การปฏิบัติตาม PCI สำหรับอีคอมเมิร์ซ: คืออะไร ข้อกำหนด ระดับ และวิธีการปฏิบัติตาม

  • PCI DSS เป็นมาตรฐานตามสัญญาที่ปกป้องข้อมูลบัตรและใช้กับธุรกิจอีคอมเมิร์ซใดๆ ที่ประมวลผล ส่งต่อ หรือจัดเก็บข้อมูลนี้
  • ประกอบด้วยวัตถุประสงค์ 6 ประการและข้อกำหนด 12 ประการ ได้แก่ เครือข่ายที่ปลอดภัย การปกป้องข้อมูล การจัดการความเสี่ยง การควบคุมการเข้าถึง การตรวจสอบ และนโยบายความปลอดภัย
  • การตรวจสอบจะแตกต่างกันไปตามปริมาณ (ระดับ 1–4) และเกี่ยวข้องกับการสแกน SAQ/ROC, AOC และ ASV ทุกไตรมาสตามความเหมาะสม
  • การใช้เกตเวย์ที่ได้รับการรับรอง การสร้างโทเค็น และการแบ่งส่วนจะช่วยลดการเข้าถึงและความเสี่ยง แต่ไม่สามารถทดแทนการปฏิบัติตามข้อกำหนดที่เหมาะสมได้
Susana Maria Urbano Mateosอัปเดตเมื่อ

นาทีที่ 4

PCI-การปฏิบัติตาม

ร้านค้าปลีกจำนวนมากที่มี เว็บไซต์อีคอมเมิร์ซ คุณอาจเคยได้ยินคำว่า PCI Compliance กันมาบ้างแล้ว แต่ไม่ใช่ทุกคนที่จะเข้าใจความหมายที่แท้จริงของมันสำหรับธุรกิจออนไลน์ ดังนั้น ต่อไปนี้เราจะอธิบายให้คุณฟังเล็กน้อยว่ามันคืออะไร มาตรฐาน PCI และเหตุใดจึงสำคัญสำหรับอีคอมเมิร์ซของคุณ

PCI Compliance คืออะไร?

ความปลอดภัย PCI สำหรับอีคอมเมิร์ซ

ก่อนอื่นคุณต้องเข้าใจว่า การปฏิบัติตาม PCI ไม่ใช่กฎหมายหรือข้อบังคับของรัฐบาลชื่อที่ถูกต้องคือ PCI DSS ซึ่งย่อมาจาก “Payment Card Industry – Data Security” Standard "และนั่นหมายถึงโดยทั่วไป มาตรฐานพร้อมข้อกำหนดด้านความปลอดภัย ซึ่งพ่อค้าแม่ค้าทั้งรายใหญ่และรายย่อยต้องปฏิบัติตาม

ผู้ค้าทุกรายต้องปฏิบัติตามมาตรฐาน PCIแม้ว่าคุณจะไม่ได้จัดการธุรกรรมจำนวนมากหรือใช้ผู้ให้บริการบุคคลที่สาม เช่น แพลตฟอร์มอีคอมเมิร์ซที่โฮสต์เพื่อส่งข้อมูลบัตรเครดิตให้บุคคลภายนอก สำหรับผู้ค้าที่จ้างบุคคลภายนอกเพื่อดำเนินการชำระเงิน ขอบเขต PCI โดยปกติจะมีขนาดเล็กกว่าและ ข้อกำหนดการตรวจสอบ แม้จะมีขนาดเล็ก แต่พวกมันก็ไม่หายไป

การปฏิบัติตาม PCI ใช้กับธุรกิจใด ๆ

การปฏิบัติตามมาตรฐาน PCI ในร้านค้าออนไลน์

Muchos ผู้ค้าปลีกอีคอมเมิร์ซ พวกเขาคิดว่ามาตรฐาน PCI ไม่สามารถนำมาใช้กับธุรกิจของพวกเขาได้เนื่องจากธุรกิจมีขนาดเล็กเกินไป แต่ในความเป็นจริง มาตรฐานนี้ใช้ได้กับ บริษัทใดๆ ที่ประมวลผล จัดเก็บ หรือส่งข้อมูลบัตรชำระเงินหากในฐานะเจ้าของร้านค้าอีคอมเมิร์ซคุณไม่ให้ความสำคัญกับความปลอดภัยและการแฮ็กส่งผลให้ข้อมูลของลูกค้าถูกขโมย คุณอาจต้องเผชิญกับผลกระทบที่ร้ายแรงตามมา

