Hvem har ansvaret for PCI DSS på mitt nettsted?

Hvis du skal bruke online-betalinger på nettstedet ditt, må det være PCI-kompatibelt. Payment Card Industry Data Security Standard (PCI DSS), er et sett med sikkerhetsretningslinjer som gjelder alle organisasjoner som aksepterer, lagrer og behandler kredittkortinformasjon. Selv om du utnytter tredjeparts tjenester som Stripe, Recurly, PayPal eller et annet sikkert betalingsalternativ, har du en plikt til å følge kravene som er angitt av PCI DSS. (Når folk snakker om PCI, mener de som oftest PCI DSS.)

Hvis nettstedet ditt viser seg å ikke være i samsvar med PCI-standarden, vil det være selskapet ditt som pådrar seg økonomiske straffer på grunn av det. Nettutvikleren din eller webhotell leverandøren blir ikke bøtelagt.

Hvis du ikke følger reglene kan det åpne for at du blir saksøkt av kunder hvis det foreligger et sikkerhetsbrudd og / eller for bøter fra kortleverandøren din.

Hvis bruddet er stort nok og bøtene er tunge nok, kan det tvinge selskapet ditt ut av drift.

Formålet med PCI DSS er å styrke forbrukers sikkerhet knyttet til kortbetaling med én felles standard for behandling av kortopplysninger som må følges av alle.

Sikkerhetsstandarden er utviklet av kortselskapene Visa, Mastercard, American Express, JCB og Discover i fellesskap.

Hvem gjelder PCI DSS kravene for?

Det er ganske enkelt, PCI DSS kravene gjelder for alle bedrifter som lagrer, behandler, overfører eller på annen måte håndterer kortopplysninger.

Uansett om dere bare skal behandle én eneste korttransaksjon eller mange tusen, må dere oppfylle PCI DSS-standarden.

Hvorfor skal noen angripe akkuratnettstedet til min bedrift?

Med automatiserte skript kan hackere finne nettsteder med en nettbutikk, søke etter sårbarheter og få uautorisert tilgang. Små nettbutikker med få salg er ikke unntatt – kriminelle er opportunister og vil målrette mot tilgjengelige nettsteder eller serverressurser. Det er ofte lettere å hacke tusen små netthandelsnettsteder enn det er å hacke en stor online forhandler.

Nettsider for netthandel er mottakelige for en rekke risikoer og trusler:

Kredittkorts stjalere setter dine kunder i fare for identitetstyveri eller kredittkortsvindel.
Kapring fører til tap av salg når kunder blir omdirigert til en falsk handlekurv.
Innsprøytet innhold på nettstedet kan spre spam, malware og malvertisering.
Serverressurser kan bli stjålet og brukes i malware-kampanjer, DDoS-angrep, etc.
Hackede nettsteder kan blokkeres av søkemotorer, antivirusprogrammer og nettlesere.
Fordi det alltid vil være et visst nivå av risiko, er sikkerhet en kontinuerlig prosess.
Ikke-kompatible netthandelnettsteder får ofte heftige straffer for reguleringsmyndigheter for betalingsbransjer hvis kundene klager over svindel etter bruk av nettstedet.

PCI-standarder viser at den gjennomsnittlige kostnaden for et brudd for et stort nettsted er 4 millioner dollar, mens gjennomsnittlig kostnad for et dataovertredelse for SMB er 86 500 dollar.

Hvis det oppstår et dataovertredelse for e-butikken din, kan du til og med bli suspendert retten til å godta betaling med kredittkort.

Hvordan få nettstedet til å være i samsvar med PCI DSS?

Den nåværende versjonen av PCI DSS er 3.2.1, publisert i mai 2018.

PCI DSS bare har 12 hovedkrav, men hver enkelt har flere underkrav.

Kort forklart må bedriften oppfylle seks overordnede krav og tolv tekniske- og driftsmessige krav for å etterleve PCI DSS-kravene.

Her er en forenklet oversikt over kravene:

Sette opp og vedlikeholde et sikkert nettverk og sikre systemer.

1. PCI DSS Krav 1: Beskytt systemet ditt med brannmurer

Installere og vedlikeholde en brannmur som beskytter kortopplysningene.

2. PCI DSS Krav 2: Konfigurer passord og innstillinger

Ikke bruke standardinstillinger til systempassord eller andre sikkerhetsparametre.