Zachowujemy zgodność z PCI

Payment Card Industry Security Standards Council ustanawia standardy bezpieczeństwa w celu ochrony danych kart kredytowych, zwane Payment Card Industry Data Security Standards (w skrócie PCI-DSS lub PCI). Oznacza to, że podmioty, które przekazują, przetwarzają lub przechowują informacje o kartach kredytowych są zobowiązane do przestrzegania PCI.

Możesz użyć hostingu do ustawienia swojej obecności online i katalogu produktów. Następnie możesz współpracować z zewnętrznym dostawcą w celu przetwarzania płatności w Twoim imieniu, aby nie przechowywać szczegółów kart kredytowych na Twoim serwerze (np. PayPal Checkout, Square Online Checkout i Stripe Checkout). Upewnij się, że znasz wszelkie dodatkowe wymagania dotyczące zachowania zgodności z PCI dla Twojego biznesu.

Jeśli wolisz akceptować płatności bezpośrednio na Twojej witrynie, oferujemy certyfikowane rozwiązania zgodne z PCI, takie jak Hosting Zarządzanego systemu WordPress dla handlu elektronicznego, Sklep internetowy i Spotkania online. Zgodność z PCI jest naszym wspólnym wysiłkiem. Tak więc, gdy korzystasz z jednego z naszych certyfikowanych rozwiązań PCI, projektujemy nasze procesy i systemy, aby chronić dane kart kredytowych Twoich klientów i potrzebujemy Twojej pomocy przy ochronie Twojego konta.

Sklep internetowy i Spotkania online

Płatności za pomocą Sklepu internetowego i Spotkań online są zintegrowane z zewnętrznymi dostawcami, którzy przetwarzają informacje dotyczące kart kredytowych w swoich bezpiecznych środowiskach. Produkty te wykorzystują niewielką ilość kodu w Twojej witrynie, aby umożliwić Twoim klientom wprowadzenie informacji o karcie kredytowej bezpośrednio na stronie. Pozwala to na osiągnięcie zgodności z PCI poprzez podjęcie przez Ciebie kilku kroków w celu ochrony Twojego konta:

• Zarządzanie użytkownikami
• Zawsze przypisuj użytkownikom unikalny identyfikator i używaj solidnych haseł.
• Nie używaj grupowych, współdzielonych lub prostych identyfikatorów lub haseł.
• Usuwaj użytkowników, jeśli nie powinni już mieć dostępu.
• Niecyfrowe zapisy danych w formie papierowej
• Jeśli zbierasz informacje o karcie kredytowej na papierze, upewnij się, że kontrolujesz dostęp do tych informacji i niszczysz je, gdy nie są już potrzebne.
• Zgodność usługodawcy
• Jeśli korzystasz z usług zarządzania dokumentacją papierową lub zarządzania kontem, upewnij się, że dostawca tych usług potwierdził swoją odpowiedzialność za bezpieczną obsługę danych kart kredytowych i masz pewność, że wypełnia swoje obowiązki.
• Plan reagowania na zdarzenia naruszające bezpieczeństwo
• Upewnij się, że masz listę osób, do których trzeba się zwrócić i jak będziesz postępować z komunikacją z klientem w przypadku naruszenia danych.
• Prześlij kwestionariusz samooceny PCI A (PCI SAQ-A) z Twoim dostawcą (Stripe, Square lub PayPal).

Uwaga: Jeśli przyjmujesz płatności przez telefon, możesz podlegać dodatkowym wymaganiom w celu zabezpieczenia systemów telefonicznych i komputerów używanych przez Twoich agentów call center.

Zarządzany system WordPress z WooCommerce

Płatności wykonywane poprzez Zarządzany system WordPress mogą być realizowane poprzez wtyczkę WooCommerce, która integruje się z dostawcami usług w ich bezpiecznym środowisku w celu przetwarzania danych kart kredytowych. Produkty te wykorzystują niewielką ilość kodu w Twojej witrynie, aby umożliwić Twoim klientom wprowadzenie informacji o karcie kredytowej bezpośrednio na stronie. Ponieważ kontrolujesz wtyczki zainstalowane na Twoim koncie, jest potrzebne jest wykonanie kilku dodatkowych kroków, aby osiągnąć zgodność z PCI:

• Realizacja płatności
• Instaluj tylko wtyczkę WooCommerce dla płatności. Inne wtyczki dla płatności mogą być dostępne, ale zalecamy korzystanie tylko z certyfikowanej WooCommerce.
• Nie dodawaj żadnej funkcjonalności ani kodu, które będą przetwarzały dane karty kredytowej. Nie możemy certyfikować żadnego niestandardowego procesu płatności dodanego do serwera.
• Aktualizuj swoje wtyczki (przeprowadzaj aktualizacje w ciągu 30 dni).
• Zarządzanie użytkownikami
• Zawsze przypisuj użytkownikom unikalny identyfikator i używaj solidnych haseł.
• Nie używaj grupowych, współdzielonych lub prostych identyfikatorów lub haseł.
• Usuwaj użytkowników, jeśli nie powinni już mieć dostępu.
• Niecyfrowe zapisy danych w formie papierowej
• Jeśli zbierasz informacje o karcie kredytowej na papierze, upewnij się, że kontrolujesz dostęp do tych informacji i niszczysz je, gdy nie są już potrzebne.
• Zgodność usługodawcy
• Jeśli korzystasz z usług zarządzania dokumentacją papierową lub zarządzania kontem, upewnij się, że dostawca tych usług potwierdził swoją odpowiedzialność za bezpieczną obsługę danych kart kredytowych i masz pewność, że wypełnia swoje obowiązki.
• Plan reagowania na zdarzenia naruszające bezpieczeństwo
• Upewnij się, że masz listę osób, do których trzeba się zwrócić i jak będziesz postępować z komunikacją z klientem w przypadku naruszenia danych.
• Prześlij kwestionariusz samooceny PCI A (PCI SAQ-A) z Twoim dostawcą (WooCommerce Payments), Stripe, Square, PayPal, Klarna lub PayFast).

Uwaga: Jeśli przyjmujesz płatności przez telefon, możesz podlegać dodatkowym wymaganiom w celu zabezpieczenia systemów telefonicznych i komputerów używanych przez Twoich agentów call center.

Jeśli masz dodatkowe pytania, współpracuj ze swoim bankiem lub skontaktuj się z Uprawnionym rzeczoznawcą ds. bezpieczeństwa(QSA).

Więcej informacji

• Sklep internetowy — Pomoc: Dodawanie metody płatności
• System WordPress — Pomoc: Aktualizacja metody płatności WooCommerce