ดังนั้น การปฏิบัติตาม PCI ถือเป็นข้อบังคับหากยอมรับการชำระเงินด้วยบัตรเครดิต; การไม่ปฏิบัติตามอาจนำไปสู่ ค่าปรับตามสัญญา, ค่าธรรมเนียมเพิ่มเติมสำหรับเหตุการณ์ ต้นทุนการซื้อที่สูงขึ้น และในกรณีร้ายแรง การสูญเสียความสามารถในการประมวลผลบัตรดังนั้น การปฏิบัติตามมาตรฐาน PCI จึงมีความสำคัญต่ออีคอมเมิร์ซและเพื่อให้เป็น น่าเชื่อถือยิ่งขึ้นสำหรับลูกค้าของคุณ.

ข้อกำหนดสำคัญของ PCI DSS: วัตถุประสงค์และการควบคุม

การควบคุม PCI DSS

PCI DSS จัดกลุ่มการควบคุมออกเป็น 6 วัตถุประสงค์ y ข้อกำหนดทางเทคนิคและองค์กร 12 ประการ ที่เสริมสร้างความมั่นคงปลอดภัย :

  • สร้างและดูแลรักษาเครือข่ายให้ปลอดภัย: 1) ไฟร์วอลล์ได้รับการกำหนดค่าอย่างถูกต้อง; 2) เปลี่ยนข้อมูลประจำตัวเริ่มต้น.
  • ปกป้องข้อมูลของเจ้าของ: 3) ปกป้องข้อมูลที่จัดเก็บไว้; 4) การเข้ารหัสระหว่างทาง บนเครือข่ายสาธารณะ
  • จัดการช่องโหว่: 5) อัปเดตโปรแกรมป้องกันไวรัส/แอนตี้มัลแวร์; 6) การแก้ไขและการพัฒนาที่ปลอดภัย.
  • ควบคุมการเข้าถึง: 7) การเข้าถึงตามความจำเป็นที่ต้องรู้; 8) รหัสประจำตัวเฉพาะและ MFA; 9) การควบคุมทางกายภาพ
  • ตรวจสอบและทดสอบ: 10) การลงทะเบียนและการตรวจสอบย้อนกลับ การเข้าถึง 11) การทดสอบและการสแกนเป็นระยะ
  • นโยบายความปลอดภัย: 12) รัฐบาลและการฝึกอบรม สำหรับพนักงานทุกคน

แนวทางปฏิบัติที่ดี ได้แก่: การแบ่งส่วนเครือข่ายที่ tokenization เพื่อลดข้อมูลที่จัดเก็บ การทดสอบการเจาะข้อมูล และการตรวจสอบกฎไฟร์วอลล์ทุก 6 เดือน

ระดับการปฏิบัติตามและการตรวจสอบ

การตรวจสอบ PCI สำหรับอีคอมเมิร์ซ

  • 1 ระดับ: มากกว่า 6 ล้านรายการ/ปี จำเป็นต้องมี ร็อค โดย QSA หรือผู้ตรวจสอบภายในที่มีคุณสมบัติ AOC รายปีและ การสแกน ASV รายไตรมาส.
  • ระดับ 2–4: ปริมาณที่น้อยลง พวกเขาต้องการ SAQ รายปี (พิมพ์ตามอินทิเกรต เช่น A, A-EP, D) AOC และเมื่อใช้ได้ ASV รายไตรมาส.

