Hosting PCI: cosa significa e quando ne hai bisogno

Se hai intenzione di accettare pagamenti online, probabilmente ti sei imbattuto nel termine Hosting PCI.Potrebbe sembrare qualcosa che ogni azienda deve avere, ma se è necessario dipende da come gestisci i pagamenti e i dati dei titolari di carta.

Questo articolo spiegherà cosa significa hosting PCI, ti aiuterà a capire se la tua azienda deve seguire gli standard PCI DSS e chiarire quando l'hosting PCI è in realtà un buon percorso da seguire.Se non sei sicuro delle tue responsabilità sulla sicurezza dei dati di pagamento, questa guida renderà le cose più chiare.

Cos'è PCI DSS?

Prima di parlare di hosting PCI, aiuta a capire PCI DSS, noto anche come il Standard di sicurezza dei dati del settore delle carte di pagamento.PCI DSS è una serie di linee guida di sicurezza volte a proteggere le informazioni sulla carta di credito ovunque vengano archiviate, elaborate o inviate.Queste regole provengono da principali marchi di carte come Visa, MasterCard e American Express e si applicano a chiunque accetti i pagamenti delle carte.

L'obiettivo di stabilire questi standard è ridurre le possibilità di violazioni dei dati che possono portare a frode.Aderente a loro significa mettere in atto misure di sicurezza in corso (ad es. Crittografia dei dati delle carte) per proteggere i pagamenti.

Cos'è l'hosting PCI?

Hosting PCI è un ambiente di web hosting impostato per soddisfare le regole di sicurezza richieste da PCI DSS.Questo include cose come:

• Firewall e controlli di rete per mantenere i dati di pagamento separati e sicuri
  
• Crittografia per i dati che si muovono tramite i server
  
• Forti controlli di accesso che limitano chi può avvicinarsi a informazioni sensibili
  
• Sistemi di registrazione che tracciano l'attività per individuare qualsiasi cosa insolita

In parole povere, PCI Hosting fornisce una base sicura, creata per proteggere i dati dei titolari di carte.

Detto questo, Il solo utilizzo di un host a favore del PCI non significa che sei automaticamente conforme.Il provider di hosting ti offre gli strumenti per un ambiente sicuro, ma la tua azienda deve ancora gestire software, processi e politiche che soddisfano gli standard PCI.

Cosa copre l'hosting PCI e cosa no

I fornitori di hosting PCI gestiscono molti requisiti tecnici, come firewall, controlli di rete e restrizioni di accesso.

Tuttavia, Ci sono responsabilità di cui hai ancora bisogno per gestire te stesso, incluso:

• Mantenere aggiornati il software e i plugin: Le applicazioni o estensioni obsolete possono introdurre Rischi di sicurezza anche su un server sicuro.
  
• Gestione dell'accesso agli utenti: Assicurati che gli utenti abbiano solo le autorizzazioni di cui hanno bisogno e abilita l'autenticazione a due fattori ove possibile.
  
• Monitoraggio dei registri e attività: Rivedere regolarmente i registri per individuare un comportamento insolito prima che diventi un problema.
  
• Ridurre al minimo l'esposizione ai dati delle carte: Raccogli solo ciò di cui hai bisogno e usa la tokenizzazione quando possibile per ridurre i rischi.
  
• Condurre scansioni di vulnerabilità: Sono necessarie scansioni regolari per trovare punti deboli e sono generalmente tua responsabilità, anche se ospitate su server conformi a PCI.

Come sapere se la tua azienda deve essere conforme a PCI

Per decidere se è necessario l'hosting PCI, il primo passo è capire se la tua azienda deve effettivamente soddisfare i requisiti di DSS PCI.Questo inizia con la comprensione di qualcosa chiamato portata PCI.

L'ambito PCI si riferisce al processo di valutazione di quali parti dell'ambiente aziendale sarebbero in contatto con una carta di credito.

Questo include:

• Server
  
• Applicazioni
  
• Reti
  
• Stazioni di lavoro
  
• Dipendenti con accesso a questi sistemi

Se una parte della configurazione tocca i dati di pagamento, anche brevemente, è nell'ambito PCI e deve seguire le regole DSS PCI.

