Alăturați-vă celor 14.000+ care folosesc WP Simple Pay pentru a accepta plăți cu ușurință!  

Începeți

Vezi toate funcționalitățile

Blog WP Simple Pay

Tutoriale, Sfaturi și Resurse Stripe pentru WordPress pentru a Accepta Plăți

Tot ce trebuie să știi despre conformitatea PCI

Ultima actualizare la

Written By: imagine autor Dennis
LinkedIn

Acceptarea plăților online vine cu anumite riscuri. Vor exista întotdeauna infractori care vor încerca să fure informații de plată din rețele nesecurizate, motiv pentru care conformitatea PCI este mai importantă ca niciodată.

Dacă acceptați plăți prin intermediul site-ului dvs. web, este important să înțelegeți conformitatea PCI și ce înseamnă aceasta pentru afacerea dvs. Dacă nu o luați în serios, ați putea expune clienții și afacerea dvs. unui risc inutil.

Un Raport privind incidentele de încălcare a datelor Verizon din 2017 a constatat că au existat aproape 42.068 de incidente de securitate a datelor în acel an. Nu lăsați afacerea dvs. să fie una dintre ele.

Probabil ați mai auzit de conformitatea PCI, dar s-ar putea să nu știți ce este și de ce este relevantă. În această postare, dorim să vă explicăm totul.

Ce este PCI DSS?

PCI DSS înseamnă Payment Card Industry Data Security Standard (Standardul de Securitate a Datelor pentru Industria Cardurilor de Plată). Este un set de standarde stabilite de PCI Security Standards Council (PCI SSC) referitoare la modul în care afacerile procesează plățile cu cardul de credit.

Conformitatea PCI

PCI SSC a fost înființat de marile companii de carduri de credit: Visa, MasterCard, American Express, Discover și JCB. Inițial, fiecare avea standarde de securitate unice, dar s-au unit în 2006 pentru a standardiza totul.

Scopul inițiativei este de a proteja informațiile sensibile ale consumatorilor, inclusiv numerele cardurilor de credit. Acest lucru este benefic pentru consumator, deoarece reduce șansele ca afacerile să le utilizeze greșit informațiile personale sau ca hackerii și escrocii să le fure. Este benefic și pentru industria de procesare a plăților, deoarece reduce probabilitatea de rambursări și datorii neplătite.

Deși conformitatea PCI nu este o lege, va trebui să respectați standardele dacă doriți să lucrați cu oricare dintre aceste companii (și practic trebuie să o faceți dacă doriți să procesați carduri de credit).

Ce se consideră informații sensibile? Numărul primar al contului, numele titularului cardului, data expirării, codul de serviciu, datele de pe banda magnetică, cipul, CAV2, CVC2, CVV2, CID, PIN-urile, blocurile PIN și orice altceva utilizați pentru a procesa o tranzacție.

Conformitatea PCI

PCI DSS stabilește 12 cerințe pe care trebuie să le respectați pentru a accepta, stoca, procesa și transmite în siguranță datele titularului cardului. Dacă nu respectați *nici măcar una*, nu sunteți conform. Fiecare cerință abordează o componentă importantă a securității informațiilor.

Conformitatea PCI

  1. Instalați și mențineți o configurație de firewall pentru a proteja datele titularului cardului.
  2. Nu utilizați setările implicite furnizate de vânzător pentru parolele de sistem și alți parametri de securitate.
  3. Protejați datele titularului cardului stocate.
  4. Criptați transmiterea datelor titularului cardului prin rețele deschise, publice.
  5. Protejați toate sistemele împotriva malware-ului și actualizați în mod regulat software-ul sau programele antivirus.
  6. Dezvoltați și mențineți sisteme și aplicații securizate.
  7. Restricționați accesul la datele titularului cardului în funcție de necesitatea de cunoaștere în cadrul afacerii.
  8. Identificați și autentificați accesul la componentele sistemului.
  9. Restricționați accesul fizic la datele titularului cardului.
  10. Urmăriți și monitorizați tot accesul la resursele de rețea și la datele titularului cardului.
  11. Testați în mod regulat sistemele și procesele de securitate.
  12. Mențineți o politică ce abordează securitatea informațiilor pentru tot personalul.

Dacă efectuați orice tip de tranzacție financiară, este responsabilitatea dumneavoastră să respectați standardele PCI. Aceasta include acceptarea cardurilor de credit prin telefon.

