Как обеспечить соответствие стандартам PCI

Совет по стандартам безопасности индустрии платежных карт разрабатывает Стандарты безопасности данных в индустрии платежных карт (PCI-DSS или просто PCI). Все организации, которые передают, обрабатывают и хранят данные банковских карт, обязаны соответствовать требованиям PCI.

Скорее всего, вы воспользуетесь хостингом, чтобы разместить свой веб-сайт и каталог товаров. Вы можете обратиться к сторонней компании (например, PayPal Checkout, Square Online Checkout или Stripe Checkout), чтобы она обрабатывала платежи от вашего имени и чтобы данные банковских карт не хранились на сервере. При этом важно обеспечить соответствие бизнеса любым дополнительным требованиям PCI.

Если вы предпочитаете принимать платежи непосредственно на веб-сайте, то мы можем предложить вам продукты, сертифицированные PCI, например Управляемый хостинг WordPress для электронной торговли, Онлайн-магазин и Онлайн-визиты. Для соответствия PCI необходимы усилия всех сторон. Поэтому, когда вы используете наши продукты с сертификацией PCI, мы организуем рабочие процессы таким образом, чтобы данные банковских карт клиентов и ваш аккаунт были надежно защищены.

Онлайн-магазин и онлайн-визиты

Выполнением платежей в Онлайн-магазине и Онлайн-визитах занимаются сторонние компании, которые обрабатывают данные банковских карт в безопасной среде. Эти сервисы используют небольшие фрагменты кода на вашем веб-сайте, чтобы клиенты могли указывать платежную информацию прямо там. Это позволяет обеспечить соответствие требованиям PCI. Однако вам нужно предпринять ряд действий для защиты аккаунта:

  • Управление пользователями
    • Всегда назначайте пользователям уникальные идентификаторы и используйте надежные пароли.
    • Не стоит использовать общие, групповые или слишком очевидные идентификаторы/пароли.
    • Удаляйте пользователей, у которых больше не должно быть доступа к данным.
  • Физические (нецифровые) данные
    • Если вы храните данные банковских карт на обычной бумаге, следите за тем, чтобы к ним не было доступа у посторонних, и избавляйтесь от них сразу, когда они становятся не нужны.
  • Соблюдение требований поставщиками услуг
    • Если для управления аккаунтом или записями вы обращаетесь к другим сервисам, убедитесь, что поставщик услуг осознает ответственность за обработку платежной информации и соблюдает необходимые требования.
  • План реагирования на инциденты
    • Составьте список лиц, с которыми вам нужно связаться, и спланируйте коммуникацию с клиентами на случай утечки данных.
  • Добавьте опросник для оценки собственного соответствия PCI A (PCI SAQ-A) совместно с вашей платежной системой (Stripe, Square или PayPal).

Примечание. Если вы принимаете платежи по телефону, возможно, вам необходимо будет обеспечить соответствие дополнительным требованиям для компьютеров и систем телефонии, используемых сотрудниками кол-центра.

Управляемый WordPress с WooCommerce

Для выполнения платежей в рамках управляемого хостинга WordPress можно использовать плагин WooCommerce. Он интегрирован со сторонними системами, которые обрабатывают данные банковских карт в своей безопасной среде. Эти сервисы используют небольшие фрагменты кода на вашем веб-сайте, чтобы клиенты могли указывать платежную информацию прямо там. Поскольку вы управляете плагинами, установленными в своем аккаунте, вам необходимо предпринять ряд дополнительных действий для соответствия требованиям PCI:

  • Обработка платежей
    • Устанавливайте для обработки платежей только плагин WooCommerce (даже если доступны другие). Это единственный сертифицированный нами плагин.
    • Не добавляйте функции или фрагменты кода, связанные с обработкой платежных данных. Мы не можем сертифицировать все пользовательские платежные процессы, добавляемые на сервер.
    • Своевременно обновляйте плагины (в течение 30 дней).
  • Управление пользователями
    • Всегда назначайте пользователям уникальные идентификаторы и используйте надежные пароли.
    • Не стоит использовать общие, групповые или слишком очевидные идентификаторы/пароли.
    • Удаляйте пользователей, у которых больше не должно быть доступа к данным.
  • Физические (нецифровые) данные
    • Если вы храните данные банковских карт на обычной бумаге, следите за тем, чтобы к ним не было доступа у посторонних, и избавляйтесь от них сразу, когда они становятся не нужны.
  • Соблюдение требований поставщиками услуг
    • Если для управления аккаунтом или записями вы обращаетесь к другим сервисам, убедитесь, что поставщик услуг осознает ответственность за обработку платежной информации и соблюдает необходимые требования.
  • План реагирования на инциденты
    • Составьте список лиц, с которыми вам нужно связаться, и спланируйте коммуникацию с клиентами на случай утечки данных.
  • Добавьте опросник для оценки собственного соответствия PCI A (PCI SAQ-A) совместно с вашей платежной системой (WooCommerce Payments, Stripe, PayPal, Square, Klarna или PayFast).

Примечание. Если вы принимаете платежи по телефону, возможно, вам необходимо будет обеспечить соответствие дополнительным требованиям для компьютеров и систем телефонии, используемых сотрудниками кол-центра.

По дополнительным вопросам обращайтесь в банк или к квалифицированному аудитору систем безопасности (QSA).

Статьи по теме


Помогла ли вам эта статья?
Благодарим вас за отзыв. Чтобы связаться с сотрудником службы поддержки клиентов, позвоните по номеру этой службы или воспользуйтесь опцией чата выше.
Мы рады вам помочь! У вас остались вопросы?
Приносим извинения. Расскажите нам, какие затруднения вы испытываете или почему рекомендованное решение не помогло устранить проблему.