Oppfyller din nettbutikk PCI DSS kravene?
Godtar, lagrer eller behandler du kredittkortinformasjon på nettstedet ditt?
Payment Card Industry Data Security Standard (PCI DSS), er et sett med sikkerhetsretningslinjer som gjelder alle virksomheter som aksepterer, lagrer og behandler kredittkortinformasjon.
Selv om du utnytter tredjeparts tjenester som Stripe, Recurly, PayPal eller et annet sikkert betalingsalternativ, har du en plikt til å følge kravene som er angitt av PCI DSS.
Utfører du skanninger etter sårbarheter og malware på ditt nettsted regelmessig?
Hvis du ikke har regelmessige skanninger, kan det hende at virksomheten din ikke er i samsvar med PCI. Hvis du ikke har et system for å utføre regelmessige skanninger øker det risikoen for at ditt nettsted blir kompromittert og at utenforstående tak i dine kundedata. Du kan tape massevis av penger – eller enda verre – hele virksomheten din.
Er nettstedet ditt beskyttet med en webapplikasjonsbrannmur?
En brannmur for nettstedsapplikasjoner er en viktig del for å bli PCI-kompatibel.
Du er ansvarlig for at ditt nettsted overholder kravene
Hvis nettstedet ditt viser seg å ikke være i samsvar med PCI-standarder, vil det være selskapet ditt som pådrar seg eventuelle økonomiske bøter på grunn av det. Nettutvikleren din eller webhotell leverandøren blir ikke bøtelagt.
Hvis du ikke oppfyller kravene, kan det også åpne for at du blir saksøkt av kunder hvis det foreligger et sikkerhetsbrudd og / eller bøter fra kredittkortprosessoren din.
Hvordan få nettstedet til å være i samsvar med PCI DSS?
Den nåværende versjonen av PCI DSS er 3.2.1, publisert i mai 2018.
PCI DSS bare har 12 hovedkrav, men hver enkelt har flere underkrav.
Kort forklart må bedriften oppfylle seks overordnede krav og tolv tekniske- og driftsmessige krav for å etterleve PCI DSS-kravene.
Her er en forenklet oversikt over kravene:
Sette opp og vedlikeholde et sikkert nettverk og sikre systemer.
1. PCI DSS Krav 1: Beskytt systemet ditt med brannmurer
Installere og vedlikeholde en brannmur som beskytter kortopplysningene.
2. PCI DSS Krav 2: Konfigurer passord og innstillinger
Ikke bruke standardinstillinger til systempassord eller andre sikkerhetsparametre.
Beskytte kortopplysningene
3. PCI DSS Krav 3: Beskytt lagrede kortholderdata
I henhold til krav 3, må lagrede kortdata krypteres ved å bruke bransjeaksepterte algoritmer. Den beste måten å oppfylle dette kravet er å bruke en pålitelig betalingsport og ikke lagre kredittkortdetaljer. Ved bare å opprettholde kunde-ID-er og vellykkede betalingsbekreftelser, reduserer du effekten av et kompromis betydelig.
4. PCI DSS Krav 4: Krypter overføring av kortholderdata
Krav 4 til PCI-DSS sier at du må kryptere overføring av kortholderdata over åpne, offentlige nettverk.
Faste og sikre prosedyrer for potensielle sårbarheter
5. PCI DSS Krav 5. Beskytt alle systemer mot skadelig programvare og oppdater regelmessig antivirusprogramvare eller -programmer
Under de fleste omstendigheter håndterer hackere ikke manuelt nettsteder for å angripe siden dette er veldig tidkrevende. De fleste angrepene mot nettsteder blir automatisert og utført av roboter som leter etter nettsteder med kjente sårbarheter.
6. PCI DSS Krav 6: Utvikle og vedlikeholde sikre systemer og applikasjoner
PCI-krav 6 sier at eiere av nettsteder må sørge for at systemkomponenter er beskyttet mot kjente sårbarheter og vanlige kodingssårbarheter må adresseres.
Det har ikke noe å si om du nettopp begynner og nettstedet ditt er lite med veldig lite trafikk. Hvis du har en sårbar CMS, utvidelse, plugin eller tema på nettstedet ditt, vil du sannsynligvis bli identifisert av en ondsinnet bot på et tidspunkt i fremtiden.
Iverksette sikre tiltak for adgangskontroll
7. PCI DSS Krav 7: Begrense tilgangen til kortholderdata etter behov fra bedriften
PCI Krav 7 sier at du må begrense tilgangen til kortholderdata etter behov fra virksomheten. Dette betyr å konfigurere systemene dine slik at de bare er tilgjengelige for autoriserte personer.
8. PCI DSS Krav 8: Tildel en unik ID til hver person med datatilgang
Krav 8 sier at du tildeler en unik ID til hver person med tilgang til systemkomponenter, slik at du kan begrense deres tilgang og overvåke deres aktiviteter.
9. PCI DSS Krav 9: Begrens fysisk tilgang til arbeidsplass- og kortholderdata
PCI-krav 9 sier at du må begrense fysisk tilgang til kortholderdata. Du har ikke lov til å lagre sensitiv informasjon som betalingskortdata som åpent tilgjengelig.
Jevnlig overvåking og testing av nettverk
10. PCI DSS Krav 10: Implementere logging og loggstyring
PCI-krav 10 er et av de viktigste kravene for PCI-etterlevelse. Dette kravet sier eksplisitt at du må implementere revisjonsspor og gjennomgå logger for å overvåke nettverdiene dine og identifisere et kompromiss eller datainnbrudd.
11. PCI DSS Krav 11: Gjennomfør sårbarhetsskanninger og penetrasjonstester
PCI Krav 11 sier at du regelmessig må teste sikkerhetssystemer og prosesser. Dette inkluderer skanning og rapportering om potensielle sårbarheter på nettstedet ditt.
Utarbeide og vedlikeholde retningslinjer for datasikkerhet
12. PCI DSS Krav 12: Dokumentasjon og risikovurderinger
Det endelige kravet for PCI-samsvar er å oppbevare dokumentasjon, retningslinjer, prosedyrer og bevis knyttet til selskapets sikkerhetspraksis.
Hva skjer hvis man ikke følger kravene?
Hvis bedriften ikke oppfyller PCI DSS-kravene, vil en mindre bedrift med begrensede økonomiske ressurser faktisk risikere hele livsgrunnlaget for bedriften.
PCI DSS ble etablert for å beskytte forbrukere og bedrifter over hele verden, og brudd på sikkerhetsreglene kan bety store bøter.
Størrelsen på boten avhenger av type sikkerhetsbrudd, men for å være sikker på å unngå bøter, bør man sørge for at bedriften overholder kravene.
Hvis det er noe man ikke skal ta lett på, så er det tross alt bedriftens sikkerhet.
Hvor begynner man?
PCI DSS har 12 kjernekrav, fordelt på hundrevis av elementer som du må følge. For mange virksomheter kan konseptet om å bli PCI DSS-kompatible være overveldende. Ta kontakt med oss for å få vite hva du bør gjøre.