PCI合规性:企业完整指南

插图:Melanie Peters

如今电子商务销售的增长速度比以往任何时候都要快。内幕情报预计2022年美国零售电子商务销售额将增长16.1%，达到1.06万亿美元。

此外，2022年Raydiant的一项研究报告称，结束了56%的消费者更喜欢网上购物，这比2020年增长了10%。

随着越来越多的消费者在网上购物，人们会与值得信赖的品牌分享更多的个人和财务数据。

不幸的是，当消费者在网上分享敏感的身份验证数据时，黑客就会突然冒出来，试图窃取这些数据。而且，如果你的公司处理在线支付，你就在他们的攻击名单上。

圆周2022年的电子商务基准报告发现黑客并没有减速。恶意登录尝试峰值增加了9.13%，从2020年的84.71%增加到2021年的93.84%。就连亚马逊(Amazon)、Bonobos和Facebook等一些最大的电子商务公司也一直如此数据泄露网络犯罪的受害者在过去18个月里。

虽然消费者继续在网上购物，但品牌和零售商需要明白，人们只有在相信你的网站安全的情况下才会在你的公司购物。Baymard发现18%的用户放弃了购物车因为他们不相信网站能提供他们的信用卡信息。

这就引出了一个问题:你能做些什么来防止网络安全漏洞并赢得客户的信任?

提示:成为PCI数据安全标准(DSS)兼容。

目录:

• 什么是PCI DSS?
• 电子商务PCI合规要求和级别
• 电子商务PCI合规平台类型
• 电子商务PCI合规检查表
• PCI法规FAQ

什么是PCI DSS?

PCI DSS合规性代表支付卡行业数据安全标准．它是由支付卡行业安全标准委员会定义的信息安全标准，旨在改善现有的流程、检查和平衡，以保护持卡人的数据。

它适用于存储、处理或传输来自Visa、Mastercard、Discover、American Express和JCB等地方的信用卡数据的任何组织。

2004年12月，主要信用卡品牌成立了支付卡行业安全标准委员会(PCI SSC)是PCI DSS背后的组织。从那时起，PCI SSC发布了几个PCI DSS标准的更新版本。最新的更新-PCI DSS v4.0于2022年3月上映。

图片来源

根据创建的文件理事会， PCI DSS v4.0包含了几个变化，包括:

• 通过扩展多因素身份验证要求和更新密码要求，不断满足支付行业持续的安全需求。
• 促进安全作为一个持续的过程，以保持领先于网络犯罪。一个例子包括添加指导来帮助人们实现和维护安全性。
• 为使用不同方法支持支付应用程序创新的组织增加灵活性。这包括组帐户、共享帐户和通用帐户的余额。
• 加强验证方法和程序以支持透明度。这包括更好的报告。

制定PCI合规性标准是为了保护发卡机构和持卡人，确保商户满足全球技术、操作和安全要求，以保证所有支付数据的安全。

数据泄露的例子

最大的数据泄露历史上最伟大的成就是雅虎!2013年，俄罗斯间谍向雅虎发送虚假电子邮件，入侵了该公司的数据库。雇员和30亿个账户被泄露。

以下是零售业最近发生的信用卡数据泄露事件的一些例子。

新境界服饰(NLA)

在2021年,新境界服装发布新闻稿，通知客户有关网络钓鱼骗局。黑客非法获取了包括社会安全号码、主要账户号码、信用卡号码和驾照号码在内的信息。因此，NLA向其客户承诺了额外的安全措施和增强的电子邮件安全协议。

内曼•马库斯

同样是在2021年，内曼·马库斯发现了一起数据泄露事件460万客户账户被泄露。被盗数据包括客户姓名、联系方式、信用卡号、用户名、密码，甚至还有虚拟礼品卡。作为对数据泄露的回应，尼曼·马库斯发布了强制密码重置。

2021年黑色星期五网络星期一(BFCM)黑客攻击

在2021年最繁忙的购物周末，黑客攻击了4151家电商商店。Magento的弱点这些电子商务商店大多是在Magento上自行运营的，黑客窃取了个人信息和支付信息。英国NCSC的主动网络防御计划发现了安全漏洞，并敦促商家应用严格的安全补丁。

我的业务需要PCI兼容吗?

您可能想知道是否需要符合PCI标准。嗯，是也不是。

从技术上讲，美国联邦法律不要求符合PCI标准，但一些州要求。此外，当您的组织达到一定规模时，所有主要的信用卡公司都要求符合PCI标准。

如果你不遵守，信用卡公司可能:

• 处以罚款(从每月5000至50万美元）
• 暂停你的信用卡使用特权
• 发出共同采购点通知
• 以欺诈罪起诉你

“任何与主要信用卡公司进行交易的零售业务都被这些计划要求遵守PCI DSS要求，”该公司高级营销经理Mitangi Parekh说ob欧宝娱乐app下载地址eSentire．

