Essentiële PCI DSS-nalevingschecklist voor WordPress

Het beschermen van betaalgegevens is niet langer optioneel. PCI DSS-conformiteit is nu een kernvereiste voor elke WordPress-site die creditcardbetalingen verwerkt.

Cyberaanvallen nemen elk jaar toe, en zelfs kleine kwetsbaarheden kunnen gevoelige klantgegevens blootleggen.

Eén inbreuk kan het vertrouwen schaden, boetes opleveren en uw bedrijf van de ene op de andere dag ontwrichten. Het goede nieuws is dat u deze risico's kunt voorkomen met de juiste beveiligingsmaatregelen.

Een duidelijke checklist helpt u uw website te beveiligen, kaartgegevens te beschermen en te voldoen aan de industrienormen.

In deze handleiding leer je de essentiële stappen die succesvolle e-commercewebsites nemen om een ​​sterke beveiliging te garanderen en aan de regelgeving te voldoen.

PCI DSS-naleving: Wat is het en waarom is het belangrijk?

Als je een webwinkel of creditcardbetalingen accepteert op je WordPress-site, verwerk je kaartgegevens van de klant.

Dit maakt u een doelwit voor kwaadwillenden. Het beschermen van deze gevoelige gegevens is geen optie, maar een vereiste.

U dient zich te houden aan de wereldwijde beveiligingsstandaard die bekend staat als de Payment Card Industry Data Security Standard (PCI DSS).

Deze uitgebreide PCI DSS-checklist dient als uw definitieve gids voor het beveiligen van uw WordPress-omgeving en het volledig voldoen aan de PCI-normen.

Betekenis van PCI DSS-naleving

De PCI DSS is een reeks beveiligingsnormen die zijn ontworpen om ervoor te zorgen dat alle bedrijven die creditcardgegevens opslaan, verwerken of verzenden, een veilige omgeving handhaven.

De grote creditcardmaatschappijen (Visa, Mastercard, American Express, Discover en JCB) hebben de standaard ontwikkeld. Zij hebben de PCI Security Standards Council (PCI SSC) opgericht om de standaard te beheren en te handhaven.

PCI DSS-naleving betekent dat uw organisatie voldoet aan de 12 kernvereisten van PCI DSS. Deze vereisten helpen het risico op datalekken te minimaliseren en beschermen tegen creditcardfraude.

Het uiteindelijke doel van DSS-naleving is het waarborgen van klantvertrouwen en het voorkomen van de openbaarmaking van gevoelige gebruikersgegevens.

Het behalen van een PCI DSS-conformiteit is een continu proces, geen eenmalige gebeurtenis. Het vereist regelmatige inspanningen om veilige systemen en processen te onderhouden.

Het belang van PCI DSS voor WordPress-sites

Veel van deze installaties zijn webwinkels, die vaak gebruikmaken van plugins zoals WooCommerce . Wanneer een klant zijn of haar creditcard op uw site gebruikt, worden die transactiegegevens via uw systeem verwerkt.

Elk onderdeel van uw WordPress-omgeving dat interactie heeft met betaalgegevens, de server, de database, plug-ins en zelfs uw beheerdersdashboards , valt binnen het bereik van uw kaarthoudergegevensomgeving (Cardholder Data Environment, CDE).

Het negeren van PCI DSS-normen is uiterst riskant. Niet-naleving kan leiden tot hoge boetes van banken en creditcardmaatschappijen, het intrekken van uw mogelijkheid om creditcardbetalingen te accepteren en onherstelbare reputatieschade na een beveiligingsincident.

Uw klanten vertrouwen erop dat u hun gegevens beschermt. Het naleven van de PCI-compliancevereisten is uw verantwoordelijkheid om de bescherming van gegevens en de veilige verwerking van alle kaartgegevens te waarborgen.

Het gebruik van deze checklist voor naleving van de regelgeving helpt uw ​​bedrijfsvoering te beveiligen en opgeslagen kaartgegevens te beschermen.

Kernvereisten van PCI DSS voor WordPress

De PCI DSS beschrijft 12 vereisten, georganiseerd in zes controledoelstellingen.

