การปฏิบัติตาม PCI คืออะไรและฉันต้องเป็นไปตามข้อกำหนด PCI หรือไม่

การปฏิบัติตาม PCI: มันคืออะไร?

ธุรกิจบัตรเครดิตต้องปฏิบัติตามมาตรฐาน PCI เพื่อช่วยป้องกันความปลอดภัยของธุรกรรมบัตรเครดิตในระบบการเงิน การปฏิบัติตามข้อกำหนดของอุตสาหกรรมบัตรชำระเงินหมายถึงข้อกำหนดทางเทคนิคและการปฏิบัติงานของบริษัทในการปกป้องและรักษาข้อมูลผู้ถือบัตรที่ให้มาระหว่างการดำเนินการประมวลผลบัตร PCI Security Standards Council พัฒนาและจัดการมาตรฐานการปฏิบัติตาม PCI

ทำความเข้าใจเกี่ยวกับการปฏิบัติตามมาตรฐาน PCI

การประมวลผลบัตรเครดิตถูกควบคุมโดย Federal Trade Commission (FTC) เนื่องจากอยู่ภายใต้การคุ้มครองและข้อบังคับของผู้บริโภค แม้ว่าจะไม่มีการบังคับทางกฎหมายสำหรับการปฏิบัติตาม PCI แต่ก็ถูกมองว่าเป็นข้อกำหนดภายใต้คำพิพากษาของศาล

โดยทั่วไปการปฏิบัติตาม PCI เป็นองค์ประกอบที่สำคัญของกระบวนการรักษาความปลอดภัยของบริษัทบัตรเครดิตทุกแห่ง บริษัทบัตรเครดิตมักต้องการ และมีการระบุไว้ในข้อตกลงเครือข่ายบัตรเครดิต

สภาข้อกำหนดของ PCI มีหน้าที่รับผิดชอบในการพัฒนามาตรฐานการปฏิบัติตามข้อกำหนดของ PCI มาตรฐานเหล่านี้ใช้กับการประมวลผลของผู้ค้าและได้รับการปรับปรุงเพื่อรวมข้อกำหนดสำหรับธุรกรรมทางอินเทอร์เน็ตที่เข้ารหัส สถาบันสำคัญอื่น ๆ ที่เกี่ยวข้องกับกระบวนการกำหนดมาตรฐานของอุตสาหกรรมบัตรเครดิต ได้แก่ เครือข่ายสมาคมบัตรและสำนักหักบัญชีอัตโนมัติแห่งชาติ (NACHA)

จะเกิดอะไรขึ้นหากฉันไม่เป็นไปตามข้อกำหนดของ PCI

แม้ว่าการปฏิบัติตาม PCI จะเป็นข้อบังคับ แต่เจ้าของบริษัทบางคนตั้งคำถามว่าพวกเขาอาจหลีกเลี่ยงมาตรฐานหรือไม่ ซึ่งเป็นแนวคิดที่ผิดจรรยาบรรณและอาจเป็นหายนะ หากคุณไม่ปฏิบัติตามมาตรฐาน PCI คุณกำลังเสี่ยงต่อความปลอดภัยของผู้บริโภคและบริษัทของคุณ หากไม่มีการป้องกันโดยการปฏิบัติตาม PCI บริษัทของคุณอาจเสี่ยงต่อการถูกโจมตีและการละเมิดข้อมูลราคาแพง

หากเกิดการรั่วไหลของข้อมูลและองค์กรของคุณไม่ปฏิบัติตามมาตรฐาน PCI คุณอาจถูกลงโทษและปรับตั้งแต่ 5,000 ถึง 500,000 ดอลลาร์ อย่างไรก็ตาม บทลงโทษเป็นเพียงจุดเริ่มต้นของอันตรายที่เกิดจากการไม่ปฏิบัติตาม หากคุณไม่ปฏิบัติตามมาตรฐาน PCI คุณเสี่ยงที่จะสูญเสียบัญชีการค้าของคุณ ซึ่งจะทำให้คุณไม่สามารถรับชำระเงินด้วยบัตรเครดิตได้ทั้งหมด นอกจากนี้ บริษัทของคุณอาจรวมอยู่ในรายการแจ้งเตือนสมาชิกเพื่อควบคุมผู้ค้าที่มีความเสี่ยงสูง (MATCH) ซึ่งทำให้คุณไม่มีสิทธิ์สร้างบัญชีผู้ค้าใหม่เป็นเวลาหลายปี

