Виконання вимог щодо PCI-сумісності

Рада зі стандартів безпеки індустрії платіжних карт встановлює стандарти безпеки для захисту даних кредитних карт, звані стандартами безпеки даних індустрії платіжних карт (скорочено PCI-DSS або PCI). Це означає, що організації, які передають, обробляють або зберігають дані кредитних карток, мають дотримуватися вимог PCI.

За допомогою хостингу можна налаштувати присутність у мережі та каталог продуктів. Потім сторонній постачальник (наприклад, PayPal Checkout, Square Online Checkout або Stripe Checkout) може обробляти платежі від вашого імені, щоб дані кредитних карток не зберігалися на вашому сервері. Переконайтеся, що ви знаєте про будь-які додаткові вимоги для забезпечення відповідності вашого бізнесу стандарту PCI.

Якщо ви хочете приймати платежі безпосередньо на своєму сайті, ми пропонуємо сертифіковані PCI продукти, як-от Керований хостинг WordPress для електронної комерції, Онлайн-крамниця та Онлайн-зустрічі. Дотримання вимог PCI — це спільні зусилля. Тому, коли ви використовуєте одне з наших сертифікованих PCI рішень, ми розробляємо процеси та системи для захисту даних кредитних карток ваших клієнтів, а ви маєте забезпечити захист свого облікового запису.

Онлайн-крамниця та Онлайн-зустрічі

Платежі через Онлайн-крамницю та Онлайн-зустрічі інтегруються з ресурсами третіх сторін, які обробляють дані кредитних карток у своєму захищеному середовищі. Щоб ваші клієнти могли вводити дані кредитних карток безпосередньо на сайті, ваш ресурс має містити невеликий обсяг коду для цих продуктів. Щоб забезпечити відповідність вимогам PCI та захистити ваш обліковий запис, важливо дотримуватися кількох умов.

  • Керування користувачами
    • Завжди призначайте користувачам унікальний ідентифікатор і використовуйте надійні паролі.
    • Не використовуйте групові, загальні або універсальні ідентифікатори або паролі.
    • Видаляйте користувачів, які більше не повинні мати доступу.
  • Паперова (нецифрова) документація
    • Якщо ви збираєте дані кредитних карток у друкованому вигляді, забезпечте контроль доступу до цієї інформації та знищуйте її, коли вона більше не потрібна.
  • Відповідність вимогам із боку постачальника послуг
    • Якщо ви використовуєте сервіси для керування паперовою документацією або своїм обліковим записом, переконайтеся, що постачальник послуг визнав свою відповідальність за безпечну обробку даних кредитних карток, і ви впевнені, що він виконує свої зобов’язання.
  • План реагування на інциденти
    • Переконайтеся, що у вас є список осіб, до яких потрібно звернутися у випадку порушення безпеки даних, а також план зв’язку з клієнтами.
  • Надішліть опитувальник для самостійної оцінки відповідності вимогам PCI A (PCI SAQ-A) стороні, що оброблятиме дані (Stripe, Square або PayPal).

Примітка. Якщо ви приймаєте платежі телефоном, телефонні системи та комп’ютери, використовувані агентами вашого колл-центру, мають відповідати додатковим вимогам щодо захисту даних.

Керований WordPress із WooCommerce

Платежі через Керований WordPress можна реалізувати за допомогою плагіна WooCommerce, який інтегрується з ресурсами третіх сторін для обробки даних кредитних карт у їхньому захищеному середовищі. Щоб ваші клієнти могли вводити дані кредитних карток безпосередньо на сайті, ваш ресурс має містити невеликий обсяг коду. Оскільки ви контролюєте плагіни, встановлені у вашому обліковому записі, щоб забезпечити відповідність вимогам PCI, потрібно виконати кілька додаткових кроків.

  • Здійснення платежів
    • Для платежів потрібно інсталювати тільки плагін WooCommerce. Незважаючи на доступність інших платіжних плагінів, ми сертифікуємо тільки плагін WooCommerce.
    • Не додавайте жодного коду або функцій, за допомогою яких оброблятимуться дані кредитних карток. Ми не можемо сертифікувати будь-який настроюваний платіжний процес, доданий на сервер.
    • Регулярно оновлюйте ваші плагіни (виконуйте оновлення в період 30 днів).
  • Керування користувачами
    • Завжди призначайте користувачам унікальний ідентифікатор і використовуйте надійні паролі.
    • Не використовуйте групові, загальні або універсальні ідентифікатори або паролі.
    • Видаляйте користувачів, які більше не повинні мати доступу.
  • Паперова (нецифрова) документація
    • Якщо ви збираєте дані кредитних карток у друкованому вигляді, забезпечте контроль доступу до цієї інформації та знищуйте її, коли вона більше не потрібна.
  • Відповідність вимогам із боку постачальника послуг
    • Якщо ви використовуєте сервіси для керування паперовою документацією або своїм обліковим записом, переконайтеся, що постачальник послуг визнав свою відповідальність за безпечну обробку даних кредитних карток, і ви впевнені, що він виконує свої зобов’язання.
  • План реагування на інциденти
    • Переконайтеся, що у вас є список осіб, до яких потрібно звернутися у випадку порушення безпеки даних, а також план зв’язку з клієнтами.
  • Надішліть опитувальник для самостійної оцінки відповідності вимогам PCI A (PCI SAQ-A) стороні, що оброблятиме дані (WooCommerce Payments, Stripe, PayPal, Square, Klarna або PayFast).

Примітка. Якщо ви приймаєте платежі телефоном, телефонні системи та комп’ютери, використовувані агентами вашого колл-центру, мають відповідати додатковим вимогам щодо захисту даних.

Якщо у вас є додаткові питання, зв’яжіться з вашим банком або зверніться до кваліфікованого аудитора систем безпеки (QSA).

Додаткові відомості


Чи була ця стаття корисною?
Дякуємо за ваш відгук. Щоб звернутися до представника служби підтримки, скористайтеся телефонним номером або чатом (див. вище).
Ми раді, що змогли допомогти! Що ще ми можемо для вас зробити?
Нам дуже прикро. Повідомте нам, що викликало замішання або чому рішення не усунуло вашу проблему.