Conformidade PCI e WooCommerce – Tudo o que você precisa saber

Esteja você construindo, mantendo ou operando um site de comércio eletrônico, você precisa estar ciente de suas responsabilidades de segurança. Felizmente, existem padrões e regulamentos que podem ajudá-lo a manter as lojas online, como as construídas com WooCommerce, seguras e protegidas. O mais notável deles é o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS).

Todos os sites WooCommerce precisam ser compatíveis com PCI?

Não, nem todos os sites que usam WooCommerce precisam ser compatíveis com PCI-DSS. Esses regulamentos se aplicam a empresas que aceitam pagamentos on-line com cartões de débito e crédito. O PCI-DSS não se aplica se você estiver usando o WooCommerce para exibir um catálogo on-line, aceitar solicitações de cotação ou permitir que os compradores façam pedidos que não envolvam on-line pagamentos.

Qual é o objetivo da conformidade com o PCI?

O PCI-DSS está aqui para ajudar a garantir que, quando seus compradores WooCommerce pagam com um cartão de pagamento como Visa, Mastercard, American Express ou Discover, as informações enviadas não acabem nas mãos de criminosos. Leia mais sobre O que é conformidade regulatória e como isso afeta a segurança do WordPress.

Quem é responsável por estar em conformidade com o PCI?

Esses padrões PCI se aplicam a toda e qualquer organização que aceite, transmita e/ou armazene dados do titular do cartão. Isso inclui comerciantes, processadores, adquirentes, emissores e provedores de serviços. Em essência, qualquer organização que toque nos dados do titular do cartão ou nos dados de autenticação confidenciais deve aderir a essas regras.

Os comerciantes WooCommerce dependem, é claro, de fornecedores para atender a esses regulamentos. Isso inclui tudo, desde hospedagem compatível com PCI até gateways e processadores de pagamento seguros. Esses fornecedores possibilitam que até mesmo pequenas empresas e startups atendam a esses requisitos de segurança.

O que torna um site WooCommerce compatível com PCI?

Como acontece com a maioria das seguranças, manter a conformidade com o PCI exige que os comerciantes tomem várias etapas continuamente. A versão mais recente do documento Requisitos e procedimentos de avaliação de segurança do PCI-DSS tem 139 páginas. Felizmente, muito disso se aplicará a fornecedores como processadores de pagamento, e não aos próprios proprietários do site.

Em última análise, essas etapas abaixo ajudarão a garantir que, quando você preencher um Questionário de Autoavaliação PCI (SAQ) e verificar seu site para determinar se ele atende aos requisitos do PCI, você terá uma passagem muito mais fácil. Eles também ajudarão a manter seu site protegido da maioria dos ataques.

Itens importantes a serem lembrados

• Mantenha seu software WordPress atualizado.
• Atualize o WooCommerce e quaisquer outros plugins e/ou extensões do WordPress.
• Seu ambiente de hospedagem na web deve estar executando software atualizado, incluindo os patches de segurança mais recentes.
• Configure e mantenha um firewall ou selecione um host que fará isso por você. Os hosts da web WooCommerce geralmente trabalham com provedores de Web Application Firewall (WAF), como Cloudflare e Sucuri, para oferecer soluções de firewall que são monitoradas 24 horas por dia, 7 dias por semana.
• Transmita dados com segurança por HTTPS aproveitando certificados SSL.
• Execute verificadores de malware ou selecione um host que faça isso continuamente. Certifique-se de que alguém esteja vendo relatórios de segurança todos os dias – se não em tempo real.
• Observe os princípios de acesso menos privilegiado, compartilhando o acesso apenas com aqueles que realmente precisam. Isso pode incluir etapas básicas, como tornar seu administrador do WordPress acessível apenas a endereços IP da lista de permissões.
• Use IDs de usuário exclusivos e senhas fortes. Armazene-os com segurança e atualize as senhas pelo menos a cada 90 dias.
• Certifique-se de que cada administrador tenha suas próprias credenciais de login – não compartilhe credenciais.
• Mantenha todos os sistemas que interagem com seu site seguros. Isso inclui a execução de software antivírus atualizado em computadores que você usa para acessar seu administrador do WordPress.
• Hospede outros aplicativos separadamente. Isso inclui hospedar outros sites separadamente e usar hospedagem de e-mail separada. Além disso, quaisquer cópias antigas de seu site, bem como cópias de desenvolvimento ou de teste de seu site, não devem estar em seu ambiente de hospedagem de produção (ao vivo).
• Implante sistemas de detecção de intrusão (IDS) para detectar brechas de segurança antecipadamente, minimizando as consequências.
• Continue revisando sua segurança, levando em consideração as alterações feitas em seu site, pessoal e fornecedores.
• Sempre que possível, use a autenticação multifator. Considere adicionar uma extensão de autenticação de dois fatores do WordPress (2FA) para dificultar o acesso de hackers ao back-end da sua loja WooCommerce.
• Armazene corretamente os logs e backups. Isso é extremamente importante caso sejam necessários como parte de uma investigação de violação.

