PCI合规性:企业的完整指南

Melanie Peters插图

如今，电子商务销售的增长速度比以往任何时候都要快。内幕情报预计到2022年，仅美国零售电子商务销售额就将增长16.1%，达到1.06万亿美元。

此外，2022年的一项研究报告称，这将结束56%的消费者更喜欢在网上购物，比2020年增长10%。

随着越来越多的消费者在网上购物，人们与值得信赖的品牌分享了更多的个人和财务数据。

不幸的是，当消费者在网上分享敏感的身份验证数据时，黑客就会不胫而走，试图窃取这些数据。而且，如果你的公司处理在线支付，你就上了他们的黑名单。

圆周的2022年电子商务基准报告发现黑客并没有放慢脚步。恶意登录尝试峰值增加了9.13%，从2020年的84.71%增加到2021年的93.84%。就连亚马逊(Amazon)、倭黑猩猩(Bonobos)和Facebook等一些最大的电子商务公司也是如此数据泄露网络犯罪的受害者在过去的18个月里。

当消费者继续在网上购物时，品牌和零售商需要明白，如果人们信任你的网站的安全性，他们只会在你的公司购物。Baymard发现18%的用户放弃了购物车因为他们不信任网站提供他们的信用卡信息。

这就引出了一个问题:你能做些什么来防止网络安全漏洞并赢得客户的信任?

提示:成为PCI数据安全标准(DSS)兼容。

目录:

• 什么是PCI DSS?
• 电子商务PCI合规性要求和级别
• 电子商务PCI合规平台类型
• 电子商务PCI合规性检查表
• PCI合规性常见问题

什么是PCI DSS?

PCI DSS合规性表示支付卡行业数据安全标准．它是由支付卡行业安全标准委员会定义的信息安全标准，旨在改进保护持卡人数据的现有流程、检查和平衡。

它适用于存储、处理或传输来自Visa、Mastercard、Discover、American Express和JCB等地方的信用卡数据的任何组织。

2004年12月，主要信用卡品牌组成支付卡行业安全标准委员会(PCI SSC)是PCI DSS背后的组织。从那时起，PCI SSC发布了PCI DSS标准的几个更新版本。最近的更新-PCI DSS v4.0——于2022年3月上映。

图片来源

根据创建的文档理事会PCI DSS v4.0包含了几个变化，包括:

• 通过扩展多因素身份验证要求和更新密码要求，不断满足支付行业的持续安全需求。
• 促进安全作为一个持续的过程，保持领先于网络犯罪。一个例子包括添加指导以帮助人们实现和维护安全性。
• 为使用不同方法支持支付应用创新的组织增加灵活性。这包括组帐户、共享帐户和通用帐户的津贴。
• 加强验证方法和程序以支持透明度。这包括更好的报告。

PCI合规性标准的制定是为了保护发卡机构和持卡人，确保商户满足全球技术、运营和安全要求，确保所有支付数据的安全。

数据泄露的例子

最大的数据泄露Yahoo!2013年，俄罗斯间谍通过向雅虎(Yahoo!雇员和30亿账户被盗。

以下是最近零售业信用卡数据泄露的一些例子。

新水平服装(NLA)

在2021年,下一阶段服装发布新闻稿，通知客户网络钓鱼骗局。黑客非法获取信息，包括社会保险号、主要账号、信用卡号和驾驶执照号码。因此，NLA向其客户承诺额外的安全措施和增强的电子邮件安全协议。

内曼•马库斯

同样是在2021年，内曼·马库斯发现了一起数据泄露事件460万客户账户被泄露。被盗数据包括客户姓名、联系信息、信用卡号、用户名、密码，甚至虚拟礼品卡。作为对数据泄露的回应，内曼·马库斯发布了强制重置密码的命令。

2021年黑色星期五网络星期一(BFCM)攻击

在2021年最繁忙的购物周末，黑客攻击了4151家电子商务商店，原因是“Magento中已知的漏洞“这些电子商务商店大多是在Magento上自行托管的，黑客获取了个人信息和支付信息。英国国家网络安全中心的主动网络防御计划发现了安全漏洞，并敦促商家应用严格的安全补丁。

我的业务需要PCI兼容吗?

您可能想知道您是否需要成为PCI兼容。好吧，是也不是。

从技术上讲，美国联邦法律不要求PCI合规性，但有些州要求。此外，当您的组织达到一定规模时，所有主要的信用卡公司都需要PCI合规性。

如果你不遵守，信用卡公司可能会:

• 处以罚款(从每月5000至50万美元）
• 暂停您的信用卡使用权限
• 发出共同购买点(CPP)通知
• 让你对欺诈指控负责

“任何与主要信用卡公司进行交易的零售企业都被这些计划要求遵守PCI DSS要求，”该公司高级营销经理米坦吉•帕瑞克表示ob欧宝娱乐app下载地址eSentire．