În plus, este treaba dumneavoastră să vă asigurați că orice furnizor care vă oferă software sau servicii, sau orice companie sau persoană pe care o angajați, respectă, de asemenea, standardele PCI.

De exemplu, dacă folosiți Stripe pentru a procesa plățile cu cardul de credit, puteți fi tras la răspundere dacă serviciul lor se dovedește a fi neconform. (Din fericire, acesta nu este un risc major cu Stripe, motiv pentru care îi recomandăm.)

Se așteaptă să respectați standardele PCI indiferent de mărimea afacerii dumneavoastră, chiar dacă procesați doar o singură tranzacție pe an. În caz contrar, ați putea suporta penalități serioase.

Pentru cele mai actualizate informații, este întotdeauna cel mai bine să vizitați site-ul web PCI SSC. Standardele lor se schimbă regulat și se modifică în funcție de afacerea dumneavoastră, așa că veți dori să vă mențineți la curent. Familiarizați-vă cu conținutul de pe pagina lor pentru comercianți.

Niveluri PCI pentru Comercianti

Tipul de securitate de care aveți nevoie depinde de numărul de plăți pe care le efectuați anual. Cu cât procesați mai multe tranzacții, cu atât sunteți mai atractiv pentru hackeri și părți rău intenționate, astfel încât conformitatea PCI este împărțită în patru niveluri:

Nivelul 1 este pentru comercianții care procesează peste șase milioane de tranzacții anual. Aceștia sunt obligați să se supună scanărilor trimestriale de rețea efectuate de un furnizor de scanare aprobat și unui raport anual de conformitate de către un evaluator de securitate calificat. De asemenea, trebuie să efectueze teste de penetrare.

Nivelul 2 este pentru comercianții care procesează între un milion și șase milioane de tranzacții anuale. Aceștia trebuie să se supună unui chestionar anual de autoevaluare (SAQ), unei evaluări la fața locului efectuate de un evaluator de securitate calificat (QSA), unei scanări trimestriale de rețea și testării de penetrare.

Nivelul 3 este pentru afacerile care procesează între 20.000 și un milion de tranzacții anuale. Nivelul 4 este pentru afacerile care procesează mai puțin de 20.000 de tranzacții anuale. Ambele sunt obligate să efectueze un chestionar anual de autoevaluare, o scanare trimestrială de rețea și câteva alte cerințe. Majoritatea afacerilor se încadrează în nivelul patru, cea mai joasă categorie.

În unele cazuri, PCI SSC promovează anumiți comercianți la ranguri superioare, în funcție de tipul afacerii lor (unele prezintă un risc mai mare decât altele) sau dacă au suferit o breșă de securitate a datelor în trecut.

Penalități pentru Neconformitate

Dacă nu respectați standardele PCI, riscați să suferiți breșe de securitate a datelor. Dacă o persoană rău intenționată obține informațiile de plată ale clienților dumneavoastră și creează tranzacții frauduloase, companiile de carduri de credit sunt forțate să suporte cheltuieli nelegitime, așa că iau neconformitatea foarte în serios.

Mărcile de plăți (Visa, MasterCard, American Express, Discover și JCB) pot amenda comercianții, băncile sau alți furnizori de procesare a plăților pentru neconformitate, la discreția lor. Aceste amenzi sunt adesea între 5.000 și 10.000 USD pe lună.

De asemenea, vi se poate cere să plătiți costurile de înlocuire a cardurilor (când utilizatorii de carduri de credit au nevoie ca conturile sau cardurile lor să fie modificate deoarece au fost compromise) și audituri forensice costisitoare ale afacerii dumneavoastră.

Chiar mai rău, puteți fi tras la răspundere civilă pentru daunele monetare pe care le experimentează clienții dumneavoastră din cauza procesării neglijente. Aceasta înseamnă că oamenii vă pot da în judecată pentru banii pe care îi pierd dacă lipsa dumneavoastră de conformitate le-a compromis informațiile personale.

Mai mult, mărcile de plăți sunt în drept să-și mărească taxele pentru afacerea dumneavoastră. Dacă decid că sunteți un risc prea mare, vă pot înceta complet afacerile cu dumneavoastră. Mărcile de carduri de credit nu sunt publice cu metodele lor de stabilire a taxelor, dar justiția lor poate fi destul de dăunătoare pentru afacerile mici. Acesta este motivul pentru care este atât de important să înțelegeți ce înseamnă a fi conform PCI și dacă sunteți.

