Conformidade com WooCommerce PCI: como cumprir os requisitos PCI-DSS

Em um estudo de 2022 sobre a confiança do consumidor, o TrustedSite descobriu que roubo de cartão de crédito continua sendo a principal preocupação para clientes online, seguido pela legitimidade comercial.

Na verdade, o Instituto Baymard descobriu que 18% dos clientes pode adicionar um produto ao carrinho e abandoná-lo por falta de confiança no site.

Se você tem uma loja WooCommerce, como desenvolver essa confiança?

Conformidade com PCI-DSS. A conformidade com os padrões de segurança de dados do setor de cartões de pagamento (PCI-DSS) faz com que seus clientes se sintam seguros e permite que você faça negócios sem preocupações. Sem mencionar que é um requisito se você armazenar, transferir ou processar informações de cartão de pagamento.

Continue lendo para saber por que a conformidade com PCI-DSS é importante, o que ela exige e como tornar sua loja WooCommerce compatível com PCI.

Importância da conformidade com PCI-DSS

A conformidade com PCI-DSS oferece benefícios para clientes e proprietários de empresas. Os clientes podem comprar livremente sem se preocupar com roubo de cartão de crédito. Em contraste, os proprietários de empresas desfrutam de menos ataques de segurança cibernética devido ao aumento da segurança.

Além dos benefícios, normalmente você precisa estar em conformidade com o PCI-DSS para aproveitar o suporte dos métodos de pagamento. Por exemplo, a Mastercard afirma que “todos os comerciantes que armazenam, processam ou transmitem dados do titular do cartão devem estar em conformidade com o PCI”.

Vamos nos aprofundar nos requisitos do PCI-DSS.

Requisitos PCI-DSS

Formado por Visa, Mastercard, JCB, American Express e Discover, o conselho de segurança de padrões da indústria de cartões de pagamento (PCI SSC) descreve os 12 requisitos a seguir em seu guia de referência rápida para PCI DSS:

  • Configure um firewall forte para proteger as informações do cartão de pagamento.
  • Utilize senhas exclusivas para todos os sistemas com acesso aos dados dos cartões de pagamento.
  • Configure protocolos de segurança para proteger os dados do cartão de pagamento durante o armazenamento.
  • Use canais seguros e criptografados para transferir dados de cartões entre redes.
  • Faça verificações de segurança regulares para manter seu sistema livre de malware e vírus.
  • Opte por sistemas seguros e certifique-se de tapar todas as falhas de segurança.
  • Limite o acesso aos dados apenas às pessoas e sistemas necessários.
  • Implementar medidas de autenticação para acesso a dados dentro dos sistemas envolvidos
  • Limite o acesso físico aos dados do cartão de crédito.
  • Rastreie todas as atividades de rede relacionadas aos dados do cartão de crédito.
  • Execute auditorias de segurança regulares.
  • Mantenha seus funcionários atualizados sobre as melhores práticas de segurança da informação por meio de uma política definida.
Ler:  Como aumentar o tráfego do blog para ganhar dinheiro com blogs

Em outras palavras, o conselho de padrões de segurança PCI exige que você implemente uma atualização de segurança completa para proteger os dados do titular do cartão.

Obtenha hospedagem compatível com PCI da Hostinger

Mantenha sua loja segura para que você possa processar informações de cartão de crédito com segurança

Como tornar sua loja WooCommerce compatível com PCI

Agora que sabemos por que a conformidade com o PCI é importante e quais requisitos você deve cumprir, vamos ver como tornar seu WooCommerce compatível aos olhos do PCI-SSC.

Determine os níveis de conformidade exigidos

Antes de mais nada, você precisa determinar o nível de conformidade necessário, que depende de quantas transações você processa a cada ano.

No momento em que este artigo foi escrito, Visa e Mastercard definem os níveis de conformidade do comerciante como (sendo o Nível 1 o mais rigoroso):

  • Nível 1 — Comerciantes com mais de seis milhões de transações anuais.
  • Nível 2 — Comerciantes com transações anuais entre um milhão e seis milhões.
  • Nível 3 — Comerciantes com transações anuais entre 20.000 e um milhão.
  • Nível 4 — Comerciantes com menos de 20.000 transações anuais.

