Magento 2 PCI-megfelelőség: Mi ez, és hogyan tudja az Ön e-kereskedelmi üzlete megfelelni

A Baymard Institute szerint az ügyfelek 18%-a ne folytassa a vásárlást a webhely iránti bizalom hiánya miatt. Ha azonban biztonságos pénztárat ad Magento üzletéhez, átviheti ezeket az ügyfeleket a célvonalon túlra.

A biztonságos e-kereskedelmi fizetés azonban hosszú ellenőrzőlistát igényel, amely sokrétű biztonsági megközelítést igényel.

A jó hírek? Kipipálhatja a legtöbb jelölőnégyzetet, és elnyerheti vásárlói bizalmát a Payment Card Industry Data Security Standards (PCI-DSS) betartásával.

Olvasson tovább, ha többet szeretne megtudni a PCI-DSS-ről, arról, hogy mire van szüksége, és hogyan teheti a Magento Store PCI-kompatibilissé tételét.

PCI-DSS 101

A Payment Card Industry Data Security Standards (PCI-DSS) azokra a biztonsági követelményekre vonatkozik, amelyeknek a vállalkozásoknak meg kell felelniük ahhoz, hogy támogatást kapjanak a főbb fizetésikártya-hálózatoktól.

A PCI-DSS követelményeket a PCI Security Standards Council (PCI SSC) határozza meg, amely az American Express, a Discover, a JCB, a Mastercard és a Visa tagokból áll.

Az aktuális PCI-DSS követelményeket az alábbi képen találja.

PCI megfelelőség: Kereskedői szintek

Míg a PCI-követelmények minden kereskedő esetében ugyanazok maradnak, a megfelelőségi és ellenőrzési folyamat attól függően változik, hogy hány tranzakciót dolgoznak fel.

Itt található egy tranzakciós küszöb minden egyes kereskedői megfelelőségi szinthez, amelyek segítségével megtudhatja, hol helyezkedik el a cége.

  • 1. szintű kereskedő
    • Évente több mint hatmillió Visa, Discover vagy Mastercard tranzakció.
    • Évente több mint 2,5 millió American Express tranzakció.
    • Évente több mint egymillió JCB tranzakció.
  • 2. szintű kereskedő
    • Évente 1-6 millió Visa, Discover vagy Mastercard tranzakció.
    • Évente 50 000 és 2,5 millió közötti American Express tranzakció.
  • 3. szintű kereskedő
    • Évente 20 000 és egymillió Visa és Mastercard tranzakció.
    • Évente 10 000 és 50 000 American Express tranzakció.
    • Évente kevesebb mint egymillió Discover vagy JCB tranzakció.
  • 4. szintű kereskedő
    • Évente kevesebb, mint 20 000 Visa és Mastercard tranzakció.
    • 10 000 vagy kevesebb American Express tranzakció évente.
Olvasni:  PHP egységtesztelés: Hogyan írjuk meg az első tesztet a WordPress számára

Az 1. szintű kereskedőknek meg kell felelniük a legszigorúbb követelményeknek, és minősített biztonsági értékelő (QSA) által kell értékelniük őket a megfelelőség biztosítása érdekében. A fennmaradó kereskedők általában önértékelő kérdőívet (SAQ) küldenek be a megfelelőség jelentésére.

Ha egy kereskedő nem tartja be a PCI-DSS előírásait, és megsérti a biztonságot, akár 500 000 dolláros pénzbírsággal is sújthatják, és felfüggeszthetik a fizetési módok támogatását.

Teljesen felügyelt Magento tárhely

Fokozza fel üzlete potenciálját folyamatos karbantartás nélkül

Hogyan kezeli a Magento a PCI megfelelőséget?

A Magento nem automatikusan PCI-kompatibilis, mivel a PCI-DSS nemcsak az e-kereskedelmi platformot fedi le – a biztonságtól a webhelyek üzemeltetéséig. A Magento azonban nem tárolja a fizetési kártyaadatokat, így Ön a Magento által kínált rengeteg lehetőség kihasználásával PCI-kompatibilissé teheti Magento áruházát.

