Διατήρηση της συμμόρφωσης με τα PCI

Το Συμβούλιο των προτύπων ασφαλείας της βιομηχανίας πιστωτικών καρτών (Payment Card Industry Security Standards Council) ορίζει τα πρότυπα ασφαλείας για την προστασία των δεδομένων πιστωτικών καρτών τα οποία ονομάζονται Payment Card Industry Data Security Standards (PCI-DSS ή PCI για συντομία). Αυτό σημαίνει ότι οι οντότητες που μεταδίδουν, επεξεργάζονται ή αποθηκεύουν στοιχεία πιστωτικών καρτών αναμένεται να συμμορφώνονται με τα PCI.

Μπορείτε να χρησιμοποιήσετε τη φιλοξενία για να διαμορφώσετε την online παρουσία σας και τον κατάλογο προϊόντων σας. Στη συνέχεια, μπορείτε να συνεργαστείτε με έναν πάροχο τρίτου μέρους για την επεξεργασία πληρωμών για λογαριασμό σας, ώστε να μην έχετε πιστωτικές κάρτες στον server σας (π.χ. PayPal Checkout, Square Online Checkout και Stripe Checkout). Βεβαιωθείτε ότι γνωρίζετε τυχόν πρόσθετες απαιτήσεις για να διατηρήσετε τη συμμόρφωση της επιχείρησής σας με τα PCI.

Αν προτιμάτε να δέχεστε πληρωμές απευθείας στον ιστότοπό σας, προσφέρουμε προϊόντα με πιστοποίηση PCI όπως τη Φιλοξενία ηλεκτρονικού εμπορίου WordPress με διαχείριση, το Οnline κατάστημα και τα Online ραντεβού. Η συμμόρφωση με τα PCI αποτελεί μια κοινή προσπάθεια. Επομένως, όταν χρησιμοποιείτε μία από τις λύσεις μας με πιστοποίηση PCI, σχεδιάζουμε τις διαδικασίες και τα συστήματά μας ώστε να προστατεύουν τα στοιχεία πιστωτικών καρτών του πελάτη σας, αλλά πρέπει και εσείς να προστατεύετε τον λογαριασμό σας.

Οnline κατάστημα και Online ραντεβού

Οι πληρωμές μέσω του Οnline καταστήματος και των Online ραντεβού είναι ενοποιημένες με τρίτα μέρη που επεξεργάζονται στοιχεία πιστωτικών καρτών στα ασφαλή περιβάλλοντά τους. Αυτά τα προϊόντα χρησιμοποιούν ένα μικρό τμήμα κώδικα στον ιστότοπό σας, για να είναι δυνατή η καταχώριση στοιχείων πιστωτικών καρτών από τους πελάτες σας απευθείας στον ιστότοπο. Αυτό σας επιτρέπει να εξασφαλίζετε τη συμμόρφωση με τα PCI, λαμβάνοντας ορισμένα μέτρα για την προστασία του λογαριασμού σας:

  • Διαχείριση χρηστών
    • Πάντα να εκχωρείτε στους χρήστες ένα μοναδικό αναγνωριστικό και να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης.
    • Μην χρησιμοποιείτε αναγνωριστικά ή κωδικούς πρόσβασης που είναι ομαδικά, κοινόχρηστα ή γενικής φύσης.
    • Καταργήστε τους χρήστες όταν δεν πρέπει να έχουν πια πρόσβαση.
  • Έντυπα (μη ψηφιακά) αρχεία
    • Αν συλλέγετε στοιχεία πιστωτικών καρτών σε έντυπη μορφή, βεβαιωθείτε ότι ελέγχετε την πρόσβαση στα στοιχεία αυτά και καταστρέψτε τα όταν δεν είναι πλέον απαραίτητα.
  • Συμμόρφωση παρόχου υπηρεσιών
    • Αν χρησιμοποιείτε υπηρεσίες για τη διαχείριση των έντυπων αρχείων ή τη διαχείριση του λογαριασμού σας, βεβαιωθείτε ότι ο πάροχος υπηρεσιών αναγνωρίζει την ευθύνη του για τον ασφαλή χειρισμό δεδομένων πιστωτικών καρτών και ότι έχετε εμπιστοσύνη ότι ανταποκρίνεται στις υποχρεώσεις του.
  • Σχέδιο απόκρισης σε συμβάντα ασφαλείας
    • Βεβαιωθείτε ότι έχετε μια λίστα με τα άτομα στα οποία θα πρέπει να απευθυνθείτε, αλλά και τον τρόπο που θα χειριστείτε την επικοινωνία με τους πελάτες σε περίπτωση παραβίασης δεδομένων.
  • Υποβάλετε το ερωτηματολόγιο αυτοαξιολόγησης PCI A (PCI Self-Assessment Questionnaire A, PCI SAQ-A) με τον εκτελούντα την επεξεργασία δεδομένων (Stripe, Square ή PayPal).

Σημείωση: Αν δέχεστε πληρωμές μέσω τηλεφώνου, ενδεχομένως να ισχύουν πρόσθετες απαιτήσεις για την ασφάλιση των τηλεφωνικών συστημάτων σας και των υπολογιστών που χρησιμοποιούνται από τους εκπροσώπους του τηλεφωνικού κέντρου σας.

