PCI -hosting: wat het betekent en wanneer u het nodig hebt

Als u van plan bent om online betalingen te accepteren, bent u waarschijnlijk de termijn tegengekomen PCI -hosting.Het klinkt misschien als iets dat elk bedrijf moet hebben, maar of het nodig is, hangt af van hoe u omgaat met betalingen en gegevens van kaarthouders.

Dit artikel legt uit wat PCI -hosting betekent, helpt u erachter te komen of uw bedrijf PCI DSS -normen moet volgen en verduidelijkt wanneer PCI -hosting eigenlijk een goede route is om te nemen.Als u niet zeker bent van uw verantwoordelijkheden rond betalingsgegevensbeveiliging, maakt deze handleiding het duidelijker.

Wat is PCI DSS?

Voordat het gaat over PCI -hosting, helpt het om het te begrijpen PCI DSS, ook bekend als de Payment Card Industry Data Security Standard.PCI DSS is een reeks beveiligingsrichtlijnen gericht op het beschermen van creditcardinformatie waar deze is opgeslagen, verwerkt of verzonden.Deze regels zijn afkomstig van grote kaartmerken zoals Visa, MasterCard en American Express en zijn van toepassing op iedereen die kaartbetalingen accepteert.

Het doel met het stellen van deze normen is om de kansen op datalekken te verminderen die tot fraude kunnen leiden.Aan hen houden betekent dat voortdurende beveiligingsmaatregelen worden geplaatst (bijvoorbeeld het coderen van kaartgegevens) om betalingen veilig te houden.

Wat is PCI -hosting?

PCI -hosting is een webhostingomgeving die is ingesteld om te voldoen aan de beveiligingsregels die door PCI DSS zijn vereist.Dit omvat dingen als:

• Firewalls en netwerkbedieningen om betalingsgegevens gescheiden en veilig te houden
  
• Codering voor gegevens die door uw servers gaan
  
• Sterke toegangscontroles die beperken wie bijna gevoelige informatie kan krijgen
  
• Logboeksystemen die activiteit volgen om iets ongewoons te zien

Simpel gezegd, PCI -hosting biedt een beveiligde basis, gebouwd om gegevens van de kaarthouders te beschermen.

Dat gezegd hebbende, Alleen het gebruik van een PCI-vriendelijke host betekent niet dat u zich automatisch conformeert.De hostingprovider geeft u de tools voor een veilige omgeving, maar uw bedrijf moet nog steeds software, processen en beleid beheren die voldoen aan PCI -normen.

Wat PCI -hostingbedekkingen - en wat het niet doet

PCI -hostingproviders verwerken veel technische vereisten, zoals firewalls, netwerkbediening en toegangsbeperkingen.

Echter, Er zijn verantwoordelijkheden die u nog steeds nodig hebt om uzelf te beheren, inbegrepen:

• Uw software en plug -ins up -to -date houden: Verouderde toepassingen of extensies kunnen introduceren Beveiligingsrisico's Zelfs op een beveiligde server.
  
• Gebruikerstoegang beheren: Zorg ervoor dat gebruikers alleen de machtigingen hebben die ze nodig hebben en schakelen waar mogelijk tweefactor-authenticatie in.
  
• Logboeken en activiteit bewaken: Bekijk logboeken regelmatig om ongebruikelijk gedrag te herkennen voordat het een probleem wordt.
  
• Blootstelling aan kaartgegevens minimaliseren: Verzamel alleen wat u nodig hebt en gebruik tokenisatie wanneer mogelijk om risico's te verminderen.
  
• Kwetsbaarheidscans uitvoeren: Regelmatige scans zijn nodig om zwakke punten te vinden en zijn over het algemeen uw verantwoordelijkheid, zelfs wanneer ze worden gehost op PCI-conforme servers.

Hoe te weten of uw bedrijf PCI -compatibel moet zijn

Om te beslissen of PCI -hosting nodig is, is de eerste stap erachter of uw bedrijf daadwerkelijk moet voldoen aan PCI DSS -vereisten.Dat begint met het begrijpen van iets dat PCI -scope wordt genoemd.

PCI -reikwijdte verwijst naar het proces van het beoordelen van welke delen van uw zakelijke omgeving in contact zouden komen met een creditcard.

