PCI 合規性和 WooCommerce – 您需要知道的一切

已發表: 2021-06-15

無論您是構建、維護還是運營電子商務網站,您都需要了解自己的安全責任。 幸運的是,有一些標準和法規可以幫助您保持在線商店的安全,例如使用 WooCommerce 構建的商店。 其中最值得注意的是支付卡行業數據安全標準 (PCI-DSS)。

所有 WooCommerce 網站都需要符合 PCI 標準嗎?

不,並非所有使用 WooCommerce 的網站都必須符合 PCI-DSS。 這些規定適用於接受使用借記卡和信用卡進行在線支付的企業。如果您使用 WooCommerce 顯示在線目錄、接受報價請求或允許購物者下達不涉及在線的訂單,則 PCI-DSS 不適用付款。

PCI 合規性的目的是什麼?

PCI-DSS 可幫助確保當您的 WooCommerce 購物者使用 Visa、Mastercard、American Express 或 Discover 卡等支付卡付款時,提交的信息不會落入犯罪分子手中。 閱讀更多關於什麼是合規性以及它如何影響 WordPress 安全性的信息。

誰負責遵守 PCI?

這些 PCI 標準適用於所有接受、傳輸和/或存儲持卡人數據的組織。 這包括商家、處理者、收單方、發行方和服務提供商。 本質上,任何接觸持卡人數據或敏感身份驗證數據的組織都必須遵守這些規則。

當然,WooCommerce 商家依賴供應商來滿足這些規定。 這包括從符合 PCI 的託管到安全支付網關和處理器的所有內容。 這些供應商甚至可以讓小型企業和初創公司滿足這些安全要求。

是什麼讓 WooCommerce 網站符合 PCI 標準?

與大多數安全性一樣,保持 PCI 合規性要求商家持續採取各種步驟。 最新版本的 PCI-DSS 要求和安全評估程序文檔長達 139 頁。 幸運的是,其中大部分將適用於支付處理器等供應商,而不是網站所有者本身。

最終,以下這些步驟將有助於確保當您填寫 PCI 自我評估問卷 (SAQ) 並掃描您的網站以確定其是否符合 PCI 要求時,您會更容易通過。 它們還將有助於保護您的網站免受大多數攻擊。

要記住的重要事項

  • 使您的 WordPress 軟件保持最新。
  • 更新 WooCommerce 和任何其他 WordPress 插件和/或擴展。
  • 您的網絡託管環境必須運行最新的軟件,包括最新的安全補丁。
  • 配置和維護防火牆,或者選擇一個主機來為你做這件事。 WooCommerce Web 主機通常與 Cloudflare 和 Sucuri 等 Web 應用程序防火牆 (WAF) 提供商合作,以提供 24/7 全天候監控的防火牆解決方案。
  • 利用 SSL 證書通過 HTTPS 安全地傳輸數據。
  • 運行惡意軟件掃描程序,或選擇一個持續這樣做的主機。 確保有人每天都在查看安全報告——如果不是實時的。
  • 遵守最小特權訪問原則,僅與絕對需要的人共享訪問權限。 這可以包括基本步驟,例如讓您的 WordPress 管理員只能訪問白名單 IP 地址。
  • 使用唯一的用戶 ID 和強密碼。 安全地存儲它們,並至少每 90 天更新一次密碼。
  • 確保每個管理員都有自己的登錄憑據——不要共享憑據。
  • 確保與您的網站交互的所有系統安全。 這包括在您用於訪問 WordPress 管理員的計算機上運行最新的防病毒軟件。
  • 單獨託管其他應用程序。 這包括單獨託管其他網站和使用單獨的電子郵件託管。 此外,您網站的任何舊副本以及您網站的開發或暫存副本都不應該在您的生產(實時)託管環境中。
  • 部署入侵檢測系統 (IDS) 以及早發現安全漏洞,最大限度地減少後果。
  • 繼續檢查您的安全性,說明對您的網站、人員和供應商所做的更改。
  • 盡可能使用多因素身份驗證。 考慮添加 WordPress 雙重身份驗證 (2FA) 擴展,以使黑客更難訪問您的 WooCommerce 商店的後端。
  • 正確存儲日誌和備份。 如果需要將它們作為違規調查的一部分,這一點非常重要。

如何獲得 PCI 合規認證?