No entanto, se você aceitar JCB ou American Express, poderá ter que lidar com requisitos mais rígidos com ainda menos transações. Por exemplo, a American Express exige conformidade de Nível 1 para 2,5 milhões de transações anuais, enquanto a JCB exige o mesmo para um milhão ou mais de transações.

O nível do comerciante decide se você enviará um questionário de autoavaliação (SAQ) ou será avaliado por um avaliador de segurança qualificado (QSA).

Audite o processo atual

A conformidade do WooCommerce PCI depende do seu processo de pagamento, pois o WooCommerce não armazena nenhum dado de cartão de pagamento por si só.

Ler:  Como usar a API WooCommerce

Por exemplo, se você direcionar os clientes para o site do gateway de pagamentoos clientes não inserem seus dados confidenciais em seu site e você nem sequer toca neles.

Isso ocorre quando você usa o plugin de pagamentos WooCommerce PayPal como o Nalgene.

Quando os clientes clicam no botão, eles são direcionados para o servidor do PayPal.

Embora isso possa salvá-lo de regulamentações rígidas do PCI-DSS, não é uma opção de pagamento personalizada. E dado isso 49% dos clientes podem se tornar compradores recorrentes com personalização, será melhor ter uma experiência de checkout personalizada.

Por exemplo, se você usar o Stripe, poderá personalizar o front-end como achar melhor, como a beleza molhada e selvagem, e ainda contar com os servidores do Stripe recebendo pagamentos externos.

Neste caso, listra coleta o número do cartão e outros dados por meio de tokens secretos, e os dados nunca chegam aos seus servidores. No entanto, o malware pode impedir o cliente de se conectar ao servidor Stripe e roubar os dados do cartão de pagamento, portanto, pode ser necessário tomar medidas extras para tornar sua loja WooCommerce compatível com PCI.

Embora o Stripe seja uma ótima alternativa, ele cobra 2,9% + 30 centavos para cada transação bem-sucedida. Essas taxas podem aumentar e afetar os resultados financeiros de uma empresa que lida com muitos pedidos.

É por isso que as grandes lojas WooCommerce muitas vezes optam por um gateway de pagamento personalizado para reduzir taxas. Por exemplo, confira a página de doações da Visão Mundial.

Neste caso, o a loja online processa os dados do cartão de pagamento e os armazena para uso futuroque está sujeito a rigorosos requisitos de conformidade com PCI.

Se sua loja WooCommerce fizer o mesmo, você deverá manter os padrões de segurança exigidos pelo PCI SSC. Caso contrário, você poderá estar sujeito a multas ou suspensão do suporte à forma de pagamento.

Configurar medidas de segurança

Dependendo dos seus processos atuais, pode ser necessário:

Uma camada de soquetes seguros (SSL) criptografa a transferência de dados entre um navegador e seu servidor web. Se estiver solicitando aos clientes que insiram os detalhes do cartão de pagamento no formulário nativo do seu site, você deverá garantir que os dados do cartão de pagamento permaneçam criptografados durante a transferência para estar em conformidade com o PCI-DSS.

Na verdade, recomendamos adicionar um certificado SSL a cada site, independentemente de você gerenciar uma loja de comércio eletrônico ou não, já que a maioria dos navegadores sinaliza qualquer site sem certificado SSL como inseguro.

Ler:  Como fazer o site de uma empresa rapidamente com WordPress

Ao adicionar um certificado SSL, você constrói confiança entre seus clientes. Se você estiver hospedando seu site em outro host e não estiver pronto para mudar, poderá comprar um certificado SSL da Hostinger. Caso contrário, você obtém SSL gratuitamente com todos os planos de hospedagem Hostinger.

Como a maioria dos requisitos do PCI-DSS tratam da segurança de dados, a conformidade com o PCI depende em grande parte do provedor de hospedagem. Em outras palavras, você deve procurar um provedor de hospedagem na web compatível com PCI.