“零售商可以访问信用卡数据，这些数据不仅仅是被零售商存储在某种锁着的盒子里。它通常通过零售商可能与之做生意的第三方供应商进行传输和处理。因此，符合PCI DSS要求有助于零售商确定必要的控制、政策或实践，以帮助减少零售特定的网络风险，”Parekh说。

遵守PCI遵从性标准并不是为了避免罚款。这是为了保护你的客户和他们的个人数据。当你尽一切可能减少数据泄露的可能性时，它会增加你的企业的信誉和客户的信任。

电子商务PCI合规性要求和级别

遵从级别取决于您是商家还是服务提供商。对于电子商务商家来说，有四个不同的合规级别，每个级别可能会根据信用卡方案略有不同。

您可以通过评估您每年通过各自的信用卡提供商处理的交易数量来确定您的PCI遵从性级别。下面详细介绍一下Visa、Discover和Mastercard的合规级别，以帮助您确定自己的合规级别。

PCI合规性等级1

级别1是最高的遵从级别。它适用于每年处理超过600万笔交易的商家。这一级别还包括所有每年处理超过30万笔交易的支付服务商。

PCI合规性1级验证要求包括:

• 年度自我评估使用Pci SSC saq
• 每季度网络漏洞扫描认可扫描供应商(ASV)或漏洞管理程序
• 合规证明表格和提交的文件
• 一个合资格保安评核员(QSA)完成年度合规性报告(ROC)以及季度网络扫描和合规性证明

PCI合规性等级2

第二级是针对每年处理100万到600万笔交易的商家。它还包括每年处理不到30万笔交易的支付服务商。

PCI合规性2级验证要求包括:

• 年度自我评估使用Pci SSC saq
• 每季度进行一次网络扫描认可扫描供应商
• 合规证明表格和提交的文件

PCI标准3级

第三级适用于每年处理2万到100万笔交易的小型电子商务商家。

PCI合规性三级验证要求包括:

• 年度自我评估使用Pci SSC saq
• 每季度进行一次网络扫描认可扫描供应商
• 合规证明表格和提交的文件

PCI符合性等级4

第4级适用于每年处理少量交易的公司。每年处理少于2万笔交易的商家被视为第4级。

PCI合规性第4级验证要求包括:

• 年度自我评估使用Pci SSC saq
• 每季度进行一次网络扫描认可扫描供应商
• 合规证明表格和提交的文件

电子商务PCI合规平台类型

问题不在于是否需要实现PCI合规性。你做的事情。问题是:您应该使用哪种平台来实现PCI兼容?

就像创建、管理和托管在线网站有不同的选择(例如，自托管、专用或共享)一样，也有不同的软件选项可以帮助您的电子商务商店符合PCI标准。

您的选择将取决于您的商店规模、专业知识、预算、IT人员和目标。

以下是三种主要的电子商务PCI合规平台类型，并详细介绍如何符合这三种平台:

• 商业软件
• 开源软件
• 托管软件即服务(SaaS)

经认证的商用PCI软件

购买经过认证的商业PCI软件就像为网站选择专用主机一样。

您不需要向托管公司支付费用来帮助您处理PCI兼容的所有细节，而是购买并维护自己的硬件和商业软件许可证。使用此选项，您将全权负责授权和认证您的商店，但商业PCI软件将使其更容易。

这些经过认证的商业PCI解决方案提供商通常为大型和广泛认可的电子商务商店保留:

底线如果你正在发展新的电子商务商店，没有数百万的交易需要管理，或者是第一次考虑PCI合规性，这个选项是多余的，不适合你。

• 一级电子商务合规性
• 每年有超过600万笔交易
• 强大的IT支持
• 安装、定制和维护电子商务商店和PCI遵从性要求的巨额预算

开源软件

PCI合规性的开源软件就像WordPress，您可以访问开源代码，并可以进行自己的定制以增强安全性。

使用此选项，您将为硬件付费，但不必担心支付软件许可费用。

对于大型电子商务商店来说，开源软件是一个很好的解决方案，这些商店的开发人员自己编写代码，但希望自动控制入站。换句话说，开源软件将允许您的电子商务商店开发人员继续编写代码，并且放心该软件将阻止不兼容的元素进入他们的代码库。

底线是:如果你正在创建一个具有独特代码的高度定制的电子商务商店或应用程序，而不是在Shopify这样的平台上构建，但没有商业PCI合规解决方案的预算或专业知识，那么开源可能适合你。

托管软件即服务(SaaS)

使用托管的PCI遵从性SaaS解决方案类似于在共享托管平台上构建站点。

大多数大型电子商务商店(如Shopify)都提供托管SaaS作为其服务的一部分。换句话说，您可以创建Shopify商店，而不必担心站点的安全性，因为Shopify内置了PCI合规性。