ข้อกำหนดเหล่านี้คือ สัญญากับแบรนด์บัตรการไม่ปฏิบัติตามอาจนำไปสู่ ผลกระทบทางเศรษฐกิจ และการปฏิบัติงาน

วิธีการบรรลุและรักษาการปฏิบัติตามในอีคอมเมิร์ซ

1) ลดระยะ:ใช้เกตเวย์โฮสต์ การสร้างโทเค็น และการแบ่งส่วนเพื่อให้แน่ใจว่าสภาพแวดล้อมของคุณจัดการข้อมูลที่ละเอียดอ่อนน้อยลง 2) การกำหนดค่าการแข็งตัว:ลบรหัสผ่านเริ่มต้น บังคับใช้ MFA และหลักการสิทธิ์ขั้นต่ำ 3) ปกป้องข้อมูล:เข้ารหัสในระหว่างการส่ง (TLS ที่แข็งแกร่ง) และหากเก็บไว้ เข้ารหัสด้วยการจัดการคีย์ที่ปลอดภัย 4) การเฝ้าระวังอย่างต่อเนื่อง: SIEM การเก็บรักษาบันทึก การแจ้งเตือน และ การสแกน ASV รายไตรมาส 5) การทดสอบ: การทดสอบเจาะระบบเป็นระยะและการแก้ไขผลการค้นพบ 6) การจัดการช่องโหว่: สินค้าคงคลัง การแก้ไข และโปรแกรมป้องกันไวรัส 7) นโยบายและการฝึกอบรม: การตระหนักรู้ของพนักงานและการตอบสนองต่อเหตุการณ์ 8) เอกสาร:เตรียม SAQ/ROC และ AOC พร้อมหลักฐานที่อัปเดต

เกตเวย์การชำระเงินและกระเป๋าเงิน

ลอส เกตเวย์การชำระเงิน y กระเป๋าสตางค์ดิจิตอลในขณะที่ PaySafeCardต้องปฏิบัติตามมาตรฐาน PCI DSS ด้วย การรับรองของพวกเขาช่วย ลดขอบเขต ของพ่อค้าแต่ไม่ใช่ ยกเว้น เพื่อปฏิบัติตามการควบคุมที่ใช้ได้ในสภาพแวดล้อมของคุณเอง (เช่น ความปลอดภัยทางเว็บ การจัดการการเข้าถึง และบันทึก)

ข้อมูลที่ได้รับการปกป้องและแนวทางปฏิบัติที่ดี

PCI ปกป้องข้อมูลเช่น PAN (หมายเลขบัตร), ชื่อผู้ถือบัตร, วันหมดอายุ, รหัสบริการ, ติดตามข้อมูล และองค์ประกอบการตรวจสอบความถูกต้องที่ละเอียดอ่อน เช่น CVV y PIN (ไม่ควรเก็บส่วนหลังนี้ไว้) ข้อแนะนำสำคัญ: อย่าบันทึกข้อมูล เว้นแต่จำเป็น ลดการเก็บข้อมูลของคุณให้เหลือน้อยที่สุด และใช้การสร้างโทเค็น

ประโยชน์และความเสี่ยง

การปฏิบัติตาม PCI DSS ช่วยลด การหลอกลวง, ปกป้อง ชื่อเสียง และปรับปรุง ความมั่นใจ ของลูกค้า การไม่ปฏิบัติตามข้อกำหนดจะเปิดเผย ช่องว่าง, มีค่าปรับที่อาจเกิดขึ้น การตรวจสอบทางนิติวิทยาศาสตร์ที่จำเป็น และการสูญเสียความสามารถในการรับบัตร

การนำ PCI DSS มาใช้ช่วยเสริมสร้างวัฒนธรรมของ ความปลอดภัยโดยการออกแบบ ที่ช่วยป้องกันเหตุการณ์ที่มีค่าใช้จ่ายสูง อำนวยความสะดวกในการตรวจสอบ และรับรองประสบการณ์การชำระเงินที่ราบรื่นและเชื่อถือได้สำหรับลูกค้าของคุณ

บทความที่เกี่ยวข้อง:
ความปลอดภัยในการชำระเงินที่คุณทำ