Voor een WordPress-site zijn deze instellingen direct van toepassing op uw hostingomgeving , plug-ins, thema's en beheerprocedures.

Deze PCI-compliance checklist beschrijft de essentiële stappen die u moet nemen.

Firewallconfiguratie en beveiligde netwerkbeheerfuncties

Deze PCI DSS-vereiste schrijft voor dat u netwerkbeveiligingsmaatregelen moet installeren en onderhouden. Uw website is constant toegankelijk via het openbare internet, waardoor een robuuste beveiliging cruciaal is.

• Implementeer een webapplicatiefirewall (WAF): Configureer een robuuste firewall om veelvoorkomende webaanvallen, zoals SQL-injectie en cross-site scripting (XSS) , te blokkeren voordat ze uw WordPress-installatie bereiken.

• Segmenteer uw netwerk: Isoleer de omgeving voor kaartgegevens van de rest van uw netwerkbronnen. Deze segmentatie zorgt ervoor dat een aanvaller, als hij een systeem dat niet voor betalingen bedoeld is, weet te compromitteren, geen toegang kan krijgen tot de kaartgegevens van de klant.

• Documenteer en controleer de regels: Houd een document bij waarin alle netwerkbeveiligingsmaatregelen en firewallregels zijn vastgelegd. U moet deze regels regelmatig controleren om ervoor te zorgen dat ze relevant en praktisch blijven en ongeautoriseerd verkeer geen toegang krijgt tot uw beveiligde netwerk.

• Beveiligde draadloze netwerken: Als u via een draadloos netwerk toegang krijgt tot het WordPress-beheerpaneel, zorg er dan voor dat u sterke versleuteling en authenticatie gebruikt om te voorkomen dat aanvallers het verkeer kunnen monitoren en betalingsgegevens kunnen onderscheppen.

Standaardinstellingen verwijderen en systeemtoegang beveiligen

Deze methode is gericht op het beveiligen van uw systeem tegen gemakkelijk te misbruiken, algemeen bekende zwakheden.

Aanvallers maken vaak gebruik van door leveranciers geleverde standaardinstellingen en standaardwachtwoorden om ongeautoriseerde toegang te verkrijgen.

• Wijzig alle standaardinstellingen: Wijzig onmiddellijk alle standaardwachtwoorden, gebruikersnamen (zoals 'admin') en beveiligingsinstellingen op alle systeemcomponenten, inclusief uw server, firewall, modem en WordPress-installatie . Gebruik nooit generieke of fabrieksmatig ingestelde inloggegevens.

• Beveiligde configuraties toepassen: Pas beveiligde configuraties toe op alle nieuwe en bestaande beveiligingssystemen voordat u ze op het netwerk aansluit. Volg de beste praktijken in de branche of raadpleeg de handleidingen voor beveiligingsconfiguratie voor uw specifieke serverbesturingssysteem, webserver (bijv. Apache, Nginx ) en database (bijv. MySQL).

• Onnodige accounts uitschakelen: Schakel onnodige standaardaccounts, services en protocollen uit. Schakel alleen de functies in die nodig zijn voor uw e-commerceactiviteiten. Deze werkwijze helpt bij het beveiligen van systemen door het aanvalsoppervlak te verkleinen.

Bescherming van opgeslagen kaartgegevens

Het vereist dat u opgeslagen kaartgegevens beschermt. De beste manier om kaartgegevens te beveiligen is door ze helemaal niet op te slaan.

• Minimaliseer gegevensopslag: sla, indien mogelijk, geen creditcardgegevens (het primaire rekeningnummer, of PAN) op uw WordPress-server op. Gebruik een externe, PCI-gecertificeerde betalingsverwerker (zoals Stripe of PayPal) die de gegevens extern verwerkt. Dit verkleint de reikwijdte van uw PCI DSS-compliance aanzienlijk.

• Gegevens onleesbaar maken: Als uw bedrijf kaartgegevens van kaarthouders moet opslaan, moet u het PAN-nummer onleesbaar maken. U kunt hiervoor sterke cryptografie, eenrichtingshashing, truncatie of tokenisatie gebruiken. Opgeslagen accountgegevens moeten zeer goed beveiligd zijn.