Ecco un modo rapido per pensarci:

• Se I dati della carta di credito passano attraverso il server in qualsiasi momento, come durante l'elaborazione dei pagamenti, i sistemi sono in portata.
• Se, invece, il tuo L'elaborazione dei pagamenti avviene interamente al di fuori del tuo ambiente (Ad esempio, tramite un gateway di pagamento di terze parti) e i tuoi server non vedono mai o archiviano i dati della scheda, probabilmente non si può fuoriuscire.In tal caso, potrebbe non essere necessario l'hosting PCI.

Quando l'hosting PCI probabilmente non è necessario

Molte aziende mantengono il loro ambiente di hosting fuori dalla portata PCI facendo affidamento su soluzioni di pagamento esterne che gestiscono le informazioni sensibili.Esempi tipici includono:

• Pagine di checkout ospitate: Servizi come Stripe Checkout, PayPal o Square raccolgono in modo sicuro i dettagli di pagamento sui propri server.Il tuo sito Web invia i clienti lì, in modo che i tuoi server non gestiscano i dati delle carte.
  
• Moduli di pagamento incorporati con tokenizzazione: I processori di pagamento offrono forme incorporate (come gli elementi a strisce o i campi ospitati da Braintree) che inviano i dati della carta direttamente dal browser dell'utente al fornitore di pagamenti.Il tuo sistema ottiene solo un token, che è un riferimento che non può essere utilizzato per rubare i dati.
  
• Nessuna memoria dei dati della carta: Se non memorizzi i numeri di carta di credito completi ma usi servizi di fatturazione o salvagamera tokenizzati, la responsabilità di archiviazione risiede con un fornitore conforme, mantenendo i propri sistemi più semplici.

Quando è così che funziona il flusso di pagamento, il tuo ambiente di hosting di solito non è in portata e l'hosting PCI potrebbe non essere necessario.

Quando è richiesto l'hosting PCI

L'hosting PCI diventa necessario quando la propria infrastruttura interagisce direttamente con i dati dei titolari di carta.Ecco i segni che l'hosting PCI si applica a te:

• Ospiti i tuoi moduli di pagamento: Se i clienti inseriscono le informazioni sulla carta di credito nei moduli ospitati sul tuo sito Web, tali dati passano attraverso i server, posizionandoli nell'ambito.
  
• Memorizzi i numeri di carta completi: Sia per abbonamenti, fatturazione ricorrente o pagamenti ritardati, la memorizzazione di dati di carta completi sui server significa requisiti di sicurezza più elevati.
  
• Si esegue sistemi di pagamento personalizzati: Se hai creato il tuo checkout, il gateway o la soluzione del punto vendita, il tuo ambiente di hosting fa parte del flusso di pagamento e deve soddisfare gli standard PCI.
  
• Sei soggetto a un audit formale PCI: Le aziende che elaborano grandi volumi di transazioni potrebbero sottoporsi a audit che includono la revisione del tuo ambiente di hosting.

In queste situazioni, Scegliere un fornitore di hosting È importante familiarità con i requisiti PCI e offrire funzionalità pronte per la conformità.

I 12 requisiti DSS PCI in breve

Dopo aver confermato di essere in portata PCI, il passo successivo è capire cosa richiede effettivamente la conformità.È qui che arrivano i 12 requisiti DSS PCI. Questi sono gli standard di base che ogni azienda inscenica deve seguire per proteggere correttamente i dati dei titolari di carta:

1. Usa i firewall per proteggere i dati - I firewall fungono da punti di blocco, filtrando il traffico di rete per bloccare l'accesso non autorizzato.
   
2. Modificare le password e le impostazioni predefinite - Le credenziali predefinite sono ampiamente note e vulnerabili, quindi usa password forti e uniche.
   
3. Proteggi i dati delle carte memorizzate - Crittografare e limitare l'archiviazione dei dati dei titolari di carta.Meno mantieni, più piccolo è il tuo rischio.
   
4. Crittografare i dati in transito - Utilizzo Crittografia come TLS Quando i dati della carta si spostano su reti pubbliche o non attendibili.
   