Kezdésként választhat egy fizetési átjárót, amely a PCI-megfelelőségi munka nagy részét kiveszi a kezéből. Hasonlóképpen partnerre léphet egy biztonságos gazdagéppel, amely megfelel a PCI-DSS szabványnak, hogy biztosítsa a hitelkártyaadatok mindig védelmét.

Az alábbiakban nézzük meg ezeket és más bevált módszereket.

Magento 2 PCI megfelelőség: legjobb gyakorlatok

Tekintettel a PCI-DSS követelményekre, meg kell győződnie arról, hogy a kártyatulajdonosok adatai a Magento áruházban történő fizetési folyamat során védve maradnak. Íme néhány módszer ennek elérésére.

Alapértelmezés szerint a Magento által támogatott fizetési átjárók

A fizetési átjárókkal korlátozza az érzékeny adatoknak való kitettséget. Ha kevés adatot kell védeni és kezelni, kevesebb a gond.

Választhat például egy PayPal Express Checkout-ot, mint például a Smartwool. Amikor a felhasználó rákattint Pénztára böngésző megnyit egy PayPal ablakot, ahol megadhatják hitelkártyaadataikat a fizetéshez.

Ha ezt a módszert választja, a vevő közvetlenül kapcsolatba lép a PayPal szervereivel, így Ön jellemzően egyszerűbb megfelelőségi követelményeket élvezhet, és benyújthatja az alapvető SAQ vagy SAQ A kérelmet.

Olvasni:  Twitter és visszamutató linkek: Hogyan tweetelj a Juice linkjéhez

Bár a fenti módszer leegyszerűsíti a Magento megfelelőségi folyamatát, ez nem a legsimább folyamat az ügyfelek számára. Több körön kell keresztülmenniük csak azért, hogy fizessenek Önnek – amit nem szeretne, ha javítani szeretné a fizetési folyamatot.

Ehelyett a túlzottan óvatos felhasználóknak zökkenőmentes élményt kínálhat a Stripe-integrációval, mint például a Formlabs. A Stripe esetében a fizetési űrlap a webhely részeként jelenik meg, így a felhasználóknak nem kell másik lapra vagy ablakra menniük a vásárlás véglegesítéséhez.

Ez a módszer azonban kissé bonyolultabbá teszi a megfelelést.

Először is szerepeltetnie kell egy JavaScript (JS) fájlt a Stripe-tól (vagy más fizetési szolgáltatótól) a fizetési oldalon a Stripe API-n keresztüli biztonságos feldolgozás érdekében. Ha el szeretné kerülni a külső JavaScript-fájl használatát, akkor a megfelelőséget a SAQ A-EP-n keresztül kell jelentenie, amely kissé szigorúbb követelményeket támaszt.

Másodszor, webhelyének SSL (Secure Sockets Layer) tanúsítványt kell használnia.

Adjon hozzá egy SSL-tanúsítványt

Az SSL titkosítja a webböngésző és a webszerver közötti forgalmat. Más szavakkal, az SSL-tanúsítvány megakadályozza, hogy a rosszindulatú ügynökök lehallgatják a látogató és a webszerver közötti információcserét nyílt, nyilvános hálózatokon.

Tehát ha arra kéri az ügyfeleket, hogy a webhelyén található űrlapon keresztül adja meg hitelesítő adataikat, akkor SSL-t kell használnia a PCI-DSS-nek való megfeleléshez.

Ha partnere a webhelye a Hostinger-szel, akkor ingyenes SSL-t kap az összes tárhelycsomaggal együtt. Ellenkező esetben megfizethető áron vásárolhat SSL-tanúsítványt a Hostinger-szel.

Használjon PCI-kompatibilis tárhelyet

A PCI-DSS követelmények teljesítéséhez robusztus tűzfalra, korlátozott fizikai hozzáférési szabályzatra, rendszeres hálózati megfigyelőrendszerre és még sok másra van szükség. Ezeket a követelményeket azonban nem tudja saját maga teljesíteni, mivel ez magában foglalja az ügyféladatok védelmét a tárolásban és az átvitelben – ezeket az ügyeket általában a tárhelyszolgáltató kezeli.

