Conformité PCI DSS pour WordPress: ce que vous devez savoir

L’industrie des cartes de paiement (ICP) a publié des règlements de conformité à l’ICP. Leur objectif est d’améliorer la sécurité des données et de réduire au minimum la fraude. Techniquement, ces lignes directrices ne sont pas obligatoires. Toutefois, toute entreprise qui accepte une carte de crédit doit respecter les lignes directrices afin d’éviter les poursuites, les fermetures de comptes ou les amendes pour fraude dans l’environnement de son détenteur de carte. Si vous exploitez une entreprise de commerce électronique ou un site WordPress, la conformité PCI ne devrait pas être un nouveau concept pour vous. Comme pour les autres commerçants en ligne qui acceptent des paiements par carte de crédit, vous devez respecter les normes du Mas PCI. De même, si votre site de commerce électronique WordPress utilise des passerelles de paiement tierces telles que Stripe et paypal, certaines des règles de conformité PCI DSS s’appliquent à vous.
En général, le commerçant est responsable de la gestion, du traitement et du stockage de l’information sur la carte de crédit du client. Vous êtes donc également responsable de toute fraude qui en résulte. Le Guide PCI DSS est conçu pour protéger votre site de commerce électronique WordPress et ses clients contre la fraude. Pourquoi la conformité PCI est – elle importante pour les sites de commerce électronique WordPress les sites de commerce électronique WordPress devraient considérer la conformité PCI comme une stratégie de protection contre la fraude. Votre site Web doit être respecté parce que vous ne pouvez pas communiquer en personne avec vos clients. Par conséquent, vous ne pouvez pas vérifier l’identité de l’acheteur de façon indépendante. Selon Market Insight, 60% des cyberattaques ciblent de petites entreprises en ligne comme WordPress e – commerce.
Le respect des normes PCI aidera grandement à protéger les données des cartes de paiement des clients. Comme la plupart des sites WordPress utilisent des passerelles de paiement tierces
Le règlement PCI qui leur est applicable est plus souple que celui qui s’applique aux principaux négociants. La conformité est généralement obtenue en remplissant un questionnaire d’auto – évaluation standard. Conformité PCI WordPress: comment vous protéger si vous êtes un commerçant de commerce électronique WordPress, vous ne devriez pas ignorer la conformité PCI, car elle minimise le risque d’intrusion sur votre site. Il serait préférable que vous commenciez votre parcours de conformité en choisissant un processeur de paiement conforme à l’ICP.
Si le fournisseur que vous choisissez ne suit pas les meilleures pratiques en matière de sécurité des données, vous serez toujours vulnérable. Cela souligne l’importance de choisir un processeur de paiement qui assure une passerelle de paiement sécurisée. Voici les étapes pour aligner le site de commerce électronique WordPress sur le mas PCI. Déterminer votre niveau de conformité Le Mas PCI classe tous les commerçants selon différents niveaux. Votre niveau est déterminé par le nombre de transactions traitées sur le site de commerce électronique WordPress. Une fois que le niveau de conformité a été établi, il est plus facile d’indiquer les lignes directrices à suivre. En général, la plupart des propriétaires de sites de commerce électronique WordPress sont considérés comme des commerçants de niveau 4.
Une fois que vous avez rempli le questionnaire d’auto – évaluation pour déterminer votre niveau de conformité, vous devriez répondre au questionnaire d’auto – évaluation. Cela vous aide à déterminer l’exposition actuelle du site. La plupart des questions exigent une réponse directe « oui » ou « non ». Un fournisseur de numérisation approuvé par votre fournisseur peut vous exposer à des cyberattaques. Bien que cela ne soit pas obligatoire, vous devriez envisager d’inclure un fournisseur de numérisation agréé qui utilise des outils automatisés pour détecter les vulnérabilités potentielles dans le matériel et les logiciels qui traitent les données de paiement.