Como obtenho minha Certificação de Conformidade PCI?

Existem fornecedores específicos que fornecem este serviço. Muitas vezes, é uma boa ideia entrar em contato com seu processador de pagamento e provedor de hospedagem na web para ver se eles oferecem, incluem ou recomendam esses serviços. No entanto, há uma longa lista de fornecedores de varredura aprovados disponíveis no PCI Security Standards Council. Lembre-se de que este não é um procedimento único, portanto, você pode esperar trabalhar com esse fornecedor por muitos anos.

A aprovação de um PCI Scan garante que meu site WooCommerce esteja seguro e protegido?

As avaliações de conformidade do PCI abordam políticas e fraquezas de segurança observáveis ​​e se concentram nos esforços mínimos de segurança exigidos pelos comerciantes. É crucial manter sua segurança depois que seu site foi inicialmente certificado como compatível com PCI. Por exemplo, você ainda precisa instalar novos patches de segurança dentro de 30 dias após o lançamento.

Além disso, é altamente recomendável adotar uma abordagem proativa à segurança. Sempre há eventos de dia zero – instâncias em que uma nova vulnerabilidade de segurança é explorada. Nesses casos, os patches ainda não existem. Sua melhor aposta é aproveitar as ferramentas básicas de segurança, como um sistema de detecção de intrusão (IDS). Isso funciona como um alarme, dando a você a oportunidade de resolver uma instância de hacking rapidamente, minimizando o que poderia ser um incidente muito pior. Em geral, podemos dizer que existem muitas razões pelas quais sua solução de comércio eletrônico WordPress deve ser segura.

O uso de um provedor PA-DSS torna um site compatível com PCI?

Os processadores de pagamento que aderem ao Payment Application Data Security Standard (PA-DSS) não tornam seu site compatível com PCI automaticamente. Nem os hosts da web. Mesmo se você usar um processador de pagamento que leve os compradores para fora do local para concluir suas transações, você ainda terá responsabilidades. Por exemplo, se você não estiver corrigindo seu software e seu site WordPress for invadido, os ladrões podem trocar seu checkout por um formulário próprio para desviar os dados do cartão de crédito. Embora alguns gateways de pagamento possam reduzir seus riscos de violação, eles não podem absolvê-lo de todas as suas responsabilidades de segurança.

Quais são os riscos de não manter seu site WooCommerce compatível com PCI?

Se o seu site WooCommerce aceita cartões de pagamento e não é compatível com PCI, há muitos riscos. Você pode ser forçado a pagar taxas ou multas ou encontrar processadores de pagamento que se recusam a atender sua conta – cortando sua capacidade de aceitar pagamentos online. É por isso que a conformidade com o PCI DSS para sites de comércio eletrônico e negócios do WordPress é extremamente importante.

Fica pior se você tiver uma violação de dados sem aderir aos regulamentos PCI-DSS. Existem todos os tipos de multas e custos, incluindo possíveis ações legais. Isso está além da sua reputação danificada e dos custos de investigar e mitigar uma violação, que também pode causar tempo de inatividade e perda de receita para sua loja WooCommerce.

Após uma violação, você pode achar muito mais difícil e/ou mais caro aceitar cartões de pagamento, se encontrar um fornecedor que esteja disposto a atendê-lo. Isso realmente depende dos detalhes, mas se você for considerado de alto risco porque não aderiu aos padrões básicos de segurança, isso pode ter sérias consequências em seus negócios.

Existem fornecedores especializados em ajudar os comerciantes WooCommerce com conformidade com PCI?

Sim! Por exemplo, em vez de os compradores enviarem informações de cartão de pagamento que você retém, há uma grande variedade de gateways de pagamento que podem transmitir informações de cartão de crédito com segurança. Isso inclui provedores de soluções como Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe e muito mais!

Existem também gateways de pagamento mais exclusivos que oferecem opções exclusivas aos compradores, como Affirm, Bread, Katapult, Klarna, Sezzle e ViaBill, que oferecem opções de compra agora e pague depois aos consumidores, e Bolt, que substitui o checkout WooCommerce por uma experiência de checkout altamente otimizada. Existem até soluções de pagamento B2B como PayStand e Apruve.

Da mesma forma, existem hosts da web especializados em manter seu ambiente de hospedagem de comércio eletrônico seguro. Embora muitas plataformas mencionem a conformidade com PCI, você deve ficar atento à verificação de malware, firewall de aplicativos da Web, detecção de intrusão, monitoramento 24 horas por dia, 7 dias por semana e outros fatores que você pode precisar que um fornecedor confiável gerencie para você.

Conclusão

É relativamente fácil construir uma loja WooCommerce, mas sem as práticas corretas de segurança em andamento, essa loja não estará protegida contra hackers. Se a loja aceitar cartões de pagamento, os proprietários do site são responsáveis ​​por serem compatíveis com PCI e precisam selecionar fornecedores que também sejam compatíveis. Felizmente, existem muitos fornecedores excelentes para escolher para ajudar a tornar a adesão aos regulamentos PCI-DSS bastante indolor.