Dit omvat:

• Servers
  
• Toepassingen
  
• Netwerk
  
• Werkstations
  
• Werknemers met toegang tot deze systemen

Als een deel van uw installatie betalingsgegevens raakt, zelfs kort, is deze in PCI -scope en moet PCI DSS -regels volgen.

Hier is een snelle manier om erover na te denken:

• Als Creditcardgegevens gaan op elk moment door uw server, zoals tijdens de betalingsverwerking, zijn uw systemen op afstand.
• Als, in plaats daarvan, uw Betalingsverwerking gebeurt volledig buiten uw omgeving (bijvoorbeeld via een betalingsgateway van derden), en uw servers zien of bewarenkaartgegevens nooit, u bent waarschijnlijk buiten de scope.In dat geval is PCI -hosting mogelijk niet nodig.

Wanneer PCI -hosting waarschijnlijk niet nodig is

Veel bedrijven houden hun hostingomgeving uit PCI -reikwijdte door te vertrouwen op externe betalingsoplossingen die de gevoelige informatie verwerken.Typische voorbeelden zijn:

• Gehoste kassa -pagina's: Services zoals Stripe Checkout, PayPal of Square verzamelen veilig betalingsgegevens op hun eigen servers.Uw website stuurt klanten daar, zodat uw servers geen kaartgegevens verwerken.
  
• Ingebedde betalingsvormen met tokenisatie: Betalingsverwerkers bieden ingebedde formulieren (zoals streepelementen of door de Braintree gehoste velden) die kaartgegevens rechtstreeks van de browser van de gebruiker naar de betalingsaanbieder verzenden.Uw systeem krijgt alleen een token, wat een referentie is die niet kan worden gebruikt om gegevens te stelen.
  
• Geen kaartgegevensopslag: Als u geen volledige creditcardnummers opslaat, maar tokenized facturering of gewelvende diensten gebruikt, ligt de opslagverantwoordelijkheid bij een conforme provider, waardoor uw eigen systemen eenvoudiger worden gehouden.

Wanneer dit is hoe uw betalingsstroom werkt, is uw hostingomgeving meestal niet op bereik en is PCI -hosting mogelijk niet nodig.

Wanneer PCI -hosting vereist is

PCI -hosting wordt noodzakelijk wanneer uw eigen infrastructuur rechtstreeks een wisselwerking heeft met gegevens van kaarthouders.Hier zijn tekenen die PCI -hosting op u van toepassing is:

• U host uw eigen betalingsformulieren: Als klanten creditcardinformatie invoeren in formulieren die op uw website worden gehost, gaan dat gegevens door uw servers en plaatsen ze in reikwijdte.
  
• U stelt volledige kaartnummers op: Of het nu gaat om abonnementen, terugkerende facturering of vertraagde betalingen, het opslaan van volledige kaartgegevens op uw servers betekent hogere beveiligingsvereisten.
  
• U voert aangepaste betalingssystemen uit: Als u uw eigen kassa, gateway of point-of-sale-oplossing hebt gebouwd, maakt uw hostingomgeving deel uit van de betalingsstroom en moet voldoen aan de PCI-normen.
  
• U bent onderworpen aan een formele PCI -audit: Bedrijven die grote hoeveelheden transacties verwerken, kunnen audits ondergaan, waaronder het beoordelen van uw hostingomgeving.

In deze situaties, Een hostingprovider kiezen Bekend met PCI-vereisten en het aanbieden van compliance-ready functies is belangrijk.

De 12 PCI DSS -vereisten in het kort

Nadat je hebt bevestigd dat je in PCI -scope bent, is de volgende stap begrijpen wat naleving daadwerkelijk vereist.Dat is waar de 12 PCI DSS-vereisten binnenkomen. Dit zijn de basisnormen die elke bedrijfsactiviteiten moeten volgen om kaarthoudersgegevens correct te beschermen:

1. Gebruik firewalls om gegevens te beschermen - Firewalls fungeren als checkpoints, filteren netwerkverkeer om ongeautoriseerde toegang te blokkeren.
   
2. Wijzig standaardwachtwoorden en instellingen - Standaardreferenties zijn algemeen bekend en kwetsbaar, dus gebruik sterke, unieke wachtwoorden.
   
3. Bescherm opgeslagen kaartgegevens - Versleutelen en beperken op de opslag van gegevens van kaarthouders.Hoe minder u bewaart, hoe kleiner uw risico.
   