• Bewaar geen gevoelige authenticatiegegevens: U mag na autorisatie nooit gevoelige authenticatiegegevens opslaan, ongeacht of deze versleuteld zijn. Dit omvat volledige magneetstripgegevens, CAV2-, CVC2-, CID- en PIN-blokgegevens. Verwijder deze gegevens onmiddellijk nadat het autorisatieproces is voltooid.

• Implementeer beleid voor gegevensbewaring: Ontwikkel en implementeer beleid voor gegevensbewaring. Bewaar kaartgegevens alleen gedurende de tijd die nodig is om te voldoen aan wettelijke, regelgevende of zakelijke vereisten. Verwijder gegevens die niet langer nodig zijn.

Lees meer: ​​WordPress-toegankelijkheidsgids: naleving van de WCAG-normen

Versleuteling van betaalgegevens tijdens verzending

Deze stap vereist dat u de overdracht van betalingsgegevens via openbare netwerken versleutelt.

• Gebruik sterke cryptografie: Gebruik altijd sterke cryptografie, met name TLS (Transport Layer Security), om kaartgegevens te versleutelen wanneer deze via internet worden verzonden. Dit geldt voor de betaalpagina, het inloggen op klantaccounts en alle API-aanroepen die gegevens naar uw betalingsverwerker verzenden.

• Beveilig alle webpagina's: Zorg ervoor dat uw volledige WordPress-site via HTTPS (met een geldig SSL/TLS-certificaat) werkt , niet alleen de betaalpagina's. Dit creëert een consistent veilige netwerkomgeving voor het verzenden van kaartgegevens.

• Controleer de protocolsterkte: Gebruik geen verouderde protocollen, zoals SSL of vroege versies van TLS. Zorg ervoor dat uw serverconfiguratie de meest recente, sterkste en algemeen geaccepteerde versies van TLS gebruikt.

Bescherming tegen malware en beheer van kwetsbaarheden

Deze vereisten vormen samen met het waarborgen van veilige WordPress-applicaties een robuust programma voor kwetsbaarheidsbeheer.

• Bescherming tegen schadelijke software: Zorg ervoor dat al uw systemen, met name die binnen de omgeving voor kaartgegevens, beschermd zijn tegen schadelijke software met behulp van actuele antivirus- of antimalwareoplossingen. Deze software moet actief draaien, continu worden bijgewerkt en regelmatig scans uitvoeren.

• Houd WordPress, thema's en plug-ins up-to-date: WordPress-sites zijn vaak doelwit van aanvallen. U moet snel beveiligingspatches toepassen op de WordPress-kern, thema's en alle plug-ins. Verouderde software is een belangrijke kwetsbaarheid die door aanvallers wordt misbruikt om toegang te krijgen tot gevoelige gegevens of deze te compromitteren.

• Ontwikkel veilige applicaties: Houd u bij het ontwikkelen van aangepaste thema's of plug-ins aan veilige programmeerpraktijken. Introduceer geen bekende kwetsbaarheden. Scheid de ontwikkel-, test- en productieomgevingen om te voorkomen dat onveilige code in uw productiesysteem terechtkomt.

Het beveiligen van WordPress-applicaties

Deze stap is cruciaal voor elke zelfgehoste applicatie.

• Veilige hostingomgeving: Kies een webhost die een PCI-compatibele, veilige serveromgeving biedt, met een firewall op hostniveau en robuuste fysieke beveiligingsmaatregelen.

• Beveilig WordPress: Implementeer beveiligingsmaatregelen die specifiek zijn voor WordPress, zoals het uitschakelen van bestandsbewerking via het dashboard (DISALLOW_FILE_EDIT), het verplaatsen van het wp-config.php- bestand en het wijzigen van het standaard databasevoorvoegsel. Deze beveiligde configuraties maken het voor aanvallers veel moeilijker om veelvoorkomende kwetsbaarheden te misbruiken.

