PCI -Hosting: Was es bedeutet und wann Sie es brauchen

Wenn Sie planen, Zahlungen online anzunehmen, haben Sie wahrscheinlich auf die Laufzeit gestoßen PCI -Hosting.Es mag sich nach etwas klingen, das jedes Unternehmen haben muss, aber ob es notwendig ist, hängt davon ab, wie Sie mit Zahlungen und Karteninhaberdaten umgehen.

In diesem Artikel wird erklärt, was PCI -Hosting bedeutet, Ihnen helfen, herauszufinden, ob Ihr Unternehmen PCI -DSS -Standards folgen muss, und klären, wann PCI -Hosting tatsächlich ein guter Weg ist.Wenn Sie sich über Ihre Verantwortung in Bezug auf Zahlungsdatensicherheit nicht sicher sind, macht dieser Leitfaden die Dinge klarer.

Was ist PCI DSS?

Bevor Sie über PCI -Hosting sprechen, hilft es zu verstehen PCI DSS, auch bekannt als die Zahlungskartenbranche Datensicherheitsstandard.PCI DSS ist eine Reihe von Sicherheitsrichtlinien, die darauf abzielen, Kreditkarteninformationen zu schützen, wo immer sie gespeichert, verarbeitet oder gesendet werden.Diese Regeln stammen von großen Kartenmarken wie Visa, MasterCard und American Express und gelten für alle, die Kartenzahlungen akzeptieren.

Das Ziel bei der Festlegung dieser Standards ist es, die Wahrscheinlichkeit von Datenverletzungen zu verringern, die zu Betrug führen können.Wenn Sie sie einhalten, müssen Sie laufende Sicherheitsmaßnahmen (z. B. Verschlüsseln von Kartendaten) durchführen, um die Zahlungen sicher zu halten.

Was ist PCI -Hosting?

PCI -Hosting ist eine Webhosting -Umgebung, die eingerichtet ist, um die von PCI DSS erforderlichen Sicherheitsregeln zu erfüllen.Dies beinhaltet Dinge wie:

• Firewalls und Netzwerkkontrollen, um die Zahlungsdaten getrennt und sicher zu halten
  
• Verschlüsselung für Daten, die sich über Ihre Server bewegen
  
• Starke Zugangskontrollen, die einschränken, wer nahezu sensible Informationen erhalten kann
  
• Protokollierungssysteme, die Aktivität verfolgen, um etwas Ungewöhnliches zu erkennen

Einfach ausgedrückt, bietet PCI Hosting eine sichere Fundament, die zum Schutz von Karteninhaberdaten erstellt wurde.

Das heißt,, Wenn Sie nur einen PCI-freundlichen Host verwenden, heißt das nicht, dass Sie automatisch konform sind.Der Hosting -Anbieter bietet Ihnen die Tools für eine sichere Umgebung. Ihr Unternehmen muss jedoch weiterhin Software, Prozesse und Richtlinien verwalten, die den PCI -Standards entsprechen.

Was PCI -Hosting abdeckt - und was es nicht tut

PCI -Hosting -Anbieter erledigen viele technische Anforderungen wie Firewalls, Netzwerksteuerungen und Zugriffsbeschränkungen.

Jedoch, Es gibt Verantwortlichkeiten, die Sie noch für sich verwalten müssen, einschließlich:

• Halten Sie Ihre Software und Plugins auf dem neuesten Stand: Veraltete Anwendungen oder Erweiterungen können einführen Sicherheits Risikos Auch auf einem sicheren Server.
  
• Verwalten des Benutzerzugriffs: Stellen Sie sicher, dass Benutzer nur über die Berechtigungen verfügen, die sie benötigen, und aktivieren Sie die Zwei-Faktor-Authentifizierung, wo immer möglich.
  
• Überwachungsprotokolle und Aktivität: Überprüfen Sie regelmäßig Protokolle, um ein ungewöhnliches Verhalten zu erkennen, bevor es zu einem Problem wird.
  