Olvasni:  Hogyan használjuk a GTmetrixet a WordPress-en, és javítsuk a munkáját...

Röviden: szüksége van egy webtárhely-szolgáltatóra, amely a következőket kínálja:

  • Biztonságos rendszerek: A webtárhely-szolgáltatónak meg kell tennie a szükséges biztonsági óvintézkedéseket, beleértve a régi kód felülvizsgálatát a lehetséges hátsó ajtók számára.
  • Robusztus tűzfalak: A tűzfal figyeli a bejövő és kimenő forgalmat, és biztosítja, hogy csak az engedélyezett alkalmazások férhessenek hozzá a rendszerhez.
  • Sebezhetőség kezelése: Győződjön meg arról, hogy a webtárhely olyan eszközöket kínál, mint a víruskereső szoftver a vírusok átvizsgálásához és eltávolításához az adatszivárgás kockázata nélkül.
  • Irányított szolgáltatások: Egy felügyelt tárhelyszolgáltató folyamatosan frissíti a webhely infrastruktúráját a biztonsági rések megszüntetése érdekében.
  • Korlátozott hozzáférés-szabályozás: A tárhelyszolgáltatónak korlátoznia kell az alkalmazottaknak az érzékeny adatokhoz és rendszerekhez való hozzáférést, és csak szükség esetén engedélyeznie kell. A gazdagépnek rendelkeznie kell látogatói naplózással és az egész webhelyre kiterjedő felügyelettel az adatközpontban.

Ha ilyen gazdagépet keres, nézze meg a Hostinger által felügyelt Magento tárhelyet. Minősített Level 1 Solution Providerként minden tárhelyoldali megfelelőségi követelményt teljesítünk, így Ön stresszmentesen dolgozhat üzletén.

A Hostinger segítséget nyújt a PCI-DSS megfelelőségi jelentéshez is. Megpingelhet minket SAQ D másolatáért, amelyet jelentésével együtt elküldhet. Ránk bízhat negyedéves jóváhagyott szkennelési szállítói (ASV) vizsgálatokat is.

Biztonsági intézkedések végrehajtása

Míg a fizetési átjárók és a PCI-kompatibilis tárhelyszolgáltatás szinte kiszabadítja a fejét, még mindig van néhány dolog, amit egyedül kell megoldania.

A kezdéshez korlátoznia kell a hozzáférést szükség szerint. A vállalatában nem minden alkalmazottnak kell hozzáférnie a Magento webhely minden adatához. Győződjön meg arról, hogy csak az érintett személyek férhetnek hozzá a fizetéssel kapcsolatos adatokhoz.

Ha ez kimaradt, alkalmazzon jelszószabályzatot:

  • Használjon egyedi jelszavakat: Kerülje az olyan jelszavakat, mint a „jelszó!” és „alapértelmezett”.
  • Engedélyezze a 2FA-t: Adjon hozzá kéttényezős hitelesítési (2FA) funkciót, hogy megvédje webhelyét az adathalász támadásoktól.
  • Jelszómódosítási emlékeztetők beállítása: Kényszeríti az adminisztrátor felhasználókat, hogy legalább 90 naponta módosítsák jelszavaikat.
Olvasni:  Példák sikeres B2B digitális marketingkampányokra a Zohotól és a Freshdesktől

Végül fokozza webhelykezelési játékát úgy, hogy csak jó hírű bővítményeket használ a Magento piactér és frissítésük a biztonsági rések elkerülése érdekében.

Utolsó gondolatok: 4 bevált módszer a Magento 2 Store PCI-kompatibilissé tételéhez

Magento 2 üzlettulajdonosként a PCI-DSS követelményeknek való megfelelés nehézségekbe ütközhet. De mindenképpen megéri, hogy biztonságos fizetési élményt nyújtson, és bizalmat építsen ügyfelei körében.

A Hostingerben egy PCI-kompatibilis gazdagép található, amely méretezhetőséget, teljesítményt és 24/7/365 technikai támogatást is kínál. Regisztráljon még ma a Hostinger vállalati tárhelyre a Magento számára.

Új publikációk:

Ajánlott