5. Usa anti-virus e anti-malware - Tenere aggiornati questi strumenti per catturare e fermare il software dannoso.
   
6. Mantieni sicuri i sistemi e le applicazioni - Patch software regolarmente e fissare rapidamente le vulnerabilità.
   
7. Limitare l'accesso ai dati dei titolari di carta - Dai accesso solo alle persone che ne hanno bisogno per svolgere il proprio lavoro.
   
8. Assegna ID univoci agli utenti - I singoli accessi rendono più semplice tracciare l'attività dell'utente.
   
9. Controllare l'accesso fisico - Limitare chi può raggiungere fisicamente dispositivi o documenti che memorizzano i dati dei titolari di carte.
   
10. Accesso di registro e monitoraggio - Mantenere registri dettagliati per rilevare attività sospette e aiutare con gli audit.
    
11. Prova i sistemi di sicurezza regolarmente - Scansioni di vulnerabilità gestite e test di penetrazione per trovare e correggere i punti deboli.
    
12. Mantenere una politica di sicurezza - Documenta le tue procedure di sicurezza e assicurati che tutti i soggetti coinvolti comprendano i loro ruoli.

Mantenere la conformità PCI nel tempo

Incontrare gli standard PCI DSS una volta non è sufficiente.La conformità è uno sforzo continuo che richiede una normale attenzione per proteggere i dati dei titolari di carta man mano che la tua attività e la tecnologia si evolvono.

Ecco alcune pratiche chiave per aiutarti a rimanere conforme a lungo termine:

1. Rivedi regolarmente il tuo ambito PCI

Il tuo ambiente può cambiare man mano che aggiungi nuovi sistemi, integrazioni o servizi.Rivalutare periodicamente quali parti dei dati della scheda impostato per assicurarti di coprire tutte le aree necessarie.

2. Mantieni aggiornati software e sistemi

Le patch e gli aggiornamenti di sicurezza vengono rilasciati per correggere le vulnerabilità.Rendi l'aggiornamento di una parte di routine delle tue operazioni, non un'attività una tantum.

3. Condurre monitoraggio e registrazione in corso

Il monitoraggio continuo aiuta a catturare presto attività sospette.Assicurati che i tuoi registri vengano rivisti regolarmente e memorizzati in modo sicuro.

4. Pianificare scansioni di vulnerabilità e test di penetrazione

Esegui questi test almeno trimestralmente o dopo importanti modifiche.Rivelano punti deboli prima che gli aggressori li trovino.

5. Allena il tuo team sulle migliori pratiche di sicurezza

I dipendenti sono una linea di difesa chiave.La formazione regolare li aiuta a capire il loro ruolo nella protezione dei dati dei titolari di carte e nel riconoscere le minacce.

6. Aggiorna le politiche e le procedure di sicurezza

Man mano che le minacce si evolvono e la tua attività cresce, mantieni la tua documentazione corrente.Questo mantiene la tua squadra allineata e preparata per gli audit.

7. Lavorare con valutatori di sicurezza qualificati quando necessario

Se la tua azienda subisce audit PCI formali, collaborare con un QSA può aiutarti a rimanere in pista e rendere il processo più fluido.

Trattando la conformità PCI come una priorità continua, si riduce i rischi e proteggono i tuoi clienti.Rimanere proattivo oggi risparmia problemi costosi domani.

Avvolgendo

Non tutte le aziende hanno bisogno di hosting PCI.Se i dati dei titolari di schede non tocca mai i server perché si utilizzano checkout ospitati, moduli tokenizzati o valto, il tuo ambiente di hosting è probabilmente fuori dall'ambito PCI.

Se i tuoi sistemi gestiscono l'archiviazione, l'elaborazione o la trasmissione dei dati delle carte, investire in hosting pr da PCI è un passo intelligente per soddisfare la conformità e salvaguardare i tuoi clienti.

Prima di prendere decisioni sull'hosting o sulla sicurezza, rivedere attentamente l'intero flusso di pagamento.Comprendere dove il tuo ambiente si adatta all'ambito PCI può farti risparmiare tempo, denaro e mal di testa lungo la strada.