Como o Hostinger ajuda sua loja a permanecer compatível com PCI

Ter uma loja compatível com PCI requer esforços sustentados de você e de seu provedor de hospedagem. Embora não existam atalhos, escolher um provedor de hospedagem na web confiável é um ponto de partida eficaz. Mesmo assim, a maioria dos requisitos de PCI só pode ser atendida por você, o comerciante. Continue lendo para saber mais sobre a linha divisória entre host e comerciante e por que pode valer a pena ir além do PCI para seus clientes.

O que é PCI?

No comércio eletrônico, PCI é uma abreviação de Padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS). Criado em 2004, o PCI DSS visa ajudar a proteger os consumidores e prevenir fraudes com cartões de crédito. É necessário para qualquer organização que receba, processe ou armazene dados de cartão de crédito de qualquer um dos cinco membros do Conselho de Segurança PCI: VISA, MasterCard, American Express, Discover e JCB.

A lista de requisitos é extensa, para dizer o mínimo. Os requisitos abrangem seis categorias e cada categoria é dividida em várias centenas de requisitos específicos. Alguns estão exclusivamente sob o domínio de comerciantes ou provedores de hospedagem, enquanto alguns se estendem a ambos. A conformidade com o PCI também não é um requisito único, uma vez que o Conselho de Segurança faz ajustes periódicos para enfrentar novas ameaças aos consumidores.

A conformidade não é um evento “único”. Requer tarefas diárias, semanais, mensais e anuais para manter a conformidade. Existem 12 requisitos gerais divididos em seis categorias. Para fins ilustrativos, listamos essas mesmas categorias, mas também incluímos requisitos mais específicos do PCI DSS.

6 categorias principais para conformidade com PCI

Construa e mantenha uma rede segura. Instalar e manter um firewall. Use senhas exclusivas e de alta segurança com cuidado especial para substituir as senhas padrão.

Proteja os dados do titular do cartão. Sempre que possível, não armazene dados do titular do cartão. Se houver necessidade comercial de armazenar dados do titular do cartão, você deverá proteger esses dados. Criptografe todos os dados transmitidos por redes públicas, incluindo dados transmitidos entre seu carrinho de compras, seu provedor de hospedagem na Web e seus clientes.

Mantenha um programa de gerenciamento de vulnerabilidades. Use software antivírus e mantenha-o atualizado. Desenvolver e manter sistemas operacionais e aplicativos de pagamento seguros. Certifique-se de que seus aplicativos de software antivírus sejam compatíveis com as empresas de cartão escolhidas.

Ler:  Como desenvolver um aplicativo móvel usando Python 2024 [The Definitive Guide]

Implemente medidas fortes de controle de acesso. O acesso aos dados do titular do cartão, tanto eletrônicos quanto físicos, deve ser feito com base na necessidade de conhecimento. Certifique-se de que as pessoas com acesso eletrônico tenham um ID e uma senha exclusivos. Não permita que pessoas compartilhem credenciais de login. Eduque você e seus funcionários sobre segurança de dados e, especificamente, sobre o PCI Data Security Standard (DSS).

Monitore e teste regularmente as redes. Rastreie e monitore todos os acessos às redes e aos dados do titular do cartão. Mantenha um cronograma regular de testes para sistemas e processos de segurança, incluindo: firewalls, patches, servidores web, servidores de e-mail e antivírus.

Manter uma política de segurança da informação. Estabeleça uma política de segurança de dados organizacional clara e completa. Divulgar e atualizar esta política regularmente.

A não conformidade com o PCI pode resultar em multas que variam entre US$ 5.000 e US$ 100.000 por mês, dependendo do tamanho da organização infratora, sua gravidade e outros fatores. A não conformidade também pode resultar em ações legais, violações de segurança e perda de receita.

Requisitos PCI para provedores de hospedagem

É virtualmente impossível para um comerciante típico ser compatível com PCI sem contratar os serviços de um provedor de hospedagem compatível. Os comerciantes que hospedam seus próprios sites devem atender aos requisitos do provedor de hospedagem, além dos requisitos dos comerciantes. Esse modelo funciona para grandes empresas como Amazon e WalMart, mas para poucas outras.

A seguir estão alguns dos destaques de nossos sistemas e políticas que sustentam nosso status como provedor de hospedagem compatível com PCI. O termo “ambiente de dados do titular do cartão” refere-se a qualquer sistema que armazene, processe ou transmita dados de cartão de crédito, bem como qualquer sistema que tenha acesso ao próprio ambiente de dados do titular do cartão.