นอกจากนี้ การละเมิดข้อมูลอาจส่งผลให้เกิดความเสียหายหลายพันดอลลาร์ การสูญเสียความเคารพและความเชื่อมั่นของผู้บริโภค และการสูญเสียแบรนด์ของคุณ เนื่องจากช่วงของบทลงโทษที่เกี่ยวข้องกับการปฏิบัติตามข้อกำหนดที่ไม่ใช่ PCI จึงควรที่จะปฏิบัติตามอย่างสมบูรณ์ที่สุดเพื่อหลีกเลี่ยงค่าปรับที่มีราคาแพงและความเสียหายอื่นๆ

ข้อกำหนด 12 ข้อสำหรับการปฏิบัติตาม PCI DSS มีอะไรบ้าง

ติดตั้งและบำรุงรักษาไฟร์วอลล์

ไฟร์วอลล์ปฏิเสธการเข้าถึงข้อมูลส่วนตัวไปยังภายนอกหรือองค์กรที่ไม่รู้จักได้อย่างมีประสิทธิภาพ ข้อควรระวังเหล่านี้มักเป็นแนวแรกของการป้องกันแฮ็กเกอร์ (ที่เป็นอันตรายหรืออย่างอื่น) เนื่องจากความสามารถในการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ไฟร์วอลล์จึงจำเป็นสำหรับการปฏิบัติตาม PCI DSS

การป้องกันรหัสผ่านที่มีประสิทธิภาพ

เราเตอร์ โมเด็ม ระบบ ณ จุดขาย (POS) และสินค้าของบุคคลที่สามอื่นๆ มักมีรหัสผ่านทั่วไปและกลไกความปลอดภัยที่เข้าถึงได้ง่ายสำหรับบุคคลทั่วไป ธุรกิจมักจะล้มเหลวในการปกป้องช่องโหว่เหล่านี้ การปฏิบัติตามข้อกำหนดในด้านนี้เกี่ยวข้องกับการรักษารายการอุปกรณ์และแอปพลิเคชันที่มีการป้องกันด้วยรหัสผ่านทั้งหมด (หรือการรักษาความปลอดภัยอื่นๆ ในการเข้าถึง) ด้วยคลังอุปกรณ์/รหัสผ่าน การป้องกันและการตั้งค่าที่จำเป็นควรนำมาใช้ (เช่น การเปลี่ยนรหัสผ่าน)

ปกป้องข้อมูลของผู้ถือบัตร

ภาระผูกพันการปฏิบัติตาม PCI DSS ที่สามคือการรักษาความปลอดภัยข้อมูลผู้ถือบัตรในสองวิธี ข้อมูลผู้ถือบัตรต้องได้รับการเข้ารหัสโดยใช้อัลกอริธึมเฉพาะ การเข้ารหัสเหล่านี้ดำเนินการโดยใช้คีย์การเข้ารหัส ซึ่งต้องเข้ารหัสเพื่อการปฏิบัติตามข้อกำหนดเช่นเดียวกัน การรักษาและสแกนหมายเลขบัญชีหลัก (PAN) เป็นประจำเป็นสิ่งที่จำเป็นเพื่อตรวจสอบว่าไม่มีข้อมูลที่ไม่ได้เข้ารหัส

เข้ารหัสข้อมูลที่ส่ง

ข้อมูลผู้ถือบัตรจะถูกส่งผ่านเส้นทางทั่วไปต่างๆ (เช่น ผู้ดำเนินการชำระเงิน สำนักงานที่บ้านจากร้านค้าในพื้นที่ ฯลฯ) เมื่อข้อมูลนี้ถูกถ่ายโอนไปยังปลายทางที่รู้จักเหล่านี้ จะต้องได้รับการเข้ารหัส นอกจากนี้ ไม่ควรให้หมายเลขบัญชีกับไซต์ที่ไม่รู้จัก

ใช้และบำรุงรักษาโปรแกรมป้องกันไวรัส

นอกเหนือจากการปฏิบัติตาม PCI DSS แล้ว การใช้ซอฟต์แวร์ป้องกันไวรัสถือเป็นแนวทางปฏิบัติที่ชาญฉลาด อย่างไรก็ตาม อุปกรณ์ทั้งหมดที่โต้ตอบกับและจัดเก็บ PAN จะต้องติดตั้งซอฟต์แวร์ป้องกันไวรัสไว้ ซอฟต์แวร์นี้ควรได้รับการติดตั้งและอัปเดตเป็นประจำ นอกจากนี้ ซัพพลายเออร์ ณ จุดขายของคุณควรใช้การป้องกันไวรัสในพื้นที่ที่ไม่สามารถปรับใช้ได้โดยตรง

