Zachowujemy zgodność z PCI
Payment Card Industry Security Standards Council ustanawia standardy bezpieczeństwa w celu ochrony danych kart kredytowych, zwane Payment Card Industry Data Security Standards (w skrócie PCI-DSS lub PCI). Oznacza to, że podmioty, które przekazują, przetwarzają lub przechowują informacje o kartach kredytowych są zobowiązane do przestrzegania PCI.
Możesz użyć hostingu do ustawienia swojej obecności online i katalogu produktów. Następnie możesz współpracować z zewnętrznym dostawcą w celu przetwarzania płatności w Twoim imieniu, aby nie przechowywać szczegółów kart kredytowych na Twoim serwerze (np. PayPal Checkout, Square Online Checkout i Stripe Checkout). Upewnij się, że znasz wszelkie dodatkowe wymagania dotyczące zachowania zgodności z PCI dla Twojego biznesu.
Jeśli wolisz akceptować płatności bezpośrednio na Twojej witrynie, oferujemy certyfikowane rozwiązania zgodne z PCI, takie jak Hosting Zarządzanego systemu WordPress dla handlu elektronicznego, Sklep internetowy i Spotkania online. Zgodność z PCI jest naszym wspólnym wysiłkiem. Tak więc, gdy korzystasz z jednego z naszych certyfikowanych rozwiązań PCI, projektujemy nasze procesy i systemy, aby chronić dane kart kredytowych Twoich klientów i potrzebujemy Twojej pomocy przy ochronie Twojego konta.
Sklep internetowy i Spotkania online
Płatności za pomocą Sklepu internetowego i Spotkań online są zintegrowane z zewnętrznymi dostawcami, którzy przetwarzają informacje dotyczące kart kredytowych w swoich bezpiecznych środowiskach. Produkty te wykorzystują niewielką ilość kodu w Twojej witrynie, aby umożliwić Twoim klientom wprowadzenie informacji o karcie kredytowej bezpośrednio na stronie. Pozwala to na osiągnięcie zgodności z PCI poprzez podjęcie przez Ciebie kilku kroków w celu ochrony Twojego konta:
- Zarządzanie użytkownikami
- Zawsze przypisuj użytkownikom unikalny identyfikator i używaj solidnych haseł.
- Nie używaj grupowych, współdzielonych lub prostych identyfikatorów lub haseł.
- Usuwaj użytkowników, jeśli nie powinni już mieć dostępu.
- Niecyfrowe zapisy danych w formie papierowej
- Jeśli zbierasz informacje o karcie kredytowej na papierze, upewnij się, że kontrolujesz dostęp do tych informacji i niszczysz je, gdy nie są już potrzebne.
- Zgodność usługodawcy
- Jeśli korzystasz z usług zarządzania dokumentacją papierową lub zarządzania kontem, upewnij się, że dostawca tych usług potwierdził swoją odpowiedzialność za bezpieczną obsługę danych kart kredytowych i masz pewność, że wypełnia swoje obowiązki.
- Plan reagowania na zdarzenia naruszające bezpieczeństwo
- Upewnij się, że masz listę osób, do których trzeba się zwrócić i jak będziesz postępować z komunikacją z klientem w przypadku naruszenia danych.
- Prześlij kwestionariusz samooceny PCI A (PCI SAQ-A) z Twoim dostawcą (Stripe, Square lub PayPal).
Uwaga: Jeśli przyjmujesz płatności przez telefon, możesz podlegać dodatkowym wymaganiom w celu zabezpieczenia systemów telefonicznych i komputerów używanych przez Twoich agentów call center.
Zarządzany system WordPress z WooCommerce
Płatności wykonywane poprzez Zarządzany system WordPress mogą być realizowane poprzez wtyczkę WooCommerce, która integruje się z dostawcami usług w ich bezpiecznym środowisku w celu przetwarzania danych kart kredytowych. Produkty te wykorzystują niewielką ilość kodu w Twojej witrynie, aby umożliwić Twoim klientom wprowadzenie informacji o karcie kredytowej bezpośrednio na stronie. Ponieważ kontrolujesz wtyczki zainstalowane na Twoim koncie, jest potrzebne jest wykonanie kilku dodatkowych kroków, aby osiągnąć zgodność z PCI:
- Realizacja płatności
- Instaluj tylko wtyczkę WooCommerce dla płatności. Inne wtyczki dla płatności mogą być dostępne, ale zalecamy korzystanie tylko z certyfikowanej WooCommerce.
- Nie dodawaj żadnej funkcjonalności ani kodu, które będą przetwarzały dane karty kredytowej. Nie możemy certyfikować żadnego niestandardowego procesu płatności dodanego do serwera.
- Aktualizuj swoje wtyczki (przeprowadzaj aktualizacje w ciągu 30 dni).
- Zarządzanie użytkownikami
- Zawsze przypisuj użytkownikom unikalny identyfikator i używaj solidnych haseł.
- Nie używaj grupowych, współdzielonych lub prostych identyfikatorów lub haseł.
- Usuwaj użytkowników, jeśli nie powinni już mieć dostępu.
- Niecyfrowe zapisy danych w formie papierowej
- Jeśli zbierasz informacje o karcie kredytowej na papierze, upewnij się, że kontrolujesz dostęp do tych informacji i niszczysz je, gdy nie są już potrzebne.
- Zgodność usługodawcy
- Jeśli korzystasz z usług zarządzania dokumentacją papierową lub zarządzania kontem, upewnij się, że dostawca tych usług potwierdził swoją odpowiedzialność za bezpieczną obsługę danych kart kredytowych i masz pewność, że wypełnia swoje obowiązki.
- Plan reagowania na zdarzenia naruszające bezpieczeństwo
- Upewnij się, że masz listę osób, do których trzeba się zwrócić i jak będziesz postępować z komunikacją z klientem w przypadku naruszenia danych.
- Prześlij kwestionariusz samooceny PCI A (PCI SAQ-A) z Twoim dostawcą (WooCommerce Payments), Stripe, Square, PayPal, Klarna lub PayFast).
Uwaga: Jeśli przyjmujesz płatności przez telefon, możesz podlegać dodatkowym wymaganiom w celu zabezpieczenia systemów telefonicznych i komputerów używanych przez Twoich agentów call center.
Jeśli masz dodatkowe pytania, współpracuj ze swoim bankiem lub skontaktuj się z Uprawnionym rzeczoznawcą ds. bezpieczeństwa(QSA).
Więcej informacji
- Sklep internetowy — Pomoc: Dodawanie metody płatności
- System WordPress — Pomoc: Aktualizacja metody płatności WooCommerce