Соответствие PCI и WooCommerce — все, что вам нужно знать

Независимо от того, создаете ли вы, поддерживаете или управляете веб-сайтом электронной коммерции, вы должны знать о своих обязанностях по обеспечению безопасности. К счастью, существуют стандарты и правила, которые помогут вам обеспечить безопасность и надежность интернет-магазинов, например созданных с помощью WooCommerce. Наиболее заметным среди них является стандарт безопасности данных индустрии платежных карт (PCI-DSS).

Все ли сайты WooCommerce должны быть совместимы с PCI?

Нет, не все сайты, использующие WooCommerce, должны соответствовать стандарту PCI-DSS. Эти правила применяются к предприятиям, которые принимают онлайн-платежи с помощью дебетовых и кредитных карт. PCI-DSS не применяется, если вы используете WooCommerce для отображения онлайн-каталога, приема запросов цен или разрешения покупателям размещать заказы, которые не связаны с онлайн. платежи.

Какова цель соответствия PCI?

PCI-DSS помогает гарантировать, что когда ваши покупатели WooCommerce расплачиваются платежной картой, такой как Visa, Mastercard, American Express или Discover, передаваемая информация не попадет в руки преступников. Узнайте больше о том, что такое соответствие нормативным требованиям и как оно влияет на безопасность WordPress.

Кто отвечает за соответствие требованиям PCI?

Эти стандарты PCI применяются ко всем без исключения организациям, которые принимают, передают и/или хранят данные о держателях карт. Сюда входят продавцы, процессоры, эквайеры, эмитенты и поставщики услуг. По сути, любые организации, которые касаются данных держателей карт или конфиденциальных данных аутентификации, должны соблюдать эти правила.

Продавцы WooCommerce, конечно же, зависят от поставщиков в соблюдении этих правил. Это включает в себя все, от хостинга, совместимого с PCI, до безопасных платежных шлюзов и процессоров. Такие поставщики позволяют даже малым предприятиям и стартапам соответствовать этим требованиям безопасности.

Что делает веб-сайт WooCommerce совместимым с PCI?

Как и в большинстве случаев безопасности, сохранение соответствия PCI требует от продавцов принятия различных мер на постоянной основе. Последняя версия документа PCI-DSS «Требования и процедуры оценки безопасности» занимает 139 страниц. К счастью, многое из этого относится к поставщикам, таким как платежные системы, а не к самим владельцам веб-сайтов.

В конечном счете, приведенные ниже шаги помогут гарантировать, что, когда вы заполните Анкету самооценки PCI (SAQ) и просканируете свой веб-сайт, чтобы определить, соответствует ли он требованиям PCI, вам будет намного легче сдать экзамен. Они также помогут защитить ваш сайт от большинства атак.

Важные вещи, о которых следует помнить

• Поддерживайте свое программное обеспечение WordPress в актуальном состоянии.
• Обновите WooCommerce и любые другие плагины и/или расширения WordPress.
• В вашей среде веб-хостинга должно быть установлено новейшее программное обеспечение, включая последние исправления безопасности.
• Настройте и поддерживайте брандмауэр или выберите хост, который сделает это за вас. Веб-хосты WooCommerce часто работают с поставщиками брандмауэров веб-приложений (WAF), такими как Cloudflare и Sucuri, чтобы предлагать решения брандмауэра, которые отслеживаются круглосуточно и без выходных.
• Безопасно передавайте данные по HTTPS, используя SSL-сертификаты.
• Запустите сканеры вредоносных программ или выберите хост, который делает это на постоянной основе. Убедитесь, что кто-то видит отчеты о безопасности каждый день, если не в режиме реального времени.
• Соблюдайте принцип минимального доступа, предоставляя доступ только тем, кому он абсолютно необходим. Это может включать в себя основные шаги, такие как предоставление администратору WordPress доступа только для IP-адресов из белого списка.
• Используйте уникальные идентификаторы пользователей и надежные пароли. Храните их в безопасном месте и обновляйте пароли не реже одного раза в 90 дней.
• Убедитесь, что у каждого администратора есть собственные учетные данные для входа — не делитесь учетными данными.
• Обеспечьте безопасность всех систем, которые взаимодействуют с вашим сайтом. Это включает в себя запуск актуального антивирусного программного обеспечения на компьютерах, которые вы используете для доступа к администратору WordPress.
• Размещайте другие приложения отдельно. Это включает в себя размещение других веб-сайтов отдельно и использование отдельного хостинга электронной почты. Кроме того, любые старые копии вашего веб-сайта, а также разрабатываемые или промежуточные копии вашего сайта не должны находиться в вашей рабочей (действующей) среде хостинга.
• Разверните системы обнаружения вторжений (IDS), чтобы своевременно обнаруживать нарушения безопасности и минимизировать последствия.
• Продолжайте следить за своей безопасностью, учитывая изменения, внесенные в ваш веб-сайт, персонал и поставщиков.
• По возможности используйте многофакторную аутентификацию. Рассмотрите возможность добавления расширения двухфакторной аутентификации WordPress (2FA), чтобы хакерам было труднее получить доступ к серверной части вашего магазина WooCommerce.
• Правильно храните журналы и резервные копии. Это чрезвычайно важно, если они потребуются в рамках расследования взлома.