Parekh表示:“大多数电子商务商店通常不需要做任何特定的事情来符合PCI标准，因为如果商店托管在Shopify这样的平台上，它们就会自动符合PCI标准。

然而，重要的是要记住，无论你选择哪种选项(甚至是托管)，如果你是2-4级商人，你仍然需要填写一份自我评估问卷。如果您是一级商人，您必须填写问卷和ROC。

底线如果你正在Shopify这样的商业平台上建立一个电子商务商店，这个选项很适合你。您不必担心在硬件或许可证上花钱，并且您将毫不费力地保持PCI兼容。

2022电子商务PCI合规性清单

好消息是，如果你在像Shopify这样的SaaS解决方案上建立你的电子商务商店，你的商店将自动符合PCI标准。您不必担心每年遵循严格的步骤来确保PCI合规性。

“对于一个新的电子商务企业家来说，最好的建议是选择一个已经符合PCI标准的平台，这样你就会被默认覆盖。PCI合规性非常昂贵，更大、更成熟的零售商可以投资，但对小企业来说并不实用，”Parekh说。

如果您选择投资商业PCI解决方案或开源PCI遵从性平台，那么您的IT团队将需要遵循以下12个步骤。这是一个高层次的概述，但明智的做法是参考PCI DSS要求．

图片来源

1.安装和维护网络安全控制

安装和维护网络安全控制(nsc)意味着安装防火墙来保护持卡人的数据。这包括只允许受信任的流量进入持卡人数据环境(CDE)，正确配置和维护nsc，以及为所有卡数据存储创建高度安全的区域。

2.对所有系统组件应用安全配置

黑客经常试图通过使用默认密码设置来访问敏感信息来攻破系统。由于默认密码很容易通过公共信息确定，因此请确保对系统组件应用安全配置。此外，更改默认密码，使其更安全。

3.保护存储的帐户数据

如果您正在存储信用卡信息或其他敏感数据，请确保使用点对点加密、截断、屏蔽和散列等保护方法。尽一切努力把风险降到最低。这包括不存储不必要的信息，截断持卡人数据，不通过电子邮件或即时消息发送敏感信息。

4.保护持卡人的数据与强大的加密

使用强大的加密技术来保护数据，特别是在通过极易受到攻击的网络(尤其是公共网络)进行传输时。

5.保护所有系统和网络免受恶意软件的侵害

恶意软件包括特洛伊木马、间谍软件、病毒、蠕虫、勒索软件、rootkit和链接。黑客利用这些来渗透计算机系统。为您的持卡人提供反恶意软件和反病毒软件解决方案。

6.开发和维护安全的系统和软件

在供应商提供的安全补丁、监控软件生命周期(SLC)和实现安全编码技术的帮助下，避免黑客攻击。确保系统组件有软件补丁，以防止入侵和恶意软件。

7.限制对系统组件数据的访问

确保关键数据只能在需要知道的基础上由授权系统访问。创建规则，为IT人员提供特定的访问权限和特权，以便他们只完成必要的任务。

8.识别用户并验证对系统组件的访问

通过建立用户的身份并设置验证流程来验证用户。考虑要求用户提供身份证明来验证他们的身份。

9.限制对持卡人数据的物理访问

通过限制物理访问来保护持卡人数据的传输。这意味着删除硬拷贝和任何其他包含敏感信息的物理文档。如果你需要硬拷贝，限制敏感信息。

10.记录和监控所有对系统组件和持卡人数据的访问

保护持卡人数据的另一个关键步骤是设置日志记录机制并跟踪用户活动。系统组件上的日志有助于在发生违规时进行跟踪、更改和分析。

11.定期测试系统和网络的安全性

黑客不会休息，所以不要在检查你系统的安全性上睡觉。实现工具、流程和测试网络，经常对安全性进行压力测试。

12.通过组织政策和计划支持信息安全

花点时间把你的安全和合规信息写下来。然后，让所有员工了解您的合规政策是什么，以及它们如何在保护客户数据方面发挥关键作用。

为什么PCI兼容对您的业务是最好的

在当今的高科技世界里，黑客无处不在，而且他们一天比一天精明。的联邦调查局网络犯罪投诉中心最近表示，从2021年1月到7月31日，共有2,084起勒索软件投诉，同比增长62%。

随着互联网的发展和黑客的技术越来越好，电子商务公司采取行动提高安全性至关重要。

保护敏感数据并继续赢得消费者信任的方法是遵循PCI遵从性标准。

“遵守PCI SSC标准可确保您实施了防范网络威胁的最佳实践，并减少了影响零售组织的网络风险，”Parekh说。“此外，如果你不能证明你的电子商务商店符合PCI标准，许多信用卡支付方案将不允许你传输、存储甚至处理信用卡交易。”

最重要的是，发展电子商务业务需要你赢得客户的信任——如果他们的数据在你那里不安全，你就无法做到这一点。

使用Shopify保护您的网站安全

到了紧要关头，你有责任保护客户的信用卡信息和其他敏感数据。

除非你是一名高技能的开发人员，拥有保护电子商务网站的经验，并确保它们100%符合PCI标准，否则保护客户数据的最佳方法是借助一点帮助。

换句话说，最好依靠托管的SaaS工具(嗯哼，Shopify)的帮助来保证客户信用卡数据的安全。当您使用Shopify建立您的电子商务商店时，您可以放心，它将符合PCI标准。