Vigtig PCI DSS-compliance-tjekliste til WordPress

Beskyttelse af betalingsdata er ikke længere valgfrit. PCI DSS-overholdelse er nu et kernekrav for alle WordPress-websteder, der håndterer kreditkortbetalinger.

Cyberangreb stiger hvert år, og selv små sårbarheder kan afsløre følsomme kundedata.

Et enkelt brud kan ødelægge tillid, udløse sanktioner og forstyrre din virksomhed natten over. Den gode nyhed er, at du kan forhindre disse risici med de rette sikkerhedsforanstaltninger.

En tydelig tjekliste hjælper dig med at sikre dit websted, beskytte kortholderdata og overholde branchestandarder.

I denne guide lærer du de vigtigste trin, som succesfulde e-handelswebsteder bruger til at opretholde en stærk beskyttelse og opfylde forventningerne til overholdelse af regler.

PCI DSS-overholdelse: Hvad det er, og hvorfor det er vigtigt?

Hvis du driver en e-handelsvirksomhed eller accepterer kreditkortbetalinger på dit WordPress-websted, håndterer du kortholderdata.

Dette gør dig til et mål for ondsindede aktører. Det er ikke valgfrit at beskytte disse følsomme data; det er obligatorisk.

Du skal overholde den globale sikkerhedsstandard kendt som Payment Card Industry Data Security Standard (PCI DSS).

Denne omfattende PCI DSS-compliance-tjekliste fungerer som din definitive guide til at sikre dit WordPress-miljø og opnå fuld PCI-compliance.

Betydningen af ​​PCI DSS-overholdelse

PCI DSS er et sæt sikkerhedsstandarder, der er designet til at sikre, at alle virksomheder, der opbevarer, behandler eller overfører kreditkortdata, opretholder et sikkert miljø.

De store kreditkortselskaber (Visa, Mastercard, American Express, Discover og JCB) skabte standarden. De etablerede PCI Security Standards Council (PCI SSC) til at administrere og administrere den.

PCI DSS-overholdelse betyder, at din organisation opfylder de 12 centrale PCI DSS-krav. Disse krav er med til at minimere risikoen for databrud og beskytte mod kreditkortsvindel.

Det endelige mål med DSS-compliance er at beskytte kundernes tillid og forhindre eksponering af følsomme brugerdata.

At opnå PCI DSS-kompatibel status er en kontinuerlig proces, ikke en engangsbegivenhed. Det kræver en regelmæssig indsats for at opretholde sikre systemer og processer.

Vigtigheden af ​​PCI DSS for WordPress-sider

Mange af disse installationer er e-handelsbutikker, der ofte bruger plugins som WooCommerce . Når en kunde bruger sit kreditkort på dit websted, flyder disse transaktionsoplysninger gennem dit system.

Enhver del af dit WordPress-miljø, der interagerer med betalingsdata, serveren, databasen, plugins og endda dine administratordashboards , falder inden for rammerne af dit Cardholder Data Environment (CDE).

Det er ekstremt risikabelt at ignorere PCI DSS-standarder. Manglende overholdelse kan føre til alvorlige bøder fra banker og kortmærker, ophævelse af din mulighed for at acceptere kreditkortbetalinger og uoprettelig skade på dit omdømme efter en sikkerhedshændelse.

Dine kunder har tillid til, at du beskytter kundedata. Det er dit ansvar at overholde PCI-compliancekravene for at sikre beskyttelse af data og sikker håndtering af alle kortholderdata.

Brug af denne compliance-tjekliste hjælper med at sikre din drift og beskytte lagrede kortholderdata.

Kernekrav til PCI DSS for WordPress

PCI DSS beskriver 12 krav organiseret i seks kontrolmål.

For et WordPress-websted gælder disse kontroller direkte for dit hostingmiljø , plugins, temaer og administrative praksisser.

Denne PCI-compliance-tjekliste beskriver de vigtigste trin, du skal tage.

Firewallkonfiguration og sikre netværkskontroller

Dette PCI DSS-krav kræver, at du installerer og vedligeholder netværkssikkerhedskontroller. Dit websted er konstant eksponeret for det offentlige internet, hvilket gør et robust forsvar afgørende.