• Regelmatige plugin-audits: continu de plugins die u hebt geïnstalleerd. Verwijder alle plugins of thema's die u niet actief gebruikt, aangezien deze onopgemerkte beveiligingsrisico's kunnen vormen die uw algehele PCI DSS-naleving ondermijnen.

Toegangscontrole en principes van minimale bevoegdheden

Deze eis heeft betrekking op toegangscontrole. U moet de toegang tot kaartgegevens beperken op basis van het principe van minimale bevoegdheden.

• Toegang beperken: Beperk de toegang tot systeemcomponenten en kaartgegevens strikt op basis van het 'need-to-know'-principe. Medewerkers mogen alleen de minimale toegang hebben tot kaartgegevens die nodig is om hun werkzaamheden uit te voeren.

• Implementeer sterke toegangscontrolemaatregelen: Configureer uw WordPress-gebruikersrollen zorgvuldig. Wijs alleen beheerdersrollen toe aan personeel dat daadwerkelijk volledige controle nodig heeft. Gebruik aangepaste rollen of plug-ins om specifieke, beperkte machtigingen aan andere gebruikers te verlenen en beperk fysieke toegang waar mogelijk.

• Beveiligde toegang op afstand: Gebruik beveiligde methoden, zoals virtuele particuliere netwerken (VPN's) of versleutelde SSH-verbindingen, voor alle toegang op afstand tot uw netwerk of server. Sta geen directe, onversleutelde verbindingen toe.

Ontdek meer: ​​HIPAA-naleving voor e-commerce

Sterke authenticatie en unieke gebruikers-ID's

Deze vereiste zorgt ervoor dat u gebruikers effectief kunt identificeren en de toegang kunt authenticeren.

• Unieke gebruikers-ID's: Wijs een unieke gebruikers-ID toe aan elke persoon die toegang heeft tot systeemcomponenten of de omgeving voor kaartgegevens. Gebruik nooit gedeelde accounts. Dit stelt u in staat alle activiteiten te volgen en te controleren.

• Multifactorauthenticatie (MFA): Implementeer multifactorauthenticatie voor alle toegang tot de omgeving voor kaarthoudergegevens, evenals voor alle externe toegang tot de CDE die niet via de console verloopt. Dit voegt een cruciale tweede beveiligingslaag toe, zelfs als een aanvaller een wachtwoord weet te bemachtigen.

• Een strikt wachtwoordbeleid: Hanteer een streng en complex wachtwoordbeleid voor alle gebruikers. Wachtwoorden moeten een minimale lengte hebben, een combinatie van tekens bevatten en regelmatig worden gewijzigd. Zorg ervoor dat alle wachtwoorden onleesbaar zijn wanneer ze worden opgeslagen of verzonden.

Fysieke beveiliging van gevoelige gegevens

Het schrijft voor dat u de fysieke toegang tot systemen binnen de omgeving voor kaarthoudergegevens moet beperken.

Hoewel een typische WordPress-site in een datacenter wordt gehost, gelden deze regels voor alle apparatuur en administratieve werkstations op locatie.

• Beperk fysieke toegang tot kaartgegevens: Dit geldt voor serverracks, netwerkapparatuur, papieren dossiers (indien aanwezig) en administratieve werkstations. Alleen bevoegd personeel mag fysieke toegang hebben tot deze ruimtes.

• Fysieke beveiligingsmaatregelen: Implementeer strenge fysieke beveiligingsmaatregelen , zoals camera's, sloten en toegangscontrole (bijvoorbeeld badgelezers), voor gebouwen waar gevoelige beveiligingssystemen of kaartgegevens worden opgeslagen.

• Bezoekersregistratie bijhouden: Beheer en controleer alle toegang door bezoekersregistraties bij te houden en de juiste autorisatieprocedures te vereisen voor iedereen die fysieke toegang krijgt tot ruimtes die toegankelijk zijn voor pashouders.

Ontdek meer: ​​ADA-conformiteit voor WordPress

Het registreren en monitoren van WordPress-activiteiten.

Deze vereiste houdt in dat u alle toegang tot netwerkbronnen en kaartgegevens moet registreren en monitoren.

