Conformità PCI e WooCommerce: tutto ciò che devi sapere

Che tu stia costruendo, manutenendo o gestendo un sito Web di eCommerce, devi essere consapevole delle tue responsabilità in materia di sicurezza. Fortunatamente, ci sono standard e regolamenti che possono aiutarti a mantenere i negozi online, come quelli creati con WooCommerce, sicuri e protetti. Il più notevole tra questi è il Payment Card Industry Data Security Standard (PCI-DSS).

Tutti i siti WooCommerce devono essere conformi allo standard PCI?

No, non tutti i siti che utilizzano WooCommerce devono essere conformi PCI-DSS. Queste normative si applicano alle aziende che accettano pagamenti online con carte di debito e di credito. PCI-DSS non si applica se utilizzi WooCommerce per visualizzare un catalogo online, accettare richieste di preventivo o per consentire agli acquirenti di effettuare ordini che non coinvolgono online pagamenti.

Qual è lo scopo della conformità PCI?

PCI-DSS è qui per aiutarti a garantire che quando i tuoi acquirenti WooCommerce pagano con una carta di pagamento come una carta Visa, Mastercard, American Express o Discover, le informazioni inviate non finiscano nelle mani dei criminali. Leggi di più su Cos'è la conformità normativa e come influisce sulla sicurezza di WordPress.

Chi è responsabile della conformità PCI?

Questi standard PCI si applicano a tutte le organizzazioni che accettano, trasmettono e/o archiviano i dati dei titolari di carta. Ciò include commercianti, processori, acquirenti, emittenti e fornitori di servizi. In sostanza, tutte le organizzazioni che toccano i dati dei titolari di carta o i dati di autenticazione sensibili devono aderire a queste regole.

I commercianti di WooCommerce fanno ovviamente affidamento sui fornitori per soddisfare queste normative. Ciò include tutto, dall'hosting conforme allo standard PCI, ai gateway e ai processori di pagamento sicuri. Tali fornitori consentono anche alle piccole imprese e alle startup di soddisfare questi requisiti di sicurezza.

Cosa rende un sito Web WooCommerce conforme allo standard PCI?

Come per la maggior parte della sicurezza, il mantenimento della conformità PCI richiede ai commercianti di eseguire una serie di passaggi su base continuativa. L'ultima versione del documento Requisiti PCI-DSS e procedure di valutazione della sicurezza è lunga 139 pagine. Fortunatamente, gran parte di ciò si applicherà a fornitori come i processori di pagamento e non agli stessi proprietari di siti Web.

In definitiva, questi passaggi di seguito ti aiuteranno a garantire che quando compili un questionario di autovalutazione (SAQ) PCI e fai scansionare il tuo sito Web per determinare se soddisfa i requisiti PCI, avrai un tempo molto più facile. Aiuteranno anche a proteggere il tuo sito web dalla maggior parte degli attacchi.

Elementi importanti da tenere a mente

• Mantieni aggiornato il tuo software WordPress.
• Aggiorna WooCommerce e qualsiasi altro plugin e/o estensione di WordPress.
• Il tuo ambiente di web hosting deve eseguire software aggiornato, comprese le ultime patch di sicurezza.
• Configura e mantieni un firewall o seleziona un host che lo farà per te. Gli host web WooCommerce spesso lavorano con fornitori di Web Application Firewall (WAF) come Cloudflare e Sucuri per offrire soluzioni di firewall monitorate 24 ore su 24, 7 giorni su 7.
• Trasmetti i dati in modo sicuro su HTTPS sfruttando i certificati SSL.
• Esegui scanner di malware o seleziona un host che lo faccia su base continuativa. Assicurati che qualcuno visualizzi i rapporti sulla sicurezza ogni giorno, se non in tempo reale.
• Osservare i principi dell'accesso con privilegi minimi, condividendo l'accesso solo con coloro che ne hanno assolutamente bisogno. Ciò può includere passaggi di base, come rendere l'amministratore di WordPress accessibile solo agli indirizzi IP inseriti nella whitelist.
• Usa ID utente univoci e password complesse. Archiviali in modo sicuro e aggiorna le password almeno ogni 90 giorni.
• Assicurati che ogni amministratore disponga delle proprie credenziali di accesso: non condividere le credenziali.
• Mantieni al sicuro tutti i sistemi che interagiscono con il tuo sito web. Ciò include l'esecuzione di software antivirus aggiornato sui computer che utilizzi per accedere al tuo amministratore di WordPress.
• Ospita altre applicazioni separatamente. Ciò include l'hosting di altri siti Web separatamente e l'utilizzo di un hosting di posta elettronica separato. Inoltre, tutte le vecchie copie del tuo sito web così come le copie di sviluppo o staging del tuo sito non dovrebbero trovarsi nel tuo ambiente di hosting di produzione (live).
• Distribuisci sistemi di rilevamento delle intrusioni (IDS) per rilevare tempestivamente le violazioni della sicurezza, riducendo al minimo le ricadute.
• Continua a rivedere la tua sicurezza, tenendo conto delle modifiche apportate al tuo sito Web, al personale e ai fornitori.
• Ove possibile, utilizzare l'autenticazione a più fattori. Prendi in considerazione l'aggiunta di un'estensione di autenticazione a due fattori (2FA) di WordPress per rendere più difficile agli hacker l'accesso al back-end del tuo negozio WooCommerce.
• Archivia correttamente registri e backup. Questo è estremamente importante nel caso in cui siano necessari nell'ambito di un'indagine sulla violazione.