“零售商可以访问信用卡数据，这些数据不只是被零售商存储在某种锁着的盒子里。数据被传输和处理，通常与零售商可能有业务往来的第三方供应商进行。因此，符合PCI DSS要求有助于零售商确定必要的控制、政策或实践，以帮助降低零售特定的网络风险。”

遵守PCI标准并不是为了避免罚款。这是关于保护你的客户和他们的个人数据。当你尽你所能减少数据泄露的可能性时，它会增加你的业务可信度和客户的信任。

电子商务PCI合规要求和级别

合规级别取决于您是商家还是服务提供商。对于电子商务商家，有四种不同的合规级别，每一种都可能因信用卡计划而略有不同。

您可以通过评估每年通过各自信用卡提供商处理的交易数量来确定您的PCI合规性级别。以下是Visa、Discover和Mastercard的合规级别，以帮助您确定自己的合规级别。

PCI标准1级

级别1是最高的遵从性级别。它适用于每年处理超过600万笔交易的商人。该级别还包括每年处理超过30万笔交易的所有支付服务商。

PCI合规性1级验证要求包括:

• 年度自我评估使用Pci SSC saq
• 每季度进行一次网络漏洞扫描认可扫描供应商(ASV)或漏洞管理程序
• 合规证明表格和提交的文件
• 一个合格证券评估员(QSA)完成合规性年度报告(ROC)，以及每季度的网络扫描和合规性认证

PCI标准2级

第2级适用于每年处理100万至600万笔交易的商家。它还包括每年处理不到30万笔交易的支付服务商。

PCI合规性2级验证要求包括:

• 年度自我评估使用Pci SSC saq
• 每季度进行一次网络扫描认可扫描供应商
• 合规证明表格和提交的文件

PCI标准3级

3级适用于每年处理2万至100万笔交易的小型电子商务商家。

PCI合规性3级验证要求包括:

• 年度自我评估使用Pci SSC saq
• 每季度进行一次网络扫描认可扫描供应商
• 合规证明表格和提交的文件

PCI标准4级

第4级适用于每年处理较少交易量的公司。每年处理少于2万笔交易的商家被认为是第4级。

PCI合规性4级验证要求包括:

• 年度自我评估使用Pci SSC saq
• 每季度进行一次网络扫描认可扫描供应商
• 合规证明表格和提交的文件

电子商务PCI合规平台类型

问题不在于您是否需要实现PCI遵从性。你做的事情。问题是:您应该使用什么样的平台来实现PCI兼容?

就像在线创建、管理和托管网站有不同的选项一样(例如，自托管、专用或共享)，也有不同的软件选项可以帮助您的电子商务商店符合PCI标准。

你的选择取决于你的商店规模、专业知识、预算、IT员工和目标。

以下是三种主要的电子商务PCI合规平台类型，并详细介绍如何在这三种平台上实现合规:

• 商业软件
• 开源软件
• 托管软件即服务(SaaS)

经过认证的商业PCI软件

购买经过认证的商业PCI软件就像为网站选择专用主机一样。

您无需向托管公司支付费用，让他们帮助您处理符合PCI标准的所有细节，而是购买并维护自己的硬件和商业软件许可证。使用此选项，您只需独自负责授权和认证您的商店，但商业PCI软件将使其更容易。

这些经过认证的商业PCI解决方案提供商通常为大型和广泛认可的电子商务商店保留，包括:

底线:如果你正在发展新的电子商务商店，没有数百万的交易要管理，或者是第一次寻找PCI合规性，这个选项是多余的，不适合你。

• 1级电子商务合规
• 每年超过600万笔交易
• 健壮的IT支持
• 用于安装、定制和维护电子商务商店和PCI遵从性要求的大预算

开源软件

用于PCI合规性的开源软件就像WordPress，您可以访问开源代码，并可以进行自定义以增强安全性。

使用此选项，您将为硬件付费，但不必担心支付软件许可费用。

对于大型电子商务商店来说，开源软件是一个很好的解决方案，开发人员自己编写代码，但想要自动化输入控制。换句话说，开源软件将允许你的电子商务商店开发人员继续编码，并且放心，软件将阻止不合规的元素进入他们的代码库。

底线是:如果您正在创建一个具有独特代码的高度定制的电子商务商店或应用程序，而不是在Shopify这样的平台上构建，但没有预算或专业知识用于商业PCI合规解决方案，那么开源可能适合您。

托管软件即服务(SaaS)

使用托管的PCI合规SaaS解决方案就像在共享托管平台上构建站点。

大多数大型电子商务商店(如Shopify)提供托管SaaS作为其服务的一部分。换句话说，您可以创建Shopify商店，而不必担心站点的安全性——因为Shopify内置了PCI遵从性。