• Implementer en webapplikationsfirewall (WAF): Konfigurer en robust firewall til at blokere almindelige webangreb, såsom SQL-injektion og cross-site scripting (XSS) , før de når din WordPress-installation.

• Segmentér dit netværk: Isoler kortholderdatamiljøet fra resten af ​​dine netværksressourcer. Denne segmentering sikrer, at hvis en angriber kompromitterer et ikke-betalingssystem, kan de ikke få adgang til kortholderdata.

• Dokumentér og gennemgå regler: Vedligehold et dokument, der beskriver alle netværkssikkerhedskontroller og firewallregler. Du skal gennemgå disse regler regelmæssigt for at sikre, at de forbliver relevante og praktiske, så uautoriseret trafik ikke får adgang til dit sikre netværk.

• Sikre trådløse netværk: Hvis du tilgår WordPress-administratordashboardet via trådløse netværk, skal du sørge for at bruge stærk kryptering og godkendelse for at forhindre angribere i at overvåge trafik og opsnappe betalingsdata.

Fjernelse af standardindstillinger og sikring af systemadgang

Denne metode fokuserer på at beskytte dit system mod offentligt kendte svagheder, der er let at udnytte.

Angribere udnytter ofte leverandørleverede standardindstillinger og standardadgangskoder til at få uautoriseret adgang.

• Skift alle standardindstillinger: Skift straks alle standardadgangskoder, brugernavne (som 'admin') og sikkerhedsindstillinger på alle systemkomponenter, inklusive din server, firewall, modem og WordPress-installation . Brug aldrig generiske eller fabriksindstillede legitimationsoplysninger.

• Anvend sikre konfigurationer: Anvend sikre konfigurationer på alle nye og eksisterende sikkerhedssystemer, før de tilsluttes netværket. Brug branchens bedste praksis eller sikkerhedskonfigurationsvejledninger til dit specifikke server-OS, webserver (f.eks. Apache, Nginx ) og database (f.eks. MySQL).

• Deaktiver unødvendige konti: Deaktiver unødvendige standardkonti, -tjenester og -protokoller. Aktiver kun funktioner, der kræves til din e-handel. Denne praksis hjælper med at opretholde sikre systemer ved at reducere angrebsfladen.

Beskyttelse af lagrede kortholderdata

Det kræver, at du beskytter gemte kortholderdata. Den bedste metode til at sikre kortholderdata er slet ikke at gemme dem.

• Minimer datalagring: Gem om muligt ikke kreditkortdata (primært kontonummer eller PAN) på din WordPress-server. Brug en tredjeparts, PCI-valideret betalingsprocessor (som Stripe eller PayPal), der håndterer dataene eksternt. Dette reducerer din PCI DSS-compliance betydeligt.

• Gør data ulæselige: Hvis din virksomhed har brug for at gemme kortholderdata, skal du gøre PAN'en ulæselig. Du kan bruge stærk kryptografi, envejshashes, trunkering eller tokenisering. Gemte kontodata skal være stærkt beskyttet.

• Gem ikke følsomme godkendelsesdata: Du må aldrig gemme følsomme godkendelsesdata efter godkendelse, uanset om de er krypterede eller ej. Dette inkluderer fuldstændige magnetstribedata, CAV2-, CVC2-, CID- og PIN-blokdata. Slet disse data straks efter godkendelsesprocessen er fuldført.

• Implementer dataopbevaringspolitikker: Udvikl og implementer dataopbevaringspolitikker. Du bør kun opbevare kortholderdata i det tidsrum, der er nødvendigt for at opfylde juridiske, regulatoriske eller forretningsmæssige krav. Slet data, der ikke længere er nødvendige.

Læs mere: WordPress tilgængelighedsguide: Overholdelse af WCAG-standarder

Kryptering af betalingsdata under transmission

Dette trin kræver, at du krypterer transmissionen af ​​betalingsdata over åbne, offentlige netværk.

