Hosting PCI: o que significa e quando você precisa

Se você planeja aceitar pagamentos on -line, provavelmente se deparou com o termo Hosting PCI.Pode parecer algo que todos os negócios devem ter, mas se é necessário depende de como você lida com pagamentos e dados do titular do cartão.

Este artigo explicará o que significa Hosting PCI, ajudará você a descobrir se sua empresa precisa seguir os padrões do PCI DSS e esclarecer quando a hospedagem PCI é realmente um bom caminho a seguir.Se você não tiver certeza sobre suas responsabilidades em torno da segurança dos dados de pagamento, este guia tornará as coisas mais claras.

O que é PCI DSS?

Antes de falar sobre hospedagem de PCI, ajuda a entender PCI DSS, também conhecido como Padrão de segurança do setor de cartões de pagamento padrão.O PCI DSS é um conjunto de diretrizes de segurança destinadas a proteger as informações do cartão de crédito onde quer que sejam armazenadas, processadas ou enviadas.Essas regras vêm de grandes marcas de cartões como Visa, MasterCard e American Express e se aplicam a qualquer pessoa que aceite pagamentos de cartões.

O objetivo de definir esses padrões é reduzir as chances de violações de dados que podem levar a fraude.A adesão a eles significa colocar medidas de segurança contínuas (por exemplo, criptografar dados do cartão) para manter os pagamentos seguros.

O que é hospedagem de PCI?

Hosting PCI é um ambiente de hospedagem na web configurado para atender às regras de segurança exigidas pelo PCI DSS.Isso inclui coisas como:

• Firewalls e controles de rede para manter os dados de pagamento separados e seguros
  
• Criptografia para dados que se movem através de seus servidores
  
• Controles de acesso fortes que restringem quem pode obter informações quase sensíveis
  
• Sistemas de log que rastreiam a atividade para identificar qualquer coisa incomum

Simplificando, a hospedagem da PCI fornece uma base segura, construída para proteger os dados do titular do cartão.

Isso dito, Apenas usar um host que amiga PCI não significa que você seja automaticamente compatível.O provedor de hospedagem fornece as ferramentas para um ambiente seguro, mas sua empresa ainda precisa gerenciar software, processos e políticas que atendam aos padrões da PCI.

O que a hospedagem de PCI cobre - e o que não

Os provedores de hospedagem de PCI lidam com muitos requisitos técnicos, como firewalls, controles de rede e restrições de acesso.

No entanto, Existem responsabilidades que você ainda precisa para se gerenciar, incluindo:

• Mantendo seu software e plugins atualizados: Aplicações ou extensões desatualizadas podem introduzir riscos de segurança mesmo em um servidor seguro.
  
• Gerenciando o acesso ao usuário: Certifique-se de que os usuários tenham apenas as permissões de que precisam e ativar a autenticação de dois fatores sempre que possível.
  
• Monitorando toras e atividades: Revise regularmente os logs para identificar comportamentos incomuns antes que ele se torne um problema.
  
• Minimizando a exposição aos dados do cartão: Colete apenas o que você precisa e use tokenização quando possível para reduzir os riscos.
  
• Realizando varreduras de vulnerabilidade: As varreduras regulares são necessárias para encontrar fraquezas e geralmente são de sua responsabilidade, mesmo quando hospedadas em servidores compatíveis com PCI.

Como saber se sua empresa precisa ser compatível com PCI

Para decidir se a hospedagem de PCI é necessária, o primeiro passo é descobrir se sua empresa realmente precisa atender aos requisitos do PCI DSS.Isso começa com a compreensão de algo chamado escopo da PCI.

O escopo do PCI refere -se ao processo de avaliação de quais partes do seu ambiente de negócios entrariam em contato com um cartão de crédito.

Isso inclui:

• Servidores
  
• Formulários
  
• Redes
  
• Estações de trabalho
  
• Funcionários com acesso a esses sistemas

Se alguma parte de sua configuração tocará os dados de pagamento, mesmo brevemente, ele estiver no escopo do PCI e deverá seguir as regras do PCI DSS.