• Minimierung der Kartendatenexposition: Sammeln Sie nur das, was Sie brauchen, und verwenden Sie Tokenisierung, wenn möglich, um Risiken zu reduzieren.
  
• Durchführung von Schwachstellenscans: Regelmäßige Scans sind notwendig, um Schwächen zu finden, und sind in der Regel Ihre Verantwortung, selbst wenn sie auf PCI-konformen Servern gehostet werden.

So wissen Sie, ob Ihr Unternehmen PCI -konform sein muss

Um zu entscheiden, ob PCI -Hosting erforderlich ist, besteht der erste Schritt darin, herauszufinden, ob Ihr Unternehmen tatsächlich die PCI -DSS -Anforderungen erfüllen muss.Das beginnt damit, etwas zu verstehen, das PCI Scope genannt wird.

Der PCI -Bereich bezieht sich auf den Prozess der Bewertung, welche Teile Ihres Geschäftsumfelds mit einer Kreditkarte in Kontakt kommen würden.

Dies beinhaltet:

• Server
  
• Anwendungen
  
• Netzwerke
  
• Arbeitsstationen
  
• Mitarbeiter mit Zugang zu diesen Systemen

Wenn ein Teil Ihres Setups Zahlungsdaten berührt, befindet sich auch kurz in PCI -Bereich und muss die PCI -DSS -Regeln befolgen.

Hier ist eine schnelle Möglichkeit, darüber nachzudenken:

• Wenn Kreditkartendaten erfolgen Ihren Server zu einem beliebigen PunktWie während der Zahlungsverarbeitung sind Ihre Systeme im Bereich.
• Wenn stattdessen Ihre Die Zahlungsabwicklung erfolgt vollständig außerhalb Ihrer Umgebung (Zum Beispiel über ein Payment-Gateway von Drittanbietern) und Ihre Server sehen oder speichern Kartendaten nie aus dem Zielfernrohr.In diesem Fall ist das PCI -Hosting möglicherweise nicht erforderlich.

Wenn PCI -Hosting wahrscheinlich nicht benötigt wird

Viele Unternehmen halten ihre Hosting -Umgebung von PCI -Bereich fern, indem sie sich auf externe Zahlungslösungen verlassen, die die vertraulichen Informationen behandeln.Typische Beispiele sind:

• Hosted Checkout -Seiten: Dienstleistungen wie Stripe Checkout, PayPal oder Square sammeln sicherlich Zahlungsdetails auf ihren eigenen Servern.Ihre Website sendet Kunden dort, sodass Ihre Server keine Kartendaten verarbeiten.
  
• Eingebettete Zahlungsformulare mit Tokenisierung: Die Zahlungsabwickler bieten eingebettete Formulare an (wie Stripe -Elemente oder Braintree -Hosted -Felder), die Kartendaten direkt vom Browser des Benutzers an den Zahlungsanbieter senden.Ihr System erhält nur ein Token, eine Referenz, mit der Daten nicht verwendet werden können.
  
• Keine Kartendatenspeicherung: Wenn Sie keine vollständigen Kreditkartennummern speichern, sondern eine tokenisierte Abrechnungs- oder Viertelendienste verwenden, liegt die Speicherverantwortung bei einem konformen Anbieter und behält Ihre eigenen Systeme einfacher.

Wenn Ihr Zahlungsfluss so funktioniert, ist Ihre Hosting -Umgebung normalerweise nicht im Bereich, und das PCI -Hosting ist möglicherweise nicht erforderlich.

Beim PCI -Hosting ist erforderlich

Das PCI -Hosting wird notwendig, wenn Ihre eigene Infrastruktur direkt mit Karteninhaberdaten interagiert.Hier sind Anzeichen dafür, dass PCI -Hosting für Sie gilt:

• Sie moderieren Ihre eigenen Zahlungsformulare: Wenn Kunden Kreditkarteninformationen in Formulare eingeben, die auf Ihrer Website gehostet werden, werden Ihre Server durch die Daten geleitet, wodurch sie in den Umfang gestellt werden.
  