• Brug stærk kryptografi: Brug altid stærk kryptografi, specifikt TLS (Transport Layer Security), til at kryptere kortholderdata, når de transmitteres via internettet. Dette inkluderer betalingssiden, kundekontologin og eventuelle API-kald, der sender data til din betalingsudbyder.

• Sikr alle websider: Sørg for, at hele dit WordPress-websted kører via HTTPS (med et gyldigt SSL/TLS-certifikat), ikke kun betalingssiderne. Dette skaber et ensartet sikkert netværksmiljø til overførsel af kortindehaverdata.

• Bekræft protokolstyrke: Brug ikke forældede protokoller, såsom SSL eller tidlige versioner af TLS. Sørg for, at din serverkonfiguration bruger de aktuelle, stærkeste og mest accepterede versioner af TLS.

Malwarebeskyttelse og sårbarhedsstyring

Disse krav arbejder sammen med vedligeholdelse af sikre WordPress-applikationer for at danne et robust program til håndtering af sårbarheder.

• Beskyt mod skadelig software: Sørg for, at alle dine systemer, især dem i kortholderdatamiljøet, er beskyttet mod skadelig software ved hjælp af opdaterede antivirus- eller antimalware-løsninger. Denne software skal køre aktivt, løbende opdateres og udføre regelmæssige scanninger.

• Hold WordPress, temaer og plugins opdateret: WordPress-websteder er ofte mål for angreb. Du skal hurtigt installere sikkerhedsrettelser til WordPress-kernen, temaer og alle plugins. Forældet software er en primær sårbarhed, der udnyttes af angribere, der forsøger at få adgang til eller kompromittere følsomme data.

• Udvikl sikre applikationer: Når du udvikler brugerdefinerede temaer eller plugins, skal du følge sikre kodningspraksisser. Introducer ikke kendte fejl. Adskil udviklings-, test- og produktionsmiljøer for at forhindre usikker kode i at komme ind i dit livesystem.

Vedligeholdelse af sikre WordPress-applikationer

Dette trin er afgørende for enhver selvhostet applikation.

• Sikkert hostingmiljø: Vælg en webhost, der tilbyder et PCI-kompatibelt, sikkert servermiljø med en firewall på værtsniveau og robuste fysiske sikkerhedsforanstaltninger.

• Hærd WordPress: Implementer sikkerhedsforanstaltninger specifikke for WordPress, såsom at deaktivere filredigering via dashboardet (DISALLOW_FILE_EDIT), flytte wp-config.php- filen og ændre standarddatabasepræfikset. Disse sikre konfigurationer gør det meget sværere for angribere at udnytte almindelige sårbarheder.

• Regelmæssige plugin-revisioner: løbende de plugins, du har installeret. Slet alle plugins eller temaer, du ikke aktivt bruger, da de kan blive oversete sikkerhedsrisici, der underminerer din samlede PCI DSS-compliance.

Adgangskontrol og praksis med mindst mulig privilegium

Dette krav fokuserer på adgangskontrol. Du skal begrænse adgangen til kortholderdata baseret på princippet om mindst mulig adgang.

• Begræns adgang: Begræns adgangen til systemkomponenter og kortholderdata udelukkende baseret på "need-to-know"-princippet. Medarbejdere bør kun have den minimale adgang til kortholderdata, der er nødvendig for at udføre deres arbejdsopgaver.

• Implementer stærke adgangskontrolforanstaltninger: Konfigurer dine WordPress-brugerroller omhyggeligt. Tildel kun administratorroller til personale, der virkelig har brug for fuld kontrol. Brug brugerdefinerede roller eller plugins til at give specifikke, begrænsede tilladelser til andre brugere, og begræns fysisk adgang, når det er muligt.

• Sikker fjernadgang: Brug sikre metoder, såsom virtuelle private netværk (VPN'er) eller krypterede SSH-forbindelser, til al fjernadgang til dit netværk eller din server. Tillad ikke direkte, ukrypterede forbindelser.

Udforsk yderligere: HIPAA-overholdelse for e-handel

Stærk godkendelse og unikke bruger-ID'er

Dette krav sikrer, at du effektivt kan identificere brugere og godkende adgang.