อัปเดตซอฟต์แวร์

ไฟร์วอลล์และซอฟต์แวร์ป้องกันไวรัสจะต้องได้รับการอัปเดตเป็นประจำ นอกจากนี้ ควรปรับปรุงซอฟต์แวร์ทั้งหมดให้ทันสมัยอยู่เสมอ โปรแกรมซอฟต์แวร์ส่วนใหญ่รวมเอามาตรการรักษาความปลอดภัย เช่น แพตช์เพื่อแก้ไขช่องโหว่ที่ระบุใหม่ ซึ่งเป็นส่วนหนึ่งของการอัปเดต ซึ่งเป็นการเพิ่มระดับการป้องกันเพิ่มเติม การอัปเกรดเหล่านี้มีความสำคัญสำหรับซอฟต์แวร์ที่ทำงานบนอุปกรณ์ที่มีการโต้ตอบหรือจัดเก็บข้อมูลผู้ถือบัตร

จำกัดการเข้าถึงข้อมูล

ข้อมูลผู้ถือบัตรจะต้อง "จำเป็นต้องรู้" อย่างเคร่งครัด พนักงาน ผู้บริหาร และบุคคลที่สามทุกคนที่ไม่ต้องการข้อมูลนี้ควรถูกปฏิเสธการเข้าถึง ความรับผิดชอบที่ต้องการข้อมูลที่ละเอียดอ่อนควรมีการจัดทำเป็นเอกสารและปรับปรุงอย่างสม่ำเสมอ ตามที่ PCI DSS ต้องการ

รหัสการเข้าถึงที่ไม่ซ้ำ

พนักงานที่มีสิทธิ์เข้าถึงข้อมูลผู้ถือบัตรควรได้รับการระบุและแต่ละคนมีข้อมูลประจำตัวที่แยกจากกัน ตัวอย่างเช่น ไม่ควรเข้าถึงข้อมูลที่เข้ารหัสผ่านการเข้าสู่ระบบเพียงครั้งเดียว โดยมีพนักงานหลายคนทราบชื่อผู้ใช้และรหัสผ่าน ตัวระบุที่ไม่ซ้ำกันช่วยลดความไวและช่วยให้เกิดปฏิกิริยาเร็วขึ้นหากข้อมูลถูกบุกรุก

จำกัดการเข้าถึงในระดับกายภาพ

ข้อมูลใดๆ เกี่ยวกับผู้ถือบัตรจะต้องจัดเก็บไว้ในพื้นที่ปลอดภัย ข้อมูลที่เขียนหรือพิมพ์ทางกายภาพและข้อมูลที่จัดเก็บแบบดิจิทัล (เช่น บนฮาร์ดไดรฟ์) ควรได้รับการรักษาความปลอดภัยในห้องนิรภัย ลิ้นชัก หรือตู้เก็บเอกสาร ไม่ควรจำกัดการเข้าถึงเท่านั้น แต่เมื่อใดก็ตามที่มีการเข้าถึงข้อมูลที่ละเอียดอ่อน บันทึกควรได้รับการดูแลเพื่อให้แน่ใจว่ามีการปฏิบัติตาม

จัดการบันทึกการเข้าถึง

ธุรกรรมทั้งหมดที่เกี่ยวข้องกับข้อมูลผู้ถือบัตรและหมายเลขบัญชีหลัก (PAN) จะต้องถูกบันทึก บางทีความกังวลเรื่องการไม่ปฏิบัติตามข้อกำหนดที่แพร่หลายที่สุดคือการขาดการเก็บบันทึกและเอกสารที่เพียงพอสำหรับการเข้าถึงข้อมูลที่ละเอียดอ่อน การปฏิบัติตามข้อกำหนดต้องมีการติดตามการไหลของข้อมูลที่เข้าสู่บริษัทของคุณและความถี่ในการเข้าถึงที่จำเป็น นอกจากนี้ เครื่องมือซอฟต์แวร์ที่ติดตามการเข้าถึงยังมีความจำเป็นเพื่อรับรองความถูกต้อง

