PCI-overholdelse for e-handel: Hvad det er, krav, niveauer og hvordan man overholder reglerne

  • PCI DSS er en kontraktmæssig standard, der beskytter kortdata og gælder for enhver e-handelsvirksomhed, der behandler, overfører eller lagrer disse oplysninger.
  • Den omfatter 6 målsætninger og 12 krav: sikkert netværk, databeskyttelse, sårbarhedsstyring, adgangskontrol, overvågning og sikkerhedspolitik.
  • Valideringen varierer efter volumen (niveauer 1-4) og involverer kvartalsvise SAQ/ROC-, AOC- og ASV-scanninger, hvor det er relevant.
  • Brug af certificerede gateways, tokenisering og segmentering reducerer rækkevidde og risiko, men er ikke en erstatning for korrekt compliance.
Susana Maria Urbano Mateos

4 minutter

PCI-overholdelse

Mange forhandlere med en e-handelswebsted Du har sikkert allerede hørt om begrebet PCI-compliance, men ikke alle forstår, hvad det egentlig betyder for deres online forretning. Derfor vil vi nedenfor fortælle dig lidt om, hvad det er. PCI-overholdelse og hvorfor det er vigtigt for din e-handel.

Hvad er PCI-overholdelse?

PCI-sikkerhed til e-handel

Først skal du forstå det PCI-overholdelse er ikke en lov eller offentlig reguleringDet korrekte navn er PCI DSS, som står for "Payment Card Industry – Data Security" (Betalingskortbranchen – Datasikkerhed). Standard"og det refererer dybest set til en standard med sikkerhedskrav som alle handlende, store som små, skal overholde.

Enhver forhandler skal overholde PCI Compliance, selvom du ikke håndterer et stort antal transaktioner eller bruger tredjepartsudbydere, som f.eks. hostede e-handelsplatforme, at outsource kreditkortoplysninger. For sådanne forhandlere, der outsourcer deres betalingsprocesser, PCI-omfang Den er normalt mindre, og verifikationskrav De er minimale, men de forsvinder ikke.

PCI-overholdelse gælder for enhver virksomhed

PCI-overholdelse i onlinebutikker

Muchos E-handelsforhandlere De mener, at PCI-overholdelse ikke gælder for deres virksomheder, fordi de er for små. I virkeligheden gælder denne standard for enhver virksomhed, der behandler, opbevarer eller overfører betalingskortdataHvis du som ejer af en e-handelsbutik ikke tager sikkerhed alvorligt, og et hacking resulterer i tyveri af kundeoplysninger, kan du stå over for alvorlige konsekvenser.

Følgelig PCI-overholdelse er obligatorisk, hvis kreditkortbetalinger accepteres.; manglende overholdelse kan føre til kontraktlige bøder, tillæg for hændelser, højere anskaffelsesomkostninger og i ekstreme tilfælde, tab af evnen til at behandle kortDerfor er PCI-compliance vigtig for e-handel, og at det skal være mere pålidelig for dine kunder.

PCI DSS-nøglekrav: Mål og kontroller

PCI DSS-kontroller

PCI DSS grupperer sine kontroller i 6 mål y 12 tekniske og organisatoriske krav der styrker sikkerheden:

  • Opbyg og vedligehold et sikkert netværk1) Firewallen er korrekt konfigureret; 2) skift standardoplysninger.
  • Beskyt ejerens data: 3) beskytte lagrede data; 4) kryptering i transit på offentlige netværk.
  • Håndter sårbarheder5) opdateret antivirus/antimalware; 6) patching og sikker udvikling.
  • kontrollere adgangen7) adgang baseret på behov for viden; 8) Unikt ID og MFA9) fysiske kontroller.
  • Overvåg og test: 10) registrering og sporbarhed adgang; 11) periodisk test og scanning.
  • Sikkerhedspolitik: 12) regering og uddannelse for alle medarbejdere.

God praksis omfatter: netværkssegmentering, tokenization for at minimere lagrede data, penetrationstest og den halvårlige gennemgang af firewallregler.

Niveauer af overholdelse og validering

PCI-validering for e-handel

  • Niveau 1mere end 6 millioner transaktioner/år. Kræver ROC af QSA eller kvalificeret intern revisor, AOC årlig og kvartalsvise ASV-scanninger.
  • Niveauer 2–4: lavere lydstyrke. De kræver SAQ årlig (type i henhold til integration: f.eks. A, A-EP, D), AOC og, når det er relevant, Kvartalsvise ASV'er.

Disse krav er kontraktlige forhold med kortmærkerneManglende overholdelse kan føre til økonomiske konsekvenser og operationel.

Sådan opnår og opretholder du compliance i e-handel

1) Reducerer rækkeviddenBrug hostede gateways, tokenisering og segmentering for at sikre, at dit miljø håndterer mindre følsomme data. 2) Hærde konfigurationerFjern standardadgangskoder, håndhæv MFA og princippet om mindst mulig privilegium. 3) Beskyt dataKrypter under overførsel (stærk TLS) og krypter med sikker nøglehåndtering, hvis lagret. 4) Kontinuerlig overvågningSIEM, logopbevaring, advarsler og ASV-scanninger kvartalsvis. 5) test: periodisk pentestning og korrektion af fund. 6) Sårbarhedshåndtering: lager, programrettelser og antivirus. 7) Politikker og træningMedarbejderbevidsthed og håndtering af hændelser. 8) DokumentationUdarbejd SAQ/ROC og AOC med opdateret dokumentation.

Betalingsgateways og tegnebøger

masse betaling gateways y digitale tegnebøgerSom paysafecardskal også overholde PCI DSS. Deres certificering hjælper reducere omfanget af købmanden, men ikke undtager at overholde de kontroller, der gælder i dit eget miljø (f.eks. websikkerhed, adgangsstyring og logfiler).

Beskyttede data og god praksis

PCI beskytter oplysninger såsom PAN (kortnummer), kortholders navn, udløbsdato, servicekoder, spordata og følsomme autentificeringselementer såsom CVV y PIN (sidstnævnte bør aldrig opbevares). Vigtigste anbefalinger: gem ikke data medmindre det er nødvendigt, minimer din fastholdelse og brug tokenisering.

Fordele og risici

Overholdelse af PCI DSS reducerer bedrageri, beskytter omdømme og forbedrer tillid af klienten. Manglende overholdelse eksponerer huller, mulige bøder, obligatorisk retsmedicinsk gennemgang og tab af muligheden for at acceptere kort.

Implementeringen af ​​PCI DSS konsoliderer en kultur af sikkerhed gennem design der forhindrer dyre hændelser, letter revisioner og sikrer problemfri og pålidelige betalingsoplevelser for dine kunder.

relateret artikel:
Sikkerhed i de betalinger, du foretager