Gateway-uri de plată

Majoritatea comercianților procesează tranzacții prin intermediul gateway-urilor de plată. Probabil recunoașteți nume precum Stripe, PayPal, Authorize.net etc. Gateway-urile sunt platforme front-end care se conectează la băncile de carduri de credit.

Conformitatea PCI
Imagine duecom

Aceasta înseamnă că nu trebuie să aveți aranjamente individuale cu băncile de carduri de credit. Când lucrați cu un gateway, acesta preia intrările pe care i le oferiți (informațiile de plată ale clienților) și direcționează acele date către banca corespunzătoare. De asemenea, oferă o serie de instrumente de detecție a fraudelor care protejează pe toată lumea.

Iată o veste bună: Dacă utilizați un gateway de plată, cel mai probabil sunteți deja conform PCI, deoarece gateway-ul se asigură că sunteți. Întregul lor model de afaceri se bazează pe o relație bună cu mărcile de carduri de credit, așa că nu își asumă niciun risc. De exemplu, Stripe interzice categoric anumite afaceri să utilizeze platforma lor, deoarece acele afaceri prezintă un risc ridicat.

În plus, utilizarea unui gateway înseamnă că puteți valorifica reputația lor. Dacă ați încerca să încheiați un aranjament direct cu Mastercard, de exemplu, ar fi costisitor, deoarece Mastercard nu ar avea prea multe motive să aibă încredere în dumneavoastră.

Dar dacă utilizați un gateway precum Stripe, nu sunteți clientul Mastercard. Stripe este clientul Mastercard, iar Mastercard are încredere în Stripe, deoarece au procesat împreună milioane de tranzacții reușite. Aceasta înseamnă că Stripe obține o rată mai bună decât ați putea obține vreodată.

Utilizarea unui gateway de plată înseamnă că puteți ignora conformitatea PCI? Absolut nu.

Există numeroase moduri în care ați putea încălca conformitatea PCI, care nu au nicio legătură cu gateway-ul. De exemplu, dacă ați scrie informațiile cardului de credit ale clienților dvs. pe o bucată de hârtie și le-ați lipi pe perete, ați încălca standardele PCI, dar nu există nicio modalitate prin care gateway-ul v-ar putea proteja.

Standardele de conformitate PCI se schimbă

Din păcate, hoții de date, hackerii și părțile rău intenționate sunt creativi și sofisticați. Ei își adaptează metodele la noile tehnologii de securitate la fel de repede cum ne putem proteja.

Deci, ultimul lucru pe care trebuie să-l știți despre conformitatea PCI este acesta: Standardele se schimbă tot timpul. Ceea ce este acceptabil astăzi s-ar putea să nu funcționeze mâine. Dacă vă gestionați propriile procesări de plăți, este esențial să fiți la curent cu schimbările, astfel încât să nu vă lăsați vulnerabil.

Dacă utilizați un procesator de plăți (cum ar fi Stripe, PayPal, Authorize.net etc.), procesatorul vă va menține conform (dacă aceasta este una dintre caracteristicile lor), dar este totuși bine să înțelegeți peisajul în schimbare.

Dezvăluire: Conținutul nostru este susținut de cititori. Acest lucru înseamnă că dacă faceți clic pe unele dintre linkurile noastre, este posibil să câștigăm un comision. Recomandăm doar produse despre care credem că vor adăuga valoare cititorilor noștri.

WP Simple Pay
Economisiți 50%!

SOCIAL

Conectează-te

Citește mai mult

Postări populare

Cum să utilizați etichete inteligente pentru a personaliza e-mailurile de confirmare a plății

Deblocarea personalizării: Cum să permiteți clienților să adauge note la formularele de plată în WordPress

Merită Stripe Atlas în 2024 [Actualizare]

Superalimentați-vă vânzările: Cum să activați cu ușurință achizițiile cu mai multe articole într-o singură tranzacție

Cum să îmbunătățiți comunicarea cu clienții cu o chitanță prin e-mail detaliată

Cum să creați un formular de înregistrare la eveniment cu opțiuni multiple de preț și cantitate

Începeți să acceptați plăți astăzi

Începeți să acceptați plăți unice și recurente sau donații pe site-ul dvs. WordPress.

Obțineți WP Simple Pay acum →