PCI 合规性和 WooCommerce – 您需要知道的一切

已发表: 2021-06-15

无论您是构建、维护还是运营电子商务网站,您都需要了解自己的安全责任。 幸运的是,有一些标准和法规可以帮助您保持在线商店的安全,例如使用 WooCommerce 构建的商店。 其中最值得注意的是支付卡行业数据安全标准 (PCI-DSS)。

所有 WooCommerce 网站都需要符合 PCI 标准吗?

不,并非所有使用 WooCommerce 的网站都必须符合 PCI-DSS。 这些规定适用于接受使用借记卡和信用卡进行在线支付的企业。如果您使用 WooCommerce 显示在线目录、接受报价请求或允许购物者下达不涉及在线的订单,则 PCI-DSS 不适用付款。

PCI 合规性的目的是什么?

PCI-DSS 可帮助确保当您的 WooCommerce 购物者使用 Visa、Mastercard、American Express 或 Discover 卡等支付卡付款时,提交的信息不会落入犯罪分子手中。 阅读更多关于什么是合规性以及它如何影响 WordPress 安全性的信息。

谁负责遵守 PCI?

这些 PCI 标准适用于所有接受、传输和/或存储持卡人数据的组织。 这包括商家、处理者、收单方、发行方和服务提供商。 本质上,任何接触持卡人数据或敏感身份验证数据的组织都必须遵守这些规则。

当然,WooCommerce 商家依赖供应商来满足这些规定。 这包括从符合 PCI 的托管到安全支付网关和处理器的所有内容。 这些供应商甚至可以让小型企业和初创公司满足这些安全要求。

是什么让 WooCommerce 网站符合 PCI 标准?

与大多数安全性一样,保持 PCI 合规性要求商家持续采取各种步骤。 最新版本的 PCI-DSS 要求和安全评估程序文档长达 139 页。 幸运的是,其中大部分将适用于支付处理器等供应商,而不是网站所有者本身。

最终,以下这些步骤将有助于确保当您填写 PCI 自我评估问卷 (SAQ) 并扫描您的网站以确定其是否符合 PCI 要求时,您会更容易通过。 它们还将有助于保护您的网站免受大多数攻击。

要记住的重要事项

  • 使您的 WordPress 软件保持最新。
  • 更新 WooCommerce 和任何其他 WordPress 插件和/或扩展。
  • 您的网络托管环境必须运行最新的软件,包括最新的安全补丁。
  • 配置和维护防火墙,或者选择一个主机来为你做这件事。 WooCommerce Web 主机通常与 Cloudflare 和 Sucuri 等 Web 应用程序防火墙 (WAF) 提供商合作,以提供 24/7 全天候监控的防火墙解决方案。
  • 利用 SSL 证书通过 HTTPS 安全地传输数据。
  • 运行恶意软件扫描程序,或选择一个持续这样做的主机。 确保有人每天都在查看安全报告——如果不是实时的。
  • 遵守最小特权访问原则,仅与绝对需要的人共享访问权限。 这可以包括基本步骤,例如让您的 WordPress 管理员只能访问白名单 IP 地址。
  • 使用唯一的用户 ID 和强密码。 安全地存储它们,并至少每 90 天更新一次密码。
  • 确保每个管理员都有自己的登录凭据——不要共享凭据。
  • 确保与您的网站交互的所有系统安全。 这包括在您用于访问 WordPress 管理员的计算机上运行最新的防病毒软件。
  • 单独托管其他应用程序。 这包括单独托管其他网站和使用单独的电子邮件托管。 此外,您网站的任何旧副本以及您网站的开发或暂存副本都不应该在您的生产(实时)托管环境中。
  • 部署入侵检测系统 (IDS) 以及早发现安全漏洞,最大限度地减少后果。
  • 继续检查您的安全性,说明对您的网站、人员和供应商所做的更改。
  • 尽可能使用多因素身份验证。 考虑添加 WordPress 双重身份验证 (2FA) 扩展,以使黑客更难访问您的 WooCommerce 商店的后端。
  • 正确存储日志和备份。 如果需要将它们作为违规调查的一部分,这一点非常重要。

如何获得 PCI 合规认证?

