Hvad er PCI-overholdelse? Find bedste PCI-kompatibel webhosting

bedste pci-kompatible webhosting


Betalingskortindustri – Datasikkerhedsstandarder (PCI-DSS) er et stort sæt krav, der er vedtaget af PCIs sikkerhedsstandarder råd, og det er beregnet til at sikre konsistente datasikkerhedsforanstaltninger på tværs af alle onlinehandlere. Det PCIs sikkerhedsstandarder råd (PCI SSC) inkluderer JCB International, American Express, Discover Financial Services, VISA og MasterCard Worldwide. Enhver online forhandler, der accepterer betalinger gennem større kreditkortselskaber, er bundet af PCI-DSS-kravene.

Opnåelse og opretholdelse af overholdelse kan være en nervepirrende oplevelse, selv for større onlinevirksomheder, og ikke mindre små handlende. Men de dyre følger af dataforbrud og manglende opfyldelse af kravene til overholdelse gør det bydende nødvendigt for online-tjenesteudbydere at sikre, at deres kunder handler sikkert.

I denne artikel diskuterer vi nogle af de vigtigste krav til PCI-overholdelse, og hvordan vi finder det bedste PCI-kompatibel webhosting for bedre at styre din PCI-overholdelsesstrategi.

Hvad betyder det at være PCI-kompatibel?

PCI-overholdelse er et must for alle e-handelsvirksomheder, der accepterer kreditkort, uanset omsætning og omfang af transaktioner. Derfor bestemmer disse to faktorer ikke, om du skal overholde de datasikkerhedsregler, der er angivet af PCI SSC, i betragtning af at selv den mindste e-handelsvirksomhed, der accepterer kreditkort, er bundet af PCI-DSS-standarderne; antallet af kredit- / betalingskorttransaktioner, som dine forretningsprocesser hvert år foretager, bestemmer dog hvilket af de fire overholdelsesniveauer, du skal opnå. Niveau 1 har den største overholdelsesvanskelighed, og det er en sikkerhedsstandard, der skal opnås af e-handelsvirksomheder, der behandler mere end 6.000.000 kredit- eller betalingskort over en periode på 12 måneder. På den anden side har niveau 4 den laveste overholdelsesvanskelighed, og det vedrører online-virksomheder, der årligt behandler færre end 20.000 kreditkorttransaktioner.

Mens PCI-DSS-standarderne defineret af PCI SSC ikke er en lov, håndhæves overholdelsen af ​​disse standarder af kreditfirmaerne selv. Virksomheder, der viser sig at være i krænkelse, kan forvente betydelige bøder ($ 5.000 – $ 100.000 pr. Måned) og sanktioner (tab af retten til at behandle kreditkortbetalinger, stigning i gebyrer pr. Transaktion, betaling for kreditkort, der er kompromitteret på grund af overtrædelsen, flytning op et niveau for overholdelse osv.). Disse bøder og sanktioner kan vise sig at være katastrofale for en virksomhed, for ikke at nævne det tab af omdømme, som en virksomhed kan lide som følge af et brud.

Selvom de standarder, der er defineret og vedligeholdt af PCI SSC, i sidste ende koger ned til at sikre kortholderdata, udgør PCI-overholdelse mange vejspærringer for den gennemsnitlige onlinehandler.

Her er kort sagt de krav til PCI-overholdelse, der er dækket i de fulde PCI DSS-standarder, som onlinetjenesteudbydere skal overholde:

  • Opbygning og vedligeholdelse af et sikkert netværk, der involverer firewall- og routerkonfigurationer, test relateret til disse, hyppighed af test og sikker adgangskodestyring;
  • Beskyttelse af kortholderdata ved at definere lagrings-, datalagring- og datanvendelsesparametre og krypteringskrav samt angive implementering af krypterings- og sikkerhedsprotokoller (SSL / TLS, SSH eller IPSec) til beskyttelse af kortholderdata, når de transmitteres over åbent, offentlige netværk;
  • Udførelse af et sårbarhedsstyringsprogram, som involverer brug af et antivirusprogram, der regelmæssigt opdateres, er aktivt på alle tidspunkter, og som genererer revisionslogfiler. En anden facet af sårbarhedsstyringsprogrammet er udvikling og vedligeholdelse af sikre systemer og applikationer, der opnås gennem overholdelse af sikre kodningslinjer og gennemgang af tredjepartskode eller tilpassede applikationer med hensyn til sårbarheder;
  • Implementering af sikre brugeradgangskontrolforanstaltninger ved at beskytte følsomme data fra uautoriseret adgang, begrænse adgangen ved at indstille veldefineret rollebaseret adgangskontrol (RBAC), tildele unikke bruger-ID’er til sporbarhed, bruge to-faktor godkendelsesprocesser, begrænse fysisk adgang til kortholder data;
  • Brug af loggingsmekanismer til at spore og overvåge adgang til netværks- og kortholderdata og skabe en revisionsspor, der skal bevares i mindst et år;
  • Kørelse af regelmæssige interne netværkssikkerhedsscanninger (kvartalsvis og efter hver eneste væsentlige ændring, opgradering eller ændring i netværket eller infrastrukturen), underkastelse af kvartalsvise ASV (Approved Scanning Vendor) -scanninger efter vedtagelse af den indledende compliance-scanning, implementering af systemer (indtrængen) detektionssystemer og filovervågningssystemer) for at advare om uautoriseret ændring af kritiske filer og systemkompromis;
  • Oprettelse og vedligeholdelse af en informationssikkerhedspolitik, der skal dække aspekter, der er relateret til screening af personale, risikovurdering, sårbarhedsvurdering, fjernadgang osv..

Virksomheder, der mangler ekspertise og / eller interne ressourcer til at gennemføre et effektivt overholdelsesprogram, skal søge hjælp fra en ekstern partner og kvalificeret sikkerhedsrådgiver, som vil tilbyde vejledning med hensyn til PCI-DSS-selvvurderingsspørgeskemaet, de skal udfylde, kravene de skal mødes for deres niveau for overholdelse, de infrastrukturmangler, de er nødt til at løse osv.

Nogle af byrden ved at imødekomme disse krav kan deles med løsningspartnere som hostingudbydere, som kan hjælpe med implementering og vedligeholdelse af fysiske, netværks- og systemkontroller.

Sådan finder du den bedste PCI-kompatible webhosting

At vælge en god webhosting kan i sig selv være en kompliceret opgave. Tilføjelse af PCI-DSS-overholdelse på listen over dine krav kan gøre processen endnu mere kompliceret. Her er de vigtigste ting at gøre, når du søger efter en PCI-kompatibel webhosting:

Diskuter PCI-overholdelseskomponenter, der udføres af din vært

Spørg web-hosting-udbyderen om komponenterne i PCI-overholdelsen, de er i stand til at håndtere for dig. For eksempel angiver HostGator klart på deres websted, at deres VSP og dedikerede servere er blevet opdateret for at imødekomme server PCI-overholdelseskrav. HostGator leverer dog ikke support til at sikre, at indkøbsvogne, betalingsgateway-software, indkøbskurv-plugins osv., Der bruges af dit websted, er PCI-kompatible, hvorfor denne opgave besvarer dig som bruger af disse løsninger.

Få flere detaljer om hver komponent

Da manglende overholdelse af PCI-overholdelseskrav medfører en række risici, der potentielt truer din virksomheds eksistens, skal du altid læse det fine udskrivning af de ekstra tjenester, som dit hostingfirma har foretaget i dine bestræbelser på at blive PCI-kompatible, og bede om flere detaljer om vedtaget løsninger for at se, om disse tjenester er i overensstemmelse med dine PCI-DSS-overholdelseskrav. Hostingfirmaer som Rackspace går ud over blot at tilbyde dig server-PCI-overholdelse ved at tilbyde en række andre tjenester (f.eks. Administreret firewall, SSL-certifikater, administrerede antivirusløsninger, sårbarhedsvurderingsservice, webapplikations firewall osv.).

Se om support

Det er uden tvivl en anstrengende proces for nogen, uanset om det er en lille eller stor forretning, at navigere i labyrinten ved at overholde branchens standarder, der er indført af kreditkortselskaber. Support, der tilbydes til at diskutere dine behov og hjælp til at udforske de tjenester, du har brug for, kan hjælpe med at reducere kompleksiteten af ​​dine bestræbelser på at blive kompatible.

Konklusion

Det er vigtigt at huske, at PCI-overholdelse er et delt ansvar og ved at vælge en PCI-kompatibel hosting, en bliver ikke automatisk PCI-kompatibel. At få et klart overblik over, hvordan man får det ansvar, som hver løsningspartner påtager sig, er et vigtigt skridt i opnåelse og opretholdelse af overholdelse.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map