“大多数电子商务商店通常不需要做任何特定的事情来符合PCI标准，因为如果商店托管在像Shopify这样的平台上，它们将自动符合PCI标准，”Parekh说。

然而，重要的是要记住，无论你选择哪种选择(即使是托管)，如果你是2-4级商家，你仍然需要填写一份自我评估问卷。如果你是1级商户，你必须填写调查问卷和ROC。

底线:如果你正在像Shopify这样的商务平台上建立一个电子商务商店，这个选项适合你。您不必担心在硬件或许可证上花钱，并且您可以轻松地保持PCI兼容。

2022年电子商务PCI合规检查清单

好消息是，如果您在Shopify这样的SaaS解决方案上构建电子商务商店，您的商店将自动符合PCI标准。您不必担心每年都要遵循严格的步骤来确保PCI合规性。

“对于一个新的电子商务企业家来说，最好的建议是选择一个已经符合PCI标准的平台，这样你就可以默认覆盖。符合PCI标准是非常昂贵的，更大、更成熟的零售商可以投资，但对小企业来说是不现实的，”Parekh说。

如果您选择投资于商业PCI解决方案或开源PCI合规平台，那么您的IT团队将需要遵循以下12个步骤。这是一个高层次的概述，但明智的做法是咨询PCI DSS要求．

图片来源

1.安装和维护网络安全控制

安装和维护网络安全控制(nsc)意味着安装防火墙来保护持卡人的数据。这包括只允许可信流量进入持卡人数据环境(CDE)，正确配置和维护nsc，以及为所有卡数据存储创建一个高度安全的区域。

2.对所有系统组件应用安全配置

黑客经常试图通过使用默认密码设置来访问敏感信息来入侵系统。由于默认密码很容易通过公共信息确定，因此请确保对系统组件应用安全配置。此外，更改默认密码，使它们更安全。

3.保护存储的帐户数据

如果您正在存储信用卡信息或其他敏感数据，请确保您具有点对点加密、截断、屏蔽和哈希等保护方法。尽一切努力降低风险。这包括不存储不必要的信息，截断持卡人数据，以及不通过电子邮件或即时消息发送敏感信息。

4.使用强大的加密保护持卡人数据

使用强大的加密技术来保护数据，特别是在极易受到攻击的网络(尤其是公共网络)上传输数据时。

5.保护所有系统和网络免受恶意软件的侵害

恶意软件包括木马、间谍软件、病毒、蠕虫、勒索软件、rootkit和链接。黑客利用这些来渗透计算机系统。为您的持卡人提供反恶意软件和防病毒软件解决方案。

6.开发和维护安全系统和软件

使用供应商提供的安全补丁、监控软件生命周期(SLC)和实现安全编码技术来避免黑客攻击。确保系统组件有软件补丁，以防止入侵和恶意软件。

7.限制对系统组件数据的访问

确保关键数据只能由授权系统在需要了解的基础上访问。创建规则，为IT人员提供特定的访问权限和特权，以完成必要的任务。

8.识别用户并验证对系统组件的访问

通过建立用户的身份并将验证过程落实到位来验证用户。考虑要求用户提供身份证明，以核实他们的身份。

9.限制对持卡人数据的物理访问

通过限制物理访问来保护持卡人数据的传输。这意味着删除含有敏感信息的硬拷贝和任何其他物理文件。如果您确实需要硬拷贝，请限制敏感信息。

10.记录和监控对系统组件和持卡人数据的所有访问

保护持卡人数据的另一个关键步骤是设置日志记录机制并跟踪用户活动。系统组件的日志有助于跟踪、修改和分析入侵事件。

11.定期测试系统和网络的安全性

黑客是不会休息的，所以不要在检查系统安全性上偷懒。实现工具、流程和测试网络来经常对安全性进行压力测试。

12.通过组织政策和计划支持信息安全

花点时间把你的安全和合规信息写下来。然后，教育您的所有员工了解您的合规政策是什么，以及他们如何在保护客户数据方面发挥关键作用。

为什么符合PCI标准是对您的业务最好的事情

在当今的高科技世界里，黑客无处不在，而且他们每天都在变得更加精明。的联邦调查局的网络犯罪投诉中心该公司最近表示，从2021年1月至7月31日，共有2084起勒索软件投诉，同比增长62%。

随着互联网的发展，黑客的技术越来越好，对电子商务公司来说，采取行动提高安全性至关重要。

保护敏感数据并继续赢得消费者信任的方法是遵循PCI遵从性标准。

Parekh说:“遵守PCI SSC标准可确保您实施了最佳实践，以防范网络威胁并减少影响零售组织的网络风险。”“此外，如果你不能证明你的电子商务商店符合PCI标准，许多信用卡支付计划将不允许你传输、存储甚至处理信用卡交易。”

最重要的是，发展电子商务业务需要你赢得客户的信任，如果他们的数据在你那里不安全，你就无法做到这一点。

保持你的网站安全与Shopify

到了紧要关头，保护客户信用卡信息和其他敏感数据的责任就落在了你的身上。

除非你是一个高度熟练的开发人员，有保护电子商务网站的经验，并确保它们100%符合PCI标准，否则保护客户数据的最佳方法是提供一点帮助。

换句话说，最好依靠托管的SaaS工具(比如Shopify)来保证客户信用卡数据的安全。当您与Shopify建立电子商务商店时，您可以放心，它将符合PCI标准。