Mise à jour des normes
Sécurité pour atteindre et maintenir l’état de conformité du Mas PCI, vous devez être au courant des règlements les plus récents qui s’appliquent à votre site Web. Par conséquent, vous devriez prêter attention aux correctifs de sécurité, aux mises à jour logicielles, à la numérisation des logiciels malveillants et à la protection antivirus. Si vous avez des employés, ils devraient recevoir une formation sur la façon de traiter correctement les renseignements de votre carte de paiement. Le certificat Secure Sockets Layer (SSL) est un justificatif d’identité supplémentaire qui permet aux acheteurs en ligne de votre site Web de savoir qu’ils ont une connexion directe et cryptée à votre site Web (plutôt que de copier le site). Après l’installation du certificat SSL, le domaine du site WordPress e – commerce commence par « https» et non par « http». Avec un certificat SSL, toutes les communications entre le site WordPress et ses visiteurs seront cryptées.
Pour effectuer des ventes en ligne, la plupart des sites de commerce électronique exigent le nom, le numéro de compte et la date d’expiration du titulaire de la carte. Il s’agit d’exigences minimales qui ne garantissent pas la prévention de la fraude. Pour prévenir les achats frauduleux, demandez à l’acheteur de fournir des détails d’authentification supplémentaires. Cela peut comprendre la valeur de vérification de la carte et l’adresse de facturation. Contrairement à ce que vous pensez, WordPress n’a pas de certification PCI. Toutefois, la conception de cette plate – forme de commerce électronique tient compte de la sécurité. Par exemple, WordPress dispose de contrôles administratifs qui permettent aux propriétaires de sites Web de restreindre l’accès des utilisateurs individuels. Lorsque vous utilisez cet outil, les cybercriminels n’auront pas accès à vos données de carte de paiement.
Les principales exigences relatives à l’installation et à la maintenance d’un pare – feu PCI DSS sont la protection des donnéesd.
Et le détenteur de la carte. La conformité PCI DSS ne concerne pas seulement les sites de commerce électronique WordPress. Il couvre tous les aspects de la sécurité physique et informatique de l’entreprise. En plus de configurer des pare – feu pour les sites WordPress, vous devriez également configurer et utiliser des pare – feu pour les réseaux domestiques et de bureau. Le Mas PCI exige également que tous les utilisateurs qui accèdent aux données des titulaires de carte installent un pare – feu personnel sur leur ordinateur. Évitez d’utiliser les valeurs par défaut fournies par le fournisseur si vous utilisez les valeurs par défaut des paramètres de sécurité fournis par le fournisseur, comme les mots de passe du système, les pirates informatiques auront facilement accès à l’environnement du détenteur de carte. Ceci est utile si vous changez toujours le mot de passe par défaut du fournisseur et appliquez des politiques pour améliorer la sécurité de WordPress. Cela s’applique également à la configuration par défaut et à l’installation du logiciel.
La protection des logiciels malveillants PCI DSS exige que vous mainteniez un gestionnaire de vulnérabilité pour vous assurer que votre système n’est pas vulnérable à des attaques spécifiques. Cela protège également votre système contre les menaces de logiciels malveillants. La mise à jour de l’état des logiciels malveillants aide à prévenir de nouvelles menaces. De plus, le mas PCI exige que vous protégiez toutes les applications et tous les logiciels utilisés. De plus, les logiciels et les applications que vous utilisez ne doivent contenir aucune vulnérabilité. Identification et vérification de l’accès aux composantes du système du Mas PCI il est également recommandé d’utiliser des méthodes de vérification qui limitent l’accès aux composantes critiques du système dans l’environnement du titulaire de la carte. Il stipule que les utilisateurs doivent être authentifiés chaque fois qu’ils accèdent aux données des titulaires de carte. Toutes les données sensibles, les pages de compte utilisateur, la console d’administrateur et d’autres points d’accès critiques doivent être protégés par la méthode d’authentification robu.