4. Gegevens coderen tijdens het transport - Gebruik Encryptie zoals TLS Wanneer kaartgegevens over openbare of niet -vertrouwde netwerken beweegt.
   
5. Gebruik antivirus en anti-malware - Houd deze tools bijgewerkt om kwaadaardige software te vangen en te stoppen.
   
6. Houd systemen en applicaties veilig - Patch -software regelmatig en repareer snel kwetsbaarheden.
   
7. Beperk de toegang tot kaarthoudersgegevens - Geef alleen toegang aan mensen die het nodig hebben om hun werk uit te voeren.
   
8. Wijs unieke ID's toe aan gebruikers - Individuele aanmeldingen maken het gemakkelijker om gebruikersactiviteiten bij te houden.
   
9. Bestuur fysieke toegang - Beperk wie fysiek apparaten of documenten kan bereiken die gegevens van kaarthouders opslaan.
   
10. Log en controleer de toegang - Houd gedetailleerde logboeken bij om verdachte activiteiten te detecteren en te helpen bij audits.
    
11. Test beveiligingssystemen regelmatig - Voer kwetsbaarheidsscans en penetratietests uit om zwakke punten te vinden en te repareren.
    
12. Een beveiligingsbeleid handhaven - Documenteer uw beveiligingsprocedures en zorg ervoor dat iedereen die betrokken is hun rollen begrijpt.

PCI -compliance in de loop van de tijd behouden

Voldoen aan PCI DSS -normen is ooit niet genoeg.Naleving is een voortdurende inspanning die regelmatige aandacht vereist om kaarthoudersgegevens veilig te houden als uw bedrijf en technologie evolueren.

Hier zijn enkele belangrijke praktijken om u te helpen bij het voldoen aan de lange termijn:

1. Bekijk regelmatig uw PCI -scope

Uw omgeving kan veranderen als u nieuwe systemen, integraties of services toevoegt.Periodiek opnieuw beoordelen welke delen van uw setup -hendekaartgegevens om ervoor te zorgen dat u alle benodigde gebieden behandelt.

2. Houd software en systemen bijgewerkt

Beveiligingspatches en updates worden vrijgegeven om kwetsbaarheden op te lossen.Maak het bijwerken van een routinematig onderdeel van uw activiteiten-niet een eenmalige taak.

3. Voer voortdurende monitoring en loggen uit

Continue monitoring helpt verdachte activiteiten vroegtijdig te vangen.Zorg ervoor dat uw logboeken regelmatig worden beoordeeld en veilig worden opgeslagen.

4. Schema kwetsbaarheidsscans en penetratietests

Voer deze tests minstens driemaandelijks of na grote wijzigingen uit.Ze onthullen zwakke punten voordat aanvallers ze vinden.

5. Train uw team op best practices voor beveiliging

Werknemers zijn een belangrijke verdedigingslinie.Regelmatige training helpt hen om hun rol te begrijpen bij het beschermen van gegevens van kaarthouders en het herkennen van bedreigingen.

6. Update uw beveiligingsbeleid en -procedures

Naarmate de bedreigingen evolueren en uw bedrijf groeit, houdt u uw documentatie actueel.Dit houdt uw team op één lijn en voorbereid op audits.

7. Werk samen met gekwalificeerde beveiligingsevaluaties wanneer dat nodig is

Als uw bedrijf formele PCI -audits ondergaat, kan het samenwerken met een QSA u helpen op koers te blijven en het proces soepeler te maken.

Door PCI -compliance als een continue prioriteit te behandelen, vermindert u het risico en houdt u uw klanten veilig.Proactief blijven vandaag bespaart morgen dure problemen.

Afsluiten

Niet elk bedrijf heeft PCI -hosting nodig.Als kaarthoudersgegevens uw servers nooit raken omdat u gehoste checkouts, tokenized formulieren of gewelf gebruikt, is uw hostingomgeving waarschijnlijk buiten de PCI -scope.

Als uw systemen omgaan met het opslaan, verwerken of verzenden van kaartgegevens, is investeren in pci-ready hosting een slimme stap in de richting van het voldoen aan de naleving en het beschermen van uw klanten.

Bekijk uw volledige betalingsstroom voordat u beslissingen neemt over hosting of beveiliging.Inzicht in waar uw omgeving in PCI -scope past, kan u tijd, geld en hoofdpijn op de weg besparen.