• Unikke bruger-ID'er: Tildel et unikt bruger-ID til alle personer med computeradgang til systemkomponenter eller kortholderdatamiljøet. Brug aldrig delte konti. Dette giver dig mulighed for at spore og revidere alle aktiviteter.

• Multifaktorgodkendelse (MFA): Implementer multifaktorgodkendelse for al adgang til kortholderdatamiljøet, såvel som for al fjernadgang til CDE'en uden for konsollen. Dette tilføjer et kritisk andet lag af forsvar, selvom en angriber kompromitterer en adgangskode.

• Stærk adgangskodepolitik: Håndhæv en fast og kompleks adgangskodepolitik for alle brugere. Adgangskoder skal have en minimumslængde, indeholde en blanding af tegn og ændres regelmæssigt. Gør alle adgangskoder ulæselige, når de gemmes eller overføres.

Fysisk sikkerhed for følsomme data

Det dikterer, at du begrænser fysisk adgang til systemer i kortholderdatamiljøet.

Selvom et typisk WordPress-websted kan hostes i et datacenter, gælder disse regler for alt udstyr og administrative arbejdsstationer på stedet.

• Begræns fysisk adgang til kortholderdata: Dette gælder for serverracks, netværksudstyr, papiroptegnelser (hvis nogen) og administrative arbejdsstationer. Kun autoriseret personale bør have fysisk adgang til disse områder.

• Fysiske sikkerhedsforanstaltninger: Implementer stærke fysiske sikkerhedsforanstaltninger , såsom kameraer, låse og adgangskontroller (som kortlæsere), for faciliteter, der indeholder følsomme sikkerhedssystemer eller kortholderdata.

• Vedligehold besøgslogfiler: Kontroller og overvåg al adgang ved at vedligeholde besøgslogfiler og kræve korrekte godkendelsesprocedurer for alle, der får fysisk adgang til kortholderområder.

Udforsk yderligere: ADA-overholdelse for WordPress

Logføring og overvågning af WordPress-aktiviteter

Dette krav kræver, at du sporer og overvåger al adgang til netværksressourcer og kortholderdata.

• Implementer revisionsspor: Brug automatiserede revisionsspor til at registrere al aktivitet på systemkomponenter og log al adgang til kortholderdata. Revisionssporene skal registrere brugeridentifikation, hændelsestype, dato og tidspunkt, om hændelsen var succesfuld eller mislykket, samt hændelsens oprindelse.

• Gennemgå logfiler regelmæssigt: Udpeg personale til regelmæssigt at gennemgå logfilerne for alle sikkerhedssystemer og systemkomponenter. Denne proces muliggør rettidig opdagelse af uautoriseret aktivitet eller potentielle sikkerhedsproblemer.

• Sikre revisionsspor: Beskyt revisionssporene for at forhindre ændring eller ødelæggelse. Gem logfiler i mindst et år, med tre måneder umiddelbart tilgængelige til analyse. Brug et pålideligt logging-plugin og en ekstern logging-server, hvis det er muligt, for at sikre logdata.

Regelmæssig sikkerhedstest og scanninger

Det kræver, at du regelmæssigt tester sikkerhedssystemer og -processer.

• Kvartalsvise sårbarhedsscanninger: Udfør kvartalsvise interne og eksterne netværkssårbarhedsscanninger udført af en godkendt scanningsleverandør (ASV). Disse scanninger hjælper dig med at identificere og afhjælpe kendte sårbarheder i din netværksinfrastruktur og webapplikationer.

• Penetrationstest: Udfør penetrationstest mindst én gang årligt og efter væsentlige opgraderinger eller ændringer af dit WordPress-websted eller netværk. Penetrationstest simulerer et angreb i den virkelige verden for at finde og udnytte svagheder.

• Firewall- og politiktest: Test regelmæssigt netværk og sikkerhedskontroller for at sikre, at de fungerer som tilsigtet. Test dine processer, herunder backup- og gendannelsesprocedurer , for at sikre forretningskontinuitet.