有提供此服務的特定供應商。 與您的支付處理商和網絡託管服務提供商聯繫以查看他們是否提供、包含或推薦任何此類服務通常是一個好主意。 但是,PCI 安全標準委員會提供了一長串經批准的掃描供應商。 請記住,這不是一次性的程序,因此您可以希望與該供應商合作多年。

通過 PCI 掃描是否能保證我的 WooCommerce 網站安全可靠?

PCI 合規性評估解決了可觀察到的安全政策和弱點,並側重於商家所需的最低限度的安全工作。 在您的站點最初通過 PCI 合規認證後,維護您的安全至關重要。 例如,您仍然需要在發布後 30 天內安裝新的安全補丁。

此外,強烈建議採取積極主動的安全措施。 總是有零日事件——利用新的安全漏洞的實例。 在這種情況下,補丁還不存在。 最好的選擇是利用基本的安全工具,例如入侵檢測系統 (IDS)。 這起到了警報的作用,讓您有機會快速解決黑客攻擊事件,從而最大限度地減少可能發生的更糟糕的事件。 一般來說,我們可以說為什麼您的 WordPress 電子商務解決方案必須安全有很多原因。

使用 PA-DSS 提供商是否使站點符合 PCI 標準?

遵守支付應用程序數據安全標準 (PA-DSS) 的支付處理器不會自動使您的站點符合 PCI 標準。 網絡主機也不行。 即使您使用將購物者帶到場外完成交易的支付處理器,您仍然需要承擔責任。 例如,如果您沒有修補您的軟件,並且您的 WordPress 網站被黑客入侵,那麼竊賊可能會將您的結帳換成他們自己的表格,以竊取信用卡數據。 雖然某些支付網關可以降低您的違規風險,但它們不能免除您的所有安全責任。

不保持您的 WooCommerce 網站 PCI 合規的風險是什麼?

如果您的 WooCommerce 網站接受支付卡並且不符合 PCI 標準,則存在很多風險。 您可能會被迫支付費用或罰款,或者發現支付處理商拒絕為您的帳戶提供服務——從而切斷您接受在線支付的能力。 這就是為什麼 WordPress 電子商務和商業網站的 PCI DSS 合規性極其重要的原因。

如果您在不遵守 PCI-DSS 法規的情況下發生數據洩露,情況會變得更糟。 有各種各樣的罰款和費用,包括潛在的法律訴訟。 這超出了您受損的聲譽以及調查和緩解違規行為的成本,這也可能導致您的 WooCommerce 商店停機和收入損失。

違規後,如果您能找到願意為您服務的供應商,您可能會發現接受支付卡變得更加困難和/或成本更高。 這實際上取決於具體情況,但如果您因為沒有遵守基本安全標準而被認定為高風險,則可能會對您的業務造成嚴重後果。

是否有專門協助 WooCommerce 商家遵守 PCI 合規的供應商?

是的! 例如,與其讓購物者提交您保留的支付卡信息,還有各種各樣的支付網關可以安全地傳輸信用卡信息。 其中包括 Amazon Pay、Authorize.net、Braintree、CCBill、Cyber​​source、EBizCharge、Global Payments、Heartland、PayPal、Square、Stripe 等解決方案提供商!

還有更多獨特的支付網關為購物者提供獨特的選擇,例如 Affirm、Bread、Katapult、Klarna、Sezzle 和 ViaBill,它們為消費者提供“先購買後付款”選項,以及用 Bolt 取代 WooCommerce 結帳高度優化的結帳體驗。 甚至還有像 PayStand 和 Apruve 這樣的 B2B 支付解決方案。

同樣,有些網絡主機專門用於確保您的電子商務託管環境安全。 雖然許多平台都提到了 PCI 合規性,但您需要密切關注惡意軟件掃描、Web 應用程序防火牆、入侵檢測、24/7 監控以及您可能需要受信任的供應商為您管理的其他因素。

結論

建立 WooCommerce 商店相對容易,但如果沒有正確的持續安全實踐,該商店將無法抵禦黑客攻擊。 如果商店接受支付卡,則網站所有者有責任遵守 PCI,他們也需要選擇合規的供應商。 幸運的是,有許多優秀的供應商可供選擇,以幫助您輕鬆遵守 PCI-DSS 法規。