رفتارهای مشکوک در اطراف دستگاه های

حفظ پیروی از PCI برای نیاز 10 شامل:

1. داشتن ممیزی سیاست های مربوط که در مسیر هر عمل انجام شده توسط کسی با دسترسی مدیریتی، ورود به سیستم در تلاش شکست خورده، و تغییرات را به حساب
2. توانایی شناسایی یک کاربر، تاریخ و زمان از این رویداد، به این نوع رویداد، چه این رویداد را یک موفقیت یا شکست، که در آن رویداد نشات گرفته از، و به نام از داده نهفته و یا جزء سیستم بود
3. داشتن فرآیندها و مراحل به بررسی سیاست های مربوط و رویدادهای امنیتی روزانه، و همچنین اجزای سیستم بررسی تعریف شده توسط استراتژی مدیریت ریسک خود را
4. داشتن یک فرایند برای پاسخ به ناهنجاری و یا استثنائی در سیاهههای مربوط
5. نگه داشتن تمام سوابق گزارش بازرسی برای حداقل یک سال و نگه داشتن سیاست های مربوط در سه ماه اخیر به آسانی برای تجزیه و تحلیل در دسترس

حفظ پیروی از PCI برای نیاز 11 شامل:

1. در حال اجرا سه ماهه اسکن آسیب پذیری داخلی با استفاده از یک منبع داخلی یا خارجی واجد شرایط شخص ثالث
2. در حال اجرا سه ماهه اسکن آسیب پذیری خارجی با استفاده از یک فروشنده اسکن-PCI تایید (ASV)
3. با استفاده از یک منبع واجد شرایط برای اجرا اسکن داخلی و خارجی پس از هر تغییر عمده به شبکه خود را
4. پیکربندی ابزار تغییر تشخیص به شما هشدار به تغییر غیر مجاز از فایل های مهم محتوا، فایل های سیستم، و یا فایل های پیکربندی، و برای پیکربندی ابزار برای انجام مقایسه فایل مهم حداقل یک بار در هفته
5. داشتن یک فرایند برای پاسخ به هشدار ابزار تغییر تشخیص تولید
6. در حال اجرا اسکن سه ماهه در نقاط دسترسی بی سیم، و توسعه یک طرح برای پاسخ به تشخیص نقاط دسترسی بی سیم غیر مجاز
7. انجام تست نفوذ به اعلام تقسیم بندی عملیاتی است و سیستم در CDE جدا شده از تمام سیستم های دیگر

حفظ پیروی از PCI برای نیاز 12:

1. تدوین سیاست های انطباق و امنیت نوشته شده
2. اطمینان از هر کارمند مشغول به کار در CDE کامل آموزش آگاهی امنیتی سالانه
3. ایجاد یک سیاست شرکت مستند سازی تمام دستگاه های حیاتی و خدمات در CDE، از جمله لپ تاپ ها، تبلت ها، دسترسی از راه دور، دسترسی بی سیم، و ایمیل / استفاده از اینترنت
4. در حال توسعه یک توصیف جامع از نقش هر یک از کارکنان در CDE، و مستند سازی استفاده قابل قبول و ذخیره سازی از تمام فن آوری
5. ایجاد یک طرح واکنش حادثه در اطلاعات رویداد دارنده کارت است به خطر بیافتد
6. ایجاد و به روز رسانی یک لیست از ارائه دهندگان خدمات شخص ثالث
7. سالانه مستند یک سیاست برای درگیر شدن با ارائه دهندگان شخص ثالث، به دست آوردن یک قرارداد کتبی مسئولیت اطلاعات دارنده کارت به آنها دارای تصدیق، و داشتن یک روند برای درگیر شدن ارائه دهندگان جدید

ما موفقیت به دست آورد PCI پذیرش: بعدی چیست؟

همانطور که اگر دستیابی به پیروی از PCI بود به اندازه کافی پیچیده به خودی خود نیست، حفظ انطباق سال بیش از سال و با نگه داشتن همیشه در حال تکامل تفاوت های ظریف به PCS استانداردهای امنیت داده ها (DSS) ثابت کرده است خود یک هزینه دائمی و بار به هر سازمان است.

آخرین استاندارد DSS PCI (نسخه 3.2) در آوریل 2016 منتشر شد، به عنوان مثال، تعریف می کند تعدادی از تغییرات به قوانین و مقررات قبلا پذیرفته شده در انواع موضوعات PCI، لمس کردن بر هر دو الزامات اسناد و مدارک و تنظیمات فنی به محیط زیست میزبانی فیزیکی ( CDE) است.

این به این معنی به عنوان یک تاجر خود میزبان شما نیاز به خودتان نگرانی نه تنها با گرفتن تمام این شرایط کامل اولین بار در اطراف، اما شما همچنین باید انتظار داشت که مدیریت لیست درخواست های تغییر آینده و پایین از جاده برنامه مهاجرت که تیم فنی خود را بسیار شلوغ بی نهایت (به عنوان مثال برای همیشه) را حفظ خواهد کرد.

بیایید آن روبرو هستند، آنها اغلب بیش از اندازه کافی برای انجام آن را به عنوان است.

به طور خلاصه، حفظ رعایت یک فرایند مستمر است، که شامل همه موارد فوق و همچنین اسکن آسیب پذیری سه ماهه و تکمیل SAQ جدید و شهادت از پذیرش در هر سال.

در این روش، تیم خود را خواهد شد توسط یک بحران در آخرین لحظه به آن را انجام داده که در overstatements، حذفیات و افزایش هزینه های حسابرسی شخص ثالث منجر خواهد شد کنار است. شما همچنین می خواهید فعالانه سازمان شما موقعیت برای انتقال آسان به سمت بالا به سطح انطباق بالاتر در زمان بعد.