Mantemos um firewall de aplicação web (WAF), que monitora todas as conexões entre o ambiente de dados do titular do cartão e outras redes. O ModSec proíbe o acesso público a áreas sensíveis, identifica conexões não confiáveis ​​e oculta endereços IP e informações de roteamento de partes não autorizadas.

Aplicamos padrões de configuração aceitos pelo setor para todos os componentes do sistema que abordam todas as vulnerabilidades de segurança conhecidas. Isso se estende à nossa rede interna e externa, aos nossos sistemas operacionais e ao hardware necessário para hospedar serviços da web.

Ler:  O guia definitivo para escolher o construtor de sites mais barato

Aplicamos criptografia e protocolos de segurança que criptografam e protegem os dados do titular do cartão, mesmo quando transmitidos por redes públicas. Os certificados SSL e outras chaves de segurança confiáveis ​​são aplicados unilateralmente. Somente cifras TLS modernas são permitidas.

Restringimos o acesso físico ao nosso data center com políticas de segurança 24 horas e uma equipe treinada para implementá-las. Isso inclui, mas não está limitado a:

  • Vigilância por vídeo com histórico de filmagens de 90 dias
  • Entrada segura com pelo menos autenticação de dois fatores (PIN, cartão de acesso) na maioria das áreas, e autenticação de três fatores (PIN, cartão de acesso, impressão digital) em áreas que abrigam o ambiente de dados do titular do cartão
  • Identificação visível em todos os membros da equipe
  • Política de visitantes que impede o acesso público não autorizado; indivíduos externos autorizados têm acesso apenas às áreas exigidas e são acompanhados em todos os momentos
  • Os membros da equipe terão acesso ao ambiente de dados do titular do cartão somente se sua função exigir isso
  • Acesso restrito a tomadas de rede, pontos de acesso sem fio, gateways, redes e outras linhas de comunicação

Rastreamos e monitoramos o acesso aos recursos da rede e aos dados do titular do cartãoembora caiba aos clientes manter logs e monitorar logins para seus próprios aplicativos (Magento, WordPress e assim por diante).

Testamos regularmente nossos sistemas e processos de segurançae realizar testes de penetração internos em intervalos regulares, bem como após qualquer atualização significativa da infraestrutura.

Requisitos PCI para Comerciantes

Implementada corretamente, a conformidade com o PCI ajuda os comerciantes a aderir às práticas recomendadas comumente aceitas de segurança de dados. Hospedar com um provedor compatível com PCI é um primeiro passo sólido, mas tornar-se compatível ainda requer ação de sua parte.

Se sua loja aceita cartões de crédito como forma de pagamento, ela deve ser compatível com PCI, independentemente de você armazenar esses dados ou não. Escolher um host compatível com PCI é apenas o primeiro passo. A maioria dos hosts da web confiáveis ​​pode fornecer aos comerciantes materiais descrevendo suas respectivas responsabilidades mediante solicitação, mas, em última análise, cabe aos comerciantes compreender e atender a esses requisitos.

Lamentavelmente, não existe uma lista de verificação “tamanho único”. Suas responsabilidades específicas variarão de acordo com seu nível de comerciante (1–4, sendo 1 o mais alto), que geralmente é determinado pelo número de transações de cartão de crédito que sua loja processa anualmente.

O processo geral para a maioria dos comerciantes é:

  1. Identifique, compreenda e implemente os requisitos apropriados do PCI DSS.
  2. Preencha um Questionário de Autoavaliação (SAQ). O SAQ é uma lista de verificação que descreve os requisitos. Dependendo do seu nível, alguns ou todos eles se aplicarão a você. Os comerciantes de nível 1 são os que têm mais requisitos; nível 4, o mínimo. Resista à tentação de simplesmente “marcar todas as caixas” do SAQ. Fazer isso coloca seus clientes em risco e expõe sua empresa a responsabilidades. O PCI pode perder dinheiro com violações e, em resposta, pode investigar seu SAQ e AOC.
  3. Envie para uma verificação trimestral por um Fornecedor de digitalização aprovado (ASV)uma autoridade independente e qualificada que realiza verificações de vulnerabilidades externas em seus sistemas.
  4. Preencha o Atestado de Conformidade (AOC), um documento afirmando que você está qualificado para executar e de fato executou o SAQ da melhor maneira possível.
  5. Se for classificado como comerciante de nível 1, você deverá realizar etapas adicionais, incluindo uma avaliação no local.
Ler:  Introdução ao Git

Se superar o obstáculo considerável da conformidade com o PCI não lhe agrada, você não está sozinho. Seu provedor de hospedagem pode responder perguntas relacionadas à sobreposição de responsabilidades e terceiros Avaliadores de segurança qualificados (QSAs) podem ajudar as empresas enfrentam o desafio do PCI (por um preço).