有提供此服务的特定供应商。 与您的支付处理商和网络托管服务提供商联系以查看他们是否提供、包含或推荐任何此类服务通常是一个好主意。 但是,PCI 安全标准委员会提供了一长串经批准的扫描供应商。 请记住,这不是一次性的程序,因此您可以希望与该供应商合作多年。

通过 PCI 扫描是否能保证我的 WooCommerce 网站安全可靠?

PCI 合规性评估解决了可观察到的安全政策和弱点,并侧重于商家所需的最低限度的安全工作。 在您的站点最初通过 PCI 合规认证后,维护您的安全至关重要。 例如,您仍然需要在发布后 30 天内安装新的安全补丁。

此外,强烈建议采取积极主动的安全措施。 总是有零日事件——利用新的安全漏洞的实例。 在这种情况下,补丁还不存在。 最好的选择是利用基本的安全工具,例如入侵检测系统 (IDS)。 这起到了警报的作用,让您有机会快速解决黑客攻击事件,从而最大限度地减少可能发生的更糟糕的事件。 一般来说,我们可以说为什么您的 WordPress 电子商务解决方案必须安全有很多原因。

使用 PA-DSS 提供商是否使站点符合 PCI 标准?

遵守支付应用程序数据安全标准 (PA-DSS) 的支付处理器不会自动使您的站点符合 PCI 标准。 网络主机也不行。 即使您使用将购物者带到场外完成交易的支付处理器,您仍然需要承担责任。 例如,如果您没有修补您的软件,并且您的 WordPress 网站被黑客入侵,那么窃贼可能会将您的结帐换成他们自己的表格,以窃取信用卡数据。 虽然某些支付网关可以降低您的违规风险,但它们不能免除您的所有安全责任。

不保持您的 WooCommerce 网站 PCI 合规的风险是什么?

如果您的 WooCommerce 网站接受支付卡并且不符合 PCI 标准,则存在很多风险。 您可能会被迫支付费用或罚款,或者发现支付处理商拒绝为您的帐户提供服务——从而切断您接受在线支付的能力。 这就是为什么 WordPress 电子商务和商业网站的 PCI DSS 合规性极其重要的原因。

如果您在不遵守 PCI-DSS 法规的情况下发生数据泄露,情况会变得更糟。 有各种各样的罚款和费用,包括潜在的法律诉讼。 这超出了您受损的声誉以及调查和缓解违规行为的成本,这也可能导致您的 WooCommerce 商店停机和收入损失。

违规后,如果您能找到愿意为您服务的供应商,您可能会发现接受支付卡变得更加困难和/或成本更高。 这实际上取决于具体情况,但如果您因为没有遵守基本安全标准而被认定为高风险,则可能会对您的业务造成严重后果。

是否有专门协助 WooCommerce 商家遵守 PCI 合规的供应商?

是的! 例如,与其让购物者提交您保留的支付卡信息,还有各种各样的支付网关可以安全地传输信用卡信息。 其中包括 Amazon Pay、Authorize.net、Braintree、CCBill、Cyber​​source、EBizCharge、Global Payments、Heartland、PayPal、Square、Stripe 等解决方案提供商!

还有更多独特的支付网关为购物者提供独特的选择,例如 Affirm、Bread、Katapult、Klarna、Sezzle 和 ViaBill,它们为消费者提供“先购买后付款”选项,以及用 Bolt 取代 WooCommerce 结帐高度优化的结帐体验。 甚至还有像 PayStand 和 Apruve 这样的 B2B 支付解决方案。

同样,有些网络主机专门用于确保您的电子商务托管环境安全。 虽然许多平台都提到了 PCI 合规性,但您需要密切关注恶意软件扫描、Web 应用程序防火墙、入侵检测、24/7 监控以及您可能需要受信任的供应商为您管理的其他因素。

结论

建立 WooCommerce 商店相对容易,但如果没有正确的持续安全实践,该商店将无法抵御黑客攻击。 如果商店接受支付卡,则网站所有者有责任遵守 PCI,他们也需要选择合规的供应商。 幸运的是,有许多优秀的供应商可供选择,以帮助您轻松遵守 PCI-DSS 法规。