Как получить сертификат соответствия PCI?

Есть конкретные поставщики, которые предоставляют эту услугу. Часто рекомендуется связаться с вашим платежным процессором и поставщиком веб-хостинга, чтобы узнать, предлагают ли они, включают или рекомендуют какие-либо такие услуги. Тем не менее, Совет по стандартам безопасности PCI предоставляет длинный список утвержденных поставщиков сканеров. Помните, что это не разовая процедура, поэтому вы можете рассчитывать на сотрудничество с этим поставщиком долгие годы.

Гарантирует ли прохождение сканирования PCI безопасность моего сайта WooCommerce?

Оценки соответствия требованиям PCI касаются наблюдаемых политик безопасности и слабых мест и сосредоточены на минимальных усилиях по обеспечению безопасности, требуемых продавцами. Крайне важно поддерживать вашу безопасность после того, как ваш сайт изначально был сертифицирован как PCI-совместимый. Например, вам по-прежнему необходимо устанавливать новые исправления безопасности в течение 30 дней после их выпуска.

Кроме того, настоятельно рекомендуется применять упреждающий подход к безопасности. Всегда есть события нулевого дня — случаи эксплуатации новой уязвимости системы безопасности. В таких случаях патчей еще не существует. Лучше всего использовать базовые инструменты безопасности, такие как система обнаружения вторжений (IDS). Это действует как сигнал тревоги, давая вам возможность быстро устранить случай взлома, сводя к минимуму то, что в противном случае могло бы быть гораздо более серьезным инцидентом. В общем, можно сказать, что существует множество причин, по которым ваше решение для электронной коммерции WordPress должно быть безопасным.

Делает ли сайт PCI-совместимым использование поставщика PA-DSS?

Платежные системы, которые придерживаются стандарта безопасности данных платежных приложений (PA-DSS), не делают ваш сайт автоматически совместимым с PCI. Как и веб-хостинги. Даже если вы используете платежную систему, которая выводит покупателей за пределы магазина для совершения транзакций, у вас все равно есть обязательства. Например, если вы не исправляете свое программное обеспечение, а ваш сайт WordPress взломан, воры могут подменить вашу кассу своей собственной формой, чтобы перекачать данные кредитной карты. Хотя некоторые платежные шлюзы могут снизить риск взлома, они не могут освободить вас от всех ваших обязанностей по обеспечению безопасности.

Каковы риски, если ваш сайт WooCommerce не будет соответствовать требованиям PCI?

Если ваш сайт WooCommerce принимает платежные карты и не соответствует стандарту PCI, существует множество рисков. Вас могут заставить заплатить сборы или штрафы или найти платежных систем, отказывающихся обслуживать вашу учетную запись, что лишает вас возможности принимать онлайн-платежи. Вот почему соответствие PCI DSS для сайтов электронной коммерции и бизнеса WordPress чрезвычайно важно.

Хуже, если у вас есть утечка данных, когда вы не соблюдаете правила PCI-DSS. Существуют всевозможные штрафы и расходы, включая потенциальные судебные иски. Это выходит за рамки вашей испорченной репутации и затрат на расследование и устранение нарушений, которые также могут привести к простою и потере дохода для вашего магазина WooCommerce.

После взлома вам может оказаться намного сложнее и/или дороже принимать платежные карты, если вы сможете найти поставщика, который готов вас обслуживать. Это действительно зависит от деталей, но если вы обнаружите, что подвергаетесь высокому риску из-за того, что не придерживаетесь основных стандартов безопасности, это может иметь серьезные последствия для вашего бизнеса.

Существуют ли поставщики, которые специализируются на оказании помощи продавцам WooCommerce в соответствии с требованиями PCI?

Да! Например, вместо того, чтобы покупатели предоставляли информацию о платежной карте, которую вы сохраняете, существует множество платежных шлюзов, которые могут безопасно передавать информацию о кредитной карте. К ним относятся поставщики решений, такие как Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe и другие!

Существуют также более уникальные платежные шлюзы, которые предлагают покупателям уникальные возможности, такие как Affirm, Bread, Katapult, Klarna, Sezzle и ViaBill, которые предлагают потребителям варианты «купи сейчас — плати позже», и Bolt, который заменяет кассу WooCommerce на оптимизированный процесс оформления заказа. Существуют даже платежные решения B2B, такие как PayStand и Apruve.

Точно так же есть веб-хосты, которые специализируются на обеспечении безопасности вашей среды хостинга электронной коммерции. Хотя на многих платформах упоминается соответствие PCI, вам следует следить за сканированием вредоносных программ, брандмауэром веб-приложений, обнаружением вторжений, круглосуточным мониторингом и другими факторами, которыми вам может понадобиться надежный поставщик для управления.

Вывод

Создать магазин WooCommerce относительно легко, но без правильных постоянных мер безопасности этот магазин не будет защищен от хакеров. Если магазин принимает платежные карты, владельцы веб-сайтов несут ответственность за соблюдение требований PCI, и им также необходимо выбирать соответствующих поставщиков. К счастью, существует множество отличных поставщиков, из которых можно сделать соблюдение правил PCI-DSS довольно безболезненным.