Mesmo as empresas que oferecem apenas PayPal, Auth.net e outros serviços de pagamento como opções de pagamento devem ser compatíveis com PCI porque essas empresas ainda devem transmitir dados de cartão de crédito.

Um componente universal é a necessidade de confirmar se todos os seus provedores de serviços são compatíveis com PCI. Isso inclui seu provedor de hospedagem, mas também se estende a processadores de pagamento, gateways de pagamento, provedores de PDV e quaisquer outras entidades que interajam com os dados do titular do cartão de seus clientes.

Alguns fundamentos do PCI para comerciantes

  • Mantenha a conformidade com o PCI. A conformidade requer conscientização contínua e aplicação diária. As tarefas variam entre diárias e anuais, mas todas são recorrentes.
  • Não basta marcar “Sim” em todas as perguntas do SAQ. A devida diligência protege sua empresa e seus clientes.
  • Conheça o seu código ou use um desenvolvedor que o conheça. Implemente as melhores práticas de implantação usando sites de teste e de desenvolvimento, sem exceção.
  • Estabeleça uma política de senha segura. Use senhas complexas e exclusivas e nunca permita que sua equipe compartilhe credenciais de login ou use senhas padrão.
  • Habilite a autenticação de dois fatores para todos os seus usuários internos e considere fornecê-la como uma opção para clientes que fazem login em seu site.
  • Use um firewall de aplicativo da web (WAF). Na Hostinger, oferecemos um para todos os clientes e está habilitado por padrão.
  • Não acredite apenas na palavra do seu provedor de hospedagem. Confirme que eles são compatíveis com PCI e são competentes solicitando (e obtendo) seu Atestado de Conformidade (AOC).
  • Mantenha seus aplicativos e extensões atualizados com a versão estável mais recente e monitore ativamente novas ameaças e versões.
Ler:  Zendrop vs CJDropshipping: Qual é melhor para dropshipping?

Além do PCI

Se a conformidade com o PCI fosse suficiente, as violações de organizações de alto perfil seriam muito menos comuns. Compatível não deve significar complacente.

Na realidade, a conformidade com o PCI é “Segurança de Dados do Titular do Cartão 101”. É o padrão mínimo aceitável e uma introdução razoável, mas o PCI está longe de ser infalível. As empresas de cartão de crédito exigem conformidade. Os comerciantes que aderem aos padrões PCI serão mais eficazes na proteção dos consumidores do que as empresas que apenas os elogiam da boca para fora, mas a conformidade com o PCI é apenas o primeiro passo.

A própria natureza do PCI – um documento grande e com curadoria atualizado apenas periodicamente – o torna vulnerável. As normas consideradas suficientes na versão “atual” são frequentemente expostas como inadequadas. Pode levar meses ou até anos para que o PCI “alcance”, e os malfeitores estão bem cientes de suas limitações.

A melhor proteção é o conhecimento. Na Hostinger, temos membros de equipe especializados em segurança na web que estão bem informados sobre as mais novas ameaças, violações e contramedidas. Muitos comerciantes podem relutar em contratar os serviços de um especialista em segurança. No mínimo, recomendamos assinar notificações de segurança para seu aplicativo de comércio eletrônico e seguir pelo menos uma fonte confiável de notícias sobre segurança na web. Ambas as fontes reagem muito mais rápido que o PCI, e segui-las ajudará você a “identificar a fumaça” antes que ela se transforme em incêndio.

Estamos na lista!

Não se esqueça, estamos “na lista” de fornecedores compatíveis com PCI reconhecidos oficialmente pelo Visa Global Registry. Isso significa que demonstramos um compromisso contínuo em revisar e melhorar nossas políticas de segurança para atender e exceder os requisitos de conformidade do PCI. Se você está procurando um provedor compatível com PCI, hospedar com Hostinger significa que você está hospedando com um provedor aprovado e reconhecido. Saiba mais sobre hospedagem compatível com PCI com Hostinger.

Para obter orientação sobre conformidade com PCI, entre em contato com nossa equipe de vendas entre 9h e 17h, horário do leste, de segunda a sexta-feira.

Novas publicações:

Recomendação