Aqui está uma maneira rápida de pensar sobre isso:

• E se Os dados do cartão de crédito passam pelo seu servidor a qualquer momento, como durante o processamento de pagamentos, seus sistemas estão em escopo.
• Se, em vez disso, você O processamento de pagamento acontece inteiramente fora do seu ambiente (Por exemplo, através de um gateway de pagamento de terceiros) e seus servidores nunca veem ou os dados do cartão da loja, você provavelmente está fora do escopo.Nesse caso, a hospedagem de PCI pode não ser necessária.

Quando a hospedagem de PCI provavelmente não é necessária

Muitas empresas mantêm seu ambiente de hospedagem fora do escopo da PCI, confiando em soluções de pagamento externas que lidam com as informações confidenciais.Exemplos típicos incluem:

• Páginas de checkout hospedadas: Serviços como check -out de faixa, PayPal ou Detalhes de pagamento com segurança de coleta em seus próprios servidores.Seu site envia clientes para lá, para que seus servidores não lidam com os dados do cartão.
  
• Formulários de pagamento incorporados com tokenização: Os processadores de pagamento oferecem formulários incorporados (como elementos de faixa ou campos hospedados em Braintree) que enviam dados do cartão diretamente do navegador do usuário para o provedor de pagamento.Seu sistema obtém apenas um token, que é uma referência que não pode ser usada para roubar dados.
  
• Sem armazenamento de dados do cartão: Se você não armazenar números de cartão de crédito completo, mas use serviços de cobrança ou salto tokenizados, a responsabilidade de armazenamento está com um fornecedor compatível, mantendo seus próprios sistemas mais simples.

Quando é assim que seu fluxo de pagamento funciona, seu ambiente de hospedagem geralmente não está no escopo e a hospedagem de PCI pode não ser necessária.

Quando a hospedagem PCI é necessária

A hospedagem PCI se torna necessária quando sua própria infraestrutura interage diretamente com os dados do titular do cartão.Aqui estão os sinais de que a hospedagem de PCI se aplica a você:

• Você hospeda seus próprios formulários de pagamento: Se os clientes inserirem as informações do cartão de crédito nos formulários hospedados em seu site, esses dados passarem por seus servidores, colocando -os no escopo.
  
• Você armazena números de cartão completo: Seja para assinaturas, cobrança recorrente ou pagamentos atrasados, armazenar dados de cartão completo em seus servidores significam requisitos de segurança mais altos.
  
• Você executa sistemas de pagamento personalizados: Se você construiu sua própria solução, gateway ou solução de ponto de venda, seu ambiente de hospedagem faz parte do fluxo de pagamento e deve atender aos padrões da PCI.
  
• Você está sujeito a uma auditoria formal de PCI: As empresas que processam grandes volumes de transações podem sofrer auditorias que incluem a revisão do seu ambiente de hospedagem.

Nessas situações, Escolhendo um provedor de hospedagem Familiarizados com os requisitos da PCI e a oferta de recursos prontos para conformidade.

Os 12 requisitos de PCI DSS em breve

Depois de confirmar que você está no escopo da PCI, a próxima etapa é entender o que a conformidade realmente exige.É aí que entram os 12 requisitos do PCI DSS. Estes são os padrões de linha de base que todos os negócios no escopo precisam seguir para proteger adequadamente os dados do titular do cartão:

1. Use firewalls para proteger os dados - Os firewalls atuam como pontos de verificação, filtrando o tráfego de rede para bloquear o acesso não autorizado.
   
2. Alterar senhas e configurações padrão - As credenciais padrão são amplamente conhecidas e vulneráveis; portanto, use senhas fortes e exclusivas.
   
3. Proteger dados de cartão armazenados - Criptografar e limitar o armazenamento dos dados do titular do cartão.Quanto menos você mantém, menor o seu risco.
   
4. Criptografar dados em trânsito - Usar criptografia como tls Quando os dados do cartão se movem sobre redes públicas ou não confiáveis.
   