WordPress με διαχείριση με WooCommerce

Οι πληρωμές μέσω WordPress με διαχείριση μπορούν να υλοποιηθούν μέσω της προσθήκης WooCommerce, η οποία ενσωματώνεται με τρίτα μέρη για την επεξεργασία πιστωτικών καρτών στα ασφαλή περιβάλλοντά τους. Αυτή χρησιμοποιεί ένα μικρό τμήμα κώδικα στον ιστότοπό σας, για να είναι δυνατή η καταχώριση στοιχείων πιστωτικών καρτών από τους πελάτες σας απευθείας στον ιστότοπο. Δεδομένου ότι εσείς ελέγχετε την προσθήκη που έχει εγκατασταθεί στον λογαριασμό σας, απαιτούνται ορισμένα επιπλέον βήματα για την εξασφάλιση της συμμόρφωσης με τα PCI:

  • Υλοποίηση πληρωμών
    • Εγκαταστήστε μόνο την προσθήκη WooCommerce για πληρωμές. Παρόλο που μπορεί να υπάρχουν κι άλλες προσθήκες πληρωμών διαθέσιμες, η μόνη προσθήκη που πιστοποιούμε είναι του WooCommerce.
    • Μην προσθέτετε λειτουργικότητα ή κώδικα που θα χειρίζεται τα στοιχεία πιστωτικών καρτών. Δεν είναι δυνατή η πιστοποίηση τυχόν προσαρμοσμένων διαδικασιών πληρωμών που προστίθενται σε έναν server.
    • Διατηρήστε τις προσθήκες ενημερωμένες (επεξεργαστείτε τις ενημερώσεις εντός 30 ημερών).
  • Διαχείριση χρηστών
    • Πάντα να εκχωρείτε στους χρήστες ένα μοναδικό αναγνωριστικό και να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης.
    • Μην χρησιμοποιείτε αναγνωριστικά ή κωδικούς πρόσβασης που είναι ομαδικά, κοινόχρηστα ή γενικής φύσης.
    • Καταργήστε τους χρήστες όταν δεν πρέπει να έχουν πια πρόσβαση.
  • Έντυπα (μη ψηφιακά) αρχεία
    • Αν συλλέγετε στοιχεία πιστωτικών καρτών σε έντυπη μορφή, βεβαιωθείτε ότι ελέγχετε την πρόσβαση στα στοιχεία αυτά και καταστρέψτε τα όταν δεν είναι πλέον απαραίτητα.
  • Συμμόρφωση παρόχου υπηρεσιών
    • Αν χρησιμοποιείτε υπηρεσίες για τη διαχείριση των έντυπων αρχείων ή τη διαχείριση του λογαριασμού σας, βεβαιωθείτε ότι ο πάροχος υπηρεσιών αναγνωρίζει την ευθύνη του για τον ασφαλή χειρισμό δεδομένων πιστωτικών καρτών και ότι έχετε εμπιστοσύνη ότι ανταποκρίνεται στις υποχρεώσεις του.
  • Σχέδιο απόκρισης σε συμβάντα ασφαλείας
    • Βεβαιωθείτε ότι έχετε μια λίστα με τα άτομα στα οποία θα πρέπει να απευθυνθείτε, αλλά και τον τρόπο που θα χειριστείτε την επικοινωνία με τους πελάτες σε περίπτωση παραβίασης δεδομένων.
  • Υποβάλετε το ερωτηματολόγιο αυτοαξιολόγησης PCI A (PCI Self-Assessment Questionnaire A, PCI SAQ-A) με τον εκτελούντα την επεξεργασία δεδομένων (WooCommerce Payments, Stripe, PayPal, Square, Klarna ή PayFast).

Σημείωση: Αν δέχεστε πληρωμές μέσω τηλεφώνου, ενδεχομένως να ισχύουν πρόσθετες απαιτήσεις για την ασφάλιση των τηλεφωνικών συστημάτων σας και των υπολογιστών που χρησιμοποιούνται από τους εκπροσώπους του τηλεφωνικού κέντρου σας.

Αν έχετε περισσότερες απορίες, απευθυνθείτε στην τράπεζά σας ή επικοινωνήστε με έναν Πιστοποιημένο εκτιμητή ασφάλειας (Qualified Security Assessor, QSA).

Περισσότερες πληροφορίες


Ήταν χρήσιμο αυτό το άρθρο;
Σας ευχαριστούμε για τα σχόλια. Για να μιλήσετε με έναν εκπρόσωπο της εξυπηρέτησης πελατών, χρησιμοποιήστε τον αριθμό τηλεφώνου υποστήριξης ή την παραπάνω επιλογή συνομιλίας.
Χαιρόμαστε που βοηθήσαμε! Υπάρχει κάτι άλλο που μπορούμε να κάνουμε για εσάς;
Λυπούμαστε. Πείτε μας τι σας μπέρδεψε ή γιατί η λύση δεν ήταν αποτελεσματική για το πρόβλημά σας.