สแกนและทดสอบช่องโหว่

เกณฑ์การปฏิบัติตามสิบข้อข้างต้นแต่ละข้อกำหนดให้ใช้ผลิตภัณฑ์ซอฟต์แวร์ สถานที่ตั้งจริง และบุคลากรจำนวนมาก สิ่งของจำนวนมากอาจทำงานไม่ถูกต้อง ล้าสมัย หรือเกิดความผิดพลาดจากมนุษย์ เราสามารถลดความเสี่ยงเหล่านี้ได้โดยปฏิบัติตามเกณฑ์ PCI DSS สำหรับการสแกนและการทดสอบช่องโหว่เป็นประจำ

นโยบายเกี่ยวกับเอกสาร

การปฏิบัติตามข้อกำหนดจะต้องมีเอกสารเกี่ยวกับอุปกรณ์ ซอฟต์แวร์ และผู้ปฏิบัติงานที่มีสิทธิ์เข้าถึง นอกจากนี้ การบันทึกการเข้าถึงข้อมูลของผู้ถือบัตรจะต้องใช้เอกสารประกอบ นอกจากนี้ยังจำเป็นต้องบันทึกข้อมูลว่าข้อมูลเข้าสู่ธุรกิจของคุณอย่างไร ข้อมูลดังกล่าวถูกเก็บไว้ที่ใด และนำไปใช้นอกเหนือจากจุดขาย

ข้อดีของการปฏิบัติตามมาตรฐาน PCI

ข้อดีของการปฏิบัติตามข้อกำหนด ได้แก่ ลดความเสี่ยงจากการรั่วไหลของข้อมูล การปกป้องข้อมูลผู้ถือบัตร และการหลีกเลี่ยงการขโมยข้อมูลประจำตัว การปฏิบัติตามกฎระเบียบเป็นแนวทางปฏิบัติที่ดีที่สุดสำหรับธุรกิจ เนื่องจากลดโทษที่เกี่ยวข้องกับการละเมิดข้อมูล เป็นประโยชน์ต่อชื่อเสียงของแบรนด์ของบริษัท และสร้างความมั่นใจว่าผู้บริโภคพึงพอใจและมั่นใจว่าพวกเขากำลังทำธุรกิจกับบริษัทที่รับผิดชอบ ส่งผลให้เกิดความภักดีต่อแบรนด์

ธุรกิจทั้งหมดที่ยอมรับข้อมูลบัตรเครดิตมีหน้าที่ภายใต้ข้อตกลงการประมวลผลบัตรของตนเพื่อรักษาการปฏิบัติตาม PCI การปฏิบัติตาม PCI เป็นมาตรฐานอุตสาหกรรม และธุรกิจที่ไม่ปฏิบัติตามนั้นมีความเสี่ยงที่จะถูกลงโทษอย่างมีนัยสำคัญสำหรับการละเมิดสัญญาและความประมาท บริษัทที่ไม่ปฏิบัติตามมาตรฐาน PCI ยังเสี่ยงต่อการโจรกรรม การฉ้อโกง และการละเมิดข้อมูลอีกด้วย

ที่ Fixed.net เราขอแนะนำให้คุณ อย่าแตะต้องข้อมูลการ์ด นั่นหมายความว่า ใช้ผู้ให้บริการเช่น Stripe หรือ Braintree ที่ข้อมูลบัตรถูกโทเค็น ข้อมูลบัตรจะไม่ ถูกจัดเก็บ โดยคุณ และคุณมองไม่ เห็น ด้วยซ้ำ ลูกค้าป้อนรายละเอียดโดยใช้วิดเจ็ตที่ฝังตัวจากเว็บไซต์ผู้ให้บริการชำระเงิน

การปฏิบัติตาม PCI และ WordPress

WordPress เป็นซอฟต์แวร์โอเพ่นซอร์สและไม่มีระบบการชำระเงินในตัว ระบบการชำระเงินจะมาพร้อมกับปลั๊กอินเช่น WooCommerce แทน ปลั๊กอินเหล่านี้มักจะมีความสามารถในการเชื่อมโยงเกตเวย์ของบุคคลที่สามเช่น Stripe หากคุณเลือกเกตเวย์ที่คุณไม่แตะต้องข้อมูลการ์ด คุณไม่จำเป็นต้องปฏิบัติตาม PCI

การปฏิบัติตาม PCI และ WooCommerce

WooCommerce มาพร้อมกับตัวเลือกการชำระเงินจำนวนมาก และคุณสามารถขยายได้ด้วยปลั๊กอินของบุคคลที่สาม เราเข้าสู่ตัวเลือกการชำระเงินในคำแนะนำอื่นๆ ในบล็อกนี้ อย่างไรก็ตาม สมาชิกถาวรส่วนใหญ่มักจะใช้ Stripe และ PayPal ร่วมกัน