5. Use antivírus e anti-malware - Mantenha essas ferramentas atualizadas para capturar e interromper o software malicioso.
   
6. Mantenha os sistemas e aplicativos seguros - Patch Software regularmente e corrija as vulnerabilidades rapidamente.
   
7. Restringir o acesso aos dados do titular do cartão - apenas dê acesso a pessoas que precisam dele para realizar seu trabalho.
   
8. Atribuir IDs exclusivos aos usuários - Logins individuais facilitam o rastreamento da atividade do usuário.
   
9. Controle o acesso físico - Limite quem pode atingir fisicamente dispositivos ou documentos armazenando dados do titular do cartão.
   
10. Registrar e monitorar o acesso - Mantenha logs detalhados para detectar atividades suspeitas e ajudar com auditorias.
    
11. Teste Sistemas de Segurança regularmente - Execute exames de vulnerabilidade e testes de penetração para encontrar e corrigir fraquezas.
    
12. Manter uma política de segurança - Documente seus procedimentos de segurança e verifique se todos os envolvidos entendem seus papéis.

Mantendo a conformidade com PCI ao longo do tempo

Atender aos padrões PCI DSS uma vez não é suficiente.A conformidade é um esforço contínuo que requer atenção regular para manter os dados do titular do cartão seguros à medida que sua empresa e tecnologia evoluem.

Aqui estão algumas práticas importantes para ajudá -lo a permanecer em conformidade com o longo prazo:

1. Revise regularmente seu escopo de PCI

Seu ambiente pode mudar à medida que você adiciona novos sistemas, integrações ou serviços.Reavaliar periodicamente quais partes dos dados do seu cartão de configuração para garantir que você esteja cobrindo todas as áreas necessárias.

2. Mantenha o software e os sistemas atualizados

Patches e atualizações de segurança são lançados para corrigir vulnerabilidades.Faça a atualização de uma parte rotineira de suas operações-não uma tarefa única.

3. Realizar monitoramento e log em andamento

O monitoramento contínuo ajuda a capturar atividades suspeitas mais cedo.Verifique se seus logs são revisados regularmente e armazenados com segurança.

4. Agendar varreduras de vulnerabilidade e testes de penetração

Execute esses testes pelo menos trimestralmente ou após grandes mudanças.Eles revelam pontos fracos antes que os atacantes os encontrem.

5. Treine sua equipe em práticas recomendadas de segurança

Os funcionários são uma linha -chave de defesa.O treinamento regular os ajuda a entender seu papel na proteção dos dados do titular do cartão e ao reconhecer ameaças.

6. Atualize suas políticas e procedimentos de segurança

À medida que as ameaças evoluem e sua empresa cresce, mantenha sua documentação atualizada.Isso mantém sua equipe alinhada e preparada para auditorias.

7. Trabalhe com avaliadores de segurança qualificados quando necessário

Se sua empresa sofrer auditorias formais de PCI, a parceria com um QSA pode ajudá -lo a permanecer no caminho certo e tornar o processo mais suave.

Ao tratar a conformidade com a PCI como uma prioridade contínua, você reduz o risco e mantém seus clientes em segurança.Manter -se proativo hoje economiza questões caras amanhã.

Empacotando

Nem toda empresa precisa de hospedagem de PCI.Se os dados do titular do cartão nunca tocarem seus servidores porque você usa exames hospedados, formulários tokenizados ou salto, seu ambiente de hospedagem provavelmente está fora do escopo do PCI.

Se seus sistemas lidarem com o armazenamento, o processamento ou a transmissão de dados do cartão, o investimento em hospedagem pronto para PC é um passo inteligente para atender à conformidade e proteger seus clientes.

Antes de tomar decisões sobre hospedagem ou segurança, revise cuidadosamente todo o seu fluxo de pagamento.Entender onde seu ambiente se encaixa no escopo da PCI pode economizar tempo, dinheiro e dores de cabeça no caminho.