• Sie speichern vollständige Kartennummern: Ob für Abonnements, wiederkehrende Abrechnung oder verzögerte Zahlungen, das Speichern vollständiger Kartendaten auf Ihren Servern bedeutet höhere Sicherheitsanforderungen.
  
• Sie führen benutzerdefinierte Zahlungssysteme aus: Wenn Sie Ihre eigene Checkout, Gateway- oder Point-of-Sale-Lösung erstellt haben, ist Ihre Hosting-Umgebung Teil des Zahlungsflusss und muss PCI-Standards erfüllen.
  
• Sie unterliegen einem formellen PCI -Audit: Unternehmen, die große Mengen an Transaktionen verarbeiten, können Prüfungen unterzogen werden, die die Überprüfung Ihrer Hosting -Umgebung umfassen.

In diesen Situationen, Auswahl eines Hosting -Anbieters Es ist wichtig, mit den PCI-Anforderungen vertraut zu sein und Compliance-fertige Funktionen anzubieten.

Die 12 PCI DSS -Anforderungen kurz

Nachdem bestätigt wurde, dass Sie in PCI -Bereich sind, besteht der nächste Schritt darin, zu verstehen, was die Einhaltung tatsächlich erfordert.Hier sind die 12 PCI-DSS-Anforderungen ins Spiel. Dies sind die Basisstandards, die jedes Unternehmen in den SCOPE einhalten muss, um die Daten des Karteninhaber ordnungsgemäß zu schützen:

1. Verwenden Sie Firewalls, um Daten zu schützen - Firewalls fungieren als Kontrollpunkte und filtern den Netzwerkverkehr, um den unbefugten Zugriff zu blockieren.
   
2. Ändern Sie Standardkennwörter und Einstellungen - Standard -Anmeldeinformationen sind weithin bekannt und verletzlich. Verwenden Sie daher starke, eindeutige Passwörter.
   
3. Schützen Sie gespeicherte Kartendaten - Verschlüsseln Sie und begrenzen Sie die Speicherung von Karteninhaberdaten.Je weniger Sie aufbewahren, desto kleiner ist Ihr Risiko.
   
4. Daten im Durchgang verschlüsseln - Verwenden Verschlüsselung wie TLS Wenn Kartendaten über öffentliche oder nicht vertrauenswürdige Netzwerke wechseln.
   
5. Verwenden Sie Antiviren- und Anti-Malware - Halten Sie diese Tools auf dem Laufenden, um böswillige Software zu fangen und zu stoppen.
   
6. Halten Sie Systeme und Anwendungen sicher - Patch Software regelmäßig und reparieren Sie Schwachstellen schnell.
   
7. Beschränken Sie den Zugriff auf Karteninhaberdaten - Geben Sie nur Menschen Zugang zu Menschen, die es brauchen, um ihren Job auszuführen.
   
8. Weisen Sie den Benutzern eindeutige IDs zu - Individuelle Anmeldungen erleichtern die Verfolgung der Benutzeraktivitäten.
   
9. Steuern Sie den physischen Zugang - Begrenzen Sie, wer Geräte oder Dokumente zum Speichern von Karteninhaberdaten physisch erreichen kann.
   
10. Zeigen Sie den Zugriff an und überwachen Sie den Zugriff - Behalten Sie detaillierte Protokolle bei, um verdächtige Aktivitäten zu erkennen und bei Audits zu helfen.
    
11. Sicherheitssysteme regelmäßig testen - Führen Sie Schwachstellen Scans und Penetrationstests durch, um Schwächen zu finden und zu beheben.
    