• Risikovurdering: Udfør en formel risikovurderingsproces mindst én gang årligt. Denne proces identificerer kritiske aktiver, trusler og sårbarheder, så du kan prioritere og håndtere de mest betydelige risici for informationssikkerhed.

Vedligeholdelse af informationssikkerhedspolitikker

Det kræver, at du etablerer, vedligeholder og formidler en klar informationssikkerhedspolitik.

• Etabler sikkerhedspolitikker: Opret og offentliggør en informationssikkerhedspolitik, der omhandler informationssikkerhed for alt personale, herunder entreprenører og tredjepartsleverandører. Politikken skal klart definere sikkerhedsansvar.

• Udvikl en hændelsesplan: Implementer en formel, dokumenteret hændelsesplan. Denne plan beskriver de trin, dit team skal tage umiddelbart efter et databrud eller en sikkerhedshændelse for at inddæmme skaden og underrette relevante parter.

• Sikkerhedsbevidsthedstræning: Implementer et formelt sikkerhedsbevidsthedsprogram. Alt personale skal forstå risiciene og deres ansvar i forbindelse med beskyttelse af kortholderdata.

Yderligere læsning: SOC 2-overholdelse af regler for dit WordPress-websted

Validering af PCI DSS-overholdelse for WordPress

Opnåelse af PCI DSS-compliance er en todelt proces: implementering af kontrollerne og derefter validering af dem.

Valideringsprocessen afhænger af dit forhandlerniveau, som bestemmes af det årlige volumen af ​​kreditkortbetalinger, du behandler.

• Bestem dit handelsniveau: De fire handelsniveauer dikterer dine valideringskrav (f.eks. er niveau 4 det laveste volumen, niveau 1 er det højeste).

• Udfyld selvevalueringsspørgeskemaet (SAQ): De fleste små til mellemstore WordPress e-handelswebsteder udfylder et selvevalueringsspørgeskema (SAQ). Typen af ​​SAQ (f.eks. SAQ A, SAQ A-EP, SAQ D) afhænger af, hvordan dit websted håndterer betalingsbehandling . Hvis du f.eks. bruger en fuldt hostet betalingsside (off-site), kan du muligvis være berettiget til den enklere SAQ A. Hvis din betalingsformular er integreret i din WordPress-side, øges dine krav betydeligt.

• Kvartalsvise ASV-scanninger: Du skal indsende dokumentation for beståede kvartalsvise eksterne sårbarhedsscanninger udført af en godkendt scanningsleverandør (ASV).

• Rapport om overholdelse (ROC): Niveau 1-forhandlere skal gennemgå en årlig vurdering på stedet af en kvalificeret sikkerhedsvurderer (QSA), som derefter udarbejder en rapport om overholdelse (ROC).

Kommuniker altid med din indløsende bank eller betalingsbehandler. De håndhæver i sidste ende PCI-overholdelse og vil fortælle dig præcis, hvilken dokumentation du skal indsende for at bevise, at din DSS-overholdelsestjekliste er fuldstændig.

Resumé af styrkelse af WordPress-sikkerhed med PCI DSS-overholdelse

Beskyttelse af dine kunders følsomme data er fundamentet for en succesfuld e-handelsvirksomhed.

Selvom PCI DSS-compliance kan virke skræmmende for en WordPress-webstedsejer, forenkler det processen at følge denne omfattende PCI DSS-compliance-tjekliste.

Ved at etablere netværkssikkerhedskontroller, sikre stærke adgangskontrolforanstaltninger, sikre kortholderdata korrekt og løbende gennemgå dine sikkerhedssystemer, reducerer du risikoen for databrud betydeligt.

Denne forpligtelse til informationssikkerhed sikrer ikke blot overholdelse af PCI DSS-standarderne, men fremmer også varig tillid hos dine kunder og viser, at din virksomhed er dedikeret til at beskytte deres økonomiske oplysninger.

Omfavn dette som en løbende forpligtelse til databeskyttelse, ikke blot en forhindring, der skal overvindes.

Ofte stillede spørgsmål om PCI DSS-overholdelse