Ao procurar um host compatível com PCI, certifique-se de que o host ofereça:

  • Firewall forte: Um firewall robusto manterá agentes maliciosos longe dos dados de pagamento com cartão para garantir que eles permaneçam seguros. Certifique-se de que o host tenha definido controles de segurança de rede de acesso que permitam apenas que o tráfego relevante entre em contato com dados confidenciais.
  • Verificações de malware: seu plano de hospedagem deve vir com verificações automatizadas de malware para proteger os dados do titular do cartão. Você também deve ter proteção contra bots mal-intencionados, atividades suspeitas e ataques de força bruta.
  • Rede segura: certifique-se de que você pode confiar no provedor de hospedagem para cuidar dos procedimentos de segurança – desde a atualização regular do software até a revisão do código personalizado.
  • Acesso físico limitado: Os provedores de hospedagem devem seguir uma política de segurança rigorosa, onde os funcionários só têm acesso a áreas sensíveis se necessário. Além disso, deve contar com registro de visitantes, vigilância em todo o site e acesso restrito aos controles da rede.

Com Hostinger, você desfruta de hospedagem compatível com PCI em todos os planos de hospedagem. Cumprimos todos os requisitos de hospedagem para que você possa fazer negócios sem estresse.

De acordo com a Verizon, 82% das violações de dados envolveu o elemento humano. Para garantir que sua loja WooCommerce não sofra violações de dados causadas por erro humano, você deve implementar uma política de segurança de site que a proteja das falhas de segurança mais comuns.

Para começar, implemente a autorização de dois fatores (2FA). Dessa forma, mesmo que um hacker obtenha nome de usuário e senha por meio de um ataque de phishing, ele não terá o segundo fator de autenticação para acessar seus dados.

Ler:  Stefan Zweifel em sua jornada como desenvolvedor Laravel...

Além disso, restrinja o acesso a dados sensíveis conforme a necessidade, implementando um sistema de controle de acesso. Todo funcionário não deveria ter acesso a todos os dados.

Além disso, você também pode configurar seu site WordPress para enviar aos usuários um lembrete de alteração de senha a cada 90 dias para garantir sua segurança.

Envie documentos de conformidade

Depois de implementar os protocolos de segurança, você poderá relatar sua conformidade à autoridade de processamento de pagamentos relevante – seu banco ou gateway de pagamento.

Normalmente, você relata a conformidade:

  • Envio de um questionário de autoavaliação*: Os comerciantes de nível 2 a 4 relatam sua conformidade preenchendo questionários de autoavaliação (SAQs).
    • Se você direcionar os clientes ao site do processador de pagamento, usará o SAQ A.
    • Se você usar um serviço como o Stripe para tokenizar os dados do cartão de pagamento, usará o SAQ A-EP.
  • Se você processar e armazenar os dados do cartão de pagamento em seus servidores web, você usará o SAQ D Merchant.
  • Obtendo verificações de rede trimestrais por fornecedores de digitalização aprovados: você deve fazer verificações trimestrais por um fornecedor de verificação aprovado (ASV) para verificar vulnerabilidades externas. Os ASVs normalmente fazem a varredura em busca de falhas, reportam-nas a você, ajudam a corrigi-las e verificam novamente antes de relatar os resultados de conformidade.
  • Envio de um atestado de conformidade: depois de cumprir todos os requisitos, você normalmente envia um atestado de conformidade (AOC) para declarar que está em conformidade com os requisitos do PCI-DSS.

* Os comerciantes de nível 1 exigem avaliação externa por meio de um avaliador de segurança qualificado (QSA).

Além disso, você também precisará anexar uma cópia do SAQ-D do provedor de hospedagem.

Considerações finais: Guia do proprietário da empresa para tornar compatível com WooCommerce PCI

O PCI-DSS lista vários requisitos que você deve cumprir para oferecer suporte a diferentes métodos de pagamento aos seus clientes. No entanto, com um host compatível com PCI, você pode marcar a maioria das caixas de seleção e lidar com responsabilidades limitadas.

Confira a hospedagem corporativa Hostinger para desfrutar de 100% de conformidade com PCI. E isso não termina com a conformidade. Você também obtém 100% de disponibilidade da rede, backups diários e muito mais.

Navegue pelos nossos planos para começar hoje.

Novas publicações:

Recomendação