12. Eine Sicherheitsrichtlinie beibehalten - Dokumentieren Sie Ihre Sicherheitsverfahren und stellen Sie sicher, dass alle Beteiligten ihre Rollen verstehen.

Aufrechterhaltung der PCI -Einhaltung im Laufe der Zeit

Das Erfüllen von PCI -DSS -Standards einmal reicht nicht aus.Compliance ist eine fortlaufende Anstrengung, die regelmäßig Beachtung erfordert, um Karteninhaberdaten sicher zu halten, wenn sich Ihre Unternehmen und Ihre Technologie entwickeln.

Hier sind einige wichtige Praktiken, mit denen Sie langfristig konform bleiben können:

1. Überprüfen Sie regelmäßig Ihren PCI -Bereich

Ihre Umgebung kann sich ändern, wenn Sie neue Systeme, Integrationen oder Dienste hinzufügen.Bewerten Sie regelmäßig, welche Teile Ihrer Setup -Kartendaten verarbeiten, um sicherzustellen, dass Sie alle erforderlichen Bereiche abdecken.

2. Halten Sie Software und Systeme auf dem Laufenden

Sicherheitspatches und Updates werden veröffentlicht, um Schwachstellen zu beheben.Aktualisieren Sie einen routinemäßigen Teil Ihrer Operationen-nicht eine einmalige Aufgabe.

3. Führen Sie eine fortlaufende Überwachung und Protokollierung durch

Durch kontinuierliche Überwachung fangen verdächtige Aktivitäten frühzeitig auf.Stellen Sie sicher, dass Ihre Protokolle regelmäßig überprüft und sicher gespeichert werden.

4. Zeitplan -Sicherheits -Scans und Penetrationstests planen

Führen Sie diese Tests mindestens vierteljährlich oder nach größeren Änderungen durch.Sie enthüllen Schwachstellen, bevor Angreifer sie finden.

5. trainieren Sie Ihr Team mit Best Practices für Sicherheitsförderungen

Die Mitarbeiter sind eine wichtige Verteidigungslinie.Regelmäßiges Training hilft ihnen, ihre Rolle beim Schutz von Karteninhaberdaten zu verstehen und Bedrohungen zu erkennen.

6. Aktualisieren Sie Ihre Sicherheitsrichtlinien und -verfahren

Wenn sich die Bedrohungen entwickeln und Ihr Unternehmen wächst, halten Sie Ihre Dokumentation aktuell.Dies hält Ihr Team auf Audits ausgerichtet und vorbereitet.

7. Arbeiten Sie bei Bedarf mit qualifizierten Sicherheitsbewertern zusammen

Wenn Ihr Unternehmen formelle PCI -Audits unterzogen wird, kann die Partnerschaft mit einem QSA dabei helfen, auf dem richtigen Weg zu bleiben und den Prozess reibungsloser zu machen.

Durch die Behandlung von PCI -Konformität als kontinuierliche Priorität reduzieren Sie das Risiko und halten Ihre Kunden sicher.Das proaktive Bleiben heute spart morgen kostspielige Probleme.

Einpacken

Nicht jedes Unternehmen braucht PCI -Hosting.Wenn Karteninhaber Ihre Server niemals berührt, da Sie gehostete Checkouts, Tokenized Formulare oder Vaoting verwenden, ist Ihre Hosting -Umgebung wahrscheinlich nicht aus dem PCI -Bereich.

Wenn Ihre Systeme Kartendaten lagern, verarbeiten oder übertragen, ist die Investition in das PCI-fähige Hosting ein intelligenter Schritt, um die Einhaltung der Einhaltung zu erfüllen und Ihre Kunden zu schützen.

Bevor Sie Entscheidungen über Hosting oder Sicherheit treffen, überprüfen Sie Ihren gesamten Zahlungsfluss sorgfältig.Wenn Sie verstehen, wo Ihre Umgebung in PCI -Bereich passt, können Sie Zeit, Geld und Kopfschmerzen in der Straße sparen.