Come ottengo la mia certificazione di conformità PCI?

Esistono fornitori specifici che forniscono questo servizio. Spesso è una buona idea controllare con il tuo processore di pagamento e provider di hosting web per vedere se offrono, includono o consigliano tali servizi. Tuttavia, il PCI Security Standards Council dispone di un lungo elenco di fornitori di scansioni approvati. Ricorda che questa non è una procedura una tantum, quindi puoi sperare di lavorare con questo fornitore per molti anni a venire.

Il superamento di un PCI Scan garantisce che il mio sito WooCommerce sia sicuro e protetto?

Le valutazioni di conformità PCI affrontano le politiche di sicurezza osservabili e le debolezze e si concentrano sugli sforzi minimi di sicurezza richiesti dai commercianti. È fondamentale mantenere la sicurezza dopo che il tuo sito è stato inizialmente certificato conforme allo standard PCI. Ad esempio, devi comunque installare le nuove patch di sicurezza entro 30 giorni dal loro rilascio.

Inoltre, è altamente consigliabile adottare un approccio proattivo alla sicurezza. Ci sono sempre eventi zero-day, istanze in cui viene sfruttata una nuova vulnerabilità di sicurezza. In questi casi, le patch non esistono ancora. La soluzione migliore è sfruttare gli strumenti di sicurezza di base, come un sistema di rilevamento delle intrusioni (IDS). Questo funge da allarme, dandoti l'opportunità di affrontare rapidamente un'istanza di hacking, riducendo al minimo quello che altrimenti potrebbe essere un incidente molto peggiore. In generale, possiamo dire che ci sono molte ragioni per cui la tua soluzione di e-commerce WordPress deve essere sicura.

L'utilizzo di un provider PA-DSS rende un sito conforme allo standard PCI?

I processori di pagamento che aderiscono al Payment Application Data Security Standard (PA-DSS) non rendono automaticamente il tuo sito conforme allo standard PCI. Né gli host web. Anche se utilizzi un elaboratore di pagamento che porta gli acquirenti fuori sede per completare le loro transazioni, hai comunque delle responsabilità. Ad esempio, se non stai riparando il tuo software e il tuo sito WordPress è stato violato, i ladri potrebbero scambiare il tuo checkout con il proprio modulo per sottrarre i dati della carta di credito. Sebbene alcuni gateway di pagamento possano ridurre i rischi di violazione, non possono assolverti da tutte le tue responsabilità di sicurezza.

Quali sono i rischi di non mantenere il tuo sito WooCommerce conforme allo standard PCI?

Se il tuo sito WooCommerce accetta carte di pagamento e non è conforme allo standard PCI, ci sono molti rischi. Potresti essere costretto a pagare commissioni o multe o trovare processori di pagamento che si rifiutano di servire il tuo account, interrompendo la tua capacità di accettare pagamenti online. Ecco perché la conformità PCI DSS per i siti di e-commerce e business di WordPress è estremamente importante.

Peggiora se si verifica una violazione dei dati pur non rispettando le normative PCI-DSS. Ci sono tutti i tipi di multe e costi, comprese potenziali azioni legali. Questo va oltre la tua reputazione danneggiata e i costi di indagine e mitigazione di una violazione, che può anche causare tempi di inattività e una perdita di entrate per il tuo negozio WooCommerce.

Dopo una violazione, potresti trovare molto più difficile e/o più costoso accettare le carte di pagamento, se riesci a trovare un fornitore disposto a fornirti assistenza. Dipende davvero dai dettagli, ma se si scopre che sei ad alto rischio perché non hai aderito agli standard di sicurezza di base, può avere gravi conseguenze sulla tua attività.

Ci sono fornitori specializzati nell'assistere i commercianti WooCommerce con la conformità PCI?

Sì! Ad esempio, invece di inviare agli acquirenti le informazioni sulla carta di pagamento che conservi, esiste un'ampia varietà di gateway di pagamento in grado di trasmettere le informazioni sulla carta di credito in modo sicuro. Questi includono fornitori di soluzioni come Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe e altri!

Esistono anche gateway di pagamento più esclusivi che offrono opzioni uniche agli acquirenti, come Affirm, Bread, Katapult, Klarna, Sezzle e ViaBill che offrono ai consumatori opzioni acquista ora, paga dopo, e Bolt, che sostituisce la cassa WooCommerce con un'esperienza di pagamento altamente ottimizzata. Esistono anche soluzioni di pagamento B2B come PayStand e Apruve.

Allo stesso modo, ci sono host web specializzati nel mantenere sicuro il tuo ambiente di hosting eCommerce. Mentre molte piattaforme menzionano la conformità PCI, ti consigliamo di tenere d'occhio la scansione del malware, il firewall delle applicazioni Web, il rilevamento delle intrusioni, il monitoraggio 24 ore su 24, 7 giorni su 7 e altri fattori che potresti aver bisogno di un fornitore affidabile che gestisca per te.

Conclusione

È relativamente facile costruire un negozio WooCommerce, ma senza le corrette pratiche di sicurezza continue, quel negozio non sarà protetto dagli hacker. Se il negozio accetta carte di pagamento, i proprietari del sito Web sono responsabili della conformità PCI e devono selezionare anche i fornitori conformi. Fortunatamente, ci sono molti ottimi fornitori tra cui scegliere per rendere l'adesione alle normative PCI-DSS abbastanza indolore.