• Implementeer audit trails: Gebruik geautomatiseerde audit trails om alle activiteiten op systeemcomponenten vast te leggen en alle toegang tot kaartgegevens te registreren. De audit trails moeten de gebruikersidentificatie, het type gebeurtenis, de datum en tijd, het succes of falen van de gebeurtenis en de oorsprong van de gebeurtenis vastleggen.

• Controleer de logbestanden regelmatig: Wijs personeel aan om de logbestanden van alle beveiligingssystemen en systeemcomponenten regelmatig te controleren. Dit proces maakt het mogelijk om ongeautoriseerde activiteiten of potentiële beveiligingsproblemen tijdig te detecteren.

• Beveilig de auditlogboeken: Bescherm de auditlogboeken om wijziging of vernietiging te voorkomen. Bewaar logboeken minimaal één jaar, waarvan de eerste drie maanden direct beschikbaar zijn voor analyse. Gebruik een betrouwbare logboekplug-in en, indien mogelijk, een externe logboekserver om de loggegevens te beveiligen.

Regelmatige beveiligingstests en scans

Het vereist dat u de beveiligingssystemen en -processen regelmatig test.

• Kwartaalscans op kwetsbaarheden: Voer kwartaalscans uit op interne en externe netwerkkwetsbaarheden door een erkende scanleverancier (ASV). Deze scans helpen u bij het identificeren en verhelpen van bekende kwetsbaarheden in uw netwerkinfrastructuur en webapplicaties.

• Penetratietesten: Voer minstens jaarlijks een penetratietest uit en na elke belangrijke upgrade of wijziging aan uw WordPress-site of -netwerk. Penetratietesten simuleren een realistische aanval om zwakke punten te vinden en te misbruiken.

• Firewall- en beleidstesten: Test regelmatig netwerken en beveiligingsmaatregelen om ervoor te zorgen dat ze naar behoren functioneren. Test uw processen, inclusief back-up- en herstelprocedures , om de bedrijfscontinuïteit te waarborgen.

• Risicobeoordeling: Voer minstens jaarlijks een formele risicobeoordeling uit. Dit proces identificeert kritieke activa, bedreigingen en kwetsbaarheden, waardoor u de belangrijkste risico's voor de informatiebeveiliging kunt prioriteren en aanpakken.

Het handhaven van beleid voor informatiebeveiliging

Het vereist dat u een duidelijk informatiebeveiligingsbeleid opstelt, onderhoudt en verspreidt.

• Stel beveiligingsbeleid op: Ontwikkel en publiceer een informatiebeveiligingsbeleid dat de informatiebeveiliging voor al het personeel, inclusief contractanten en externe leveranciers, behandelt. Het beleid moet de verantwoordelijkheden op het gebied van beveiliging duidelijk definiëren.

• Ontwikkel een incidentresponsplan: Implementeer een formeel, gedocumenteerd incidentresponsplan. Dit plan beschrijft de stappen die uw team direct na een datalek of beveiligingsincident moet nemen om de schade te beperken en de relevante partijen op de hoogte te stellen.

• Beveiligingsbewustzijnstraining: Implementeer een formeel beveiligingsbewustzijnsprogramma. Al het personeel moet de risico's en hun verantwoordelijkheden met betrekking tot de bescherming van kaartgegevens begrijpen.

Verder lezen: SOC 2-conformiteit voor uw WordPress-website

PCI DSS-conformiteit valideren voor WordPress

Het behalen van PCI DSS-conformiteit is een proces in twee stappen: het implementeren van de beheersmaatregelen en vervolgens het valideren ervan.

Het validatieproces is afhankelijk van uw merchant-niveau, dat wordt bepaald door het jaarlijkse volume aan creditcardbetalingen dat u verwerkt.

• Bepaal uw merchantniveau: De vier merchantniveaus bepalen uw validatievereisten (bijvoorbeeld niveau 4 heeft het laagste volume, niveau 1 het hoogste).

• Vul de zelfevaluatievragenlijst (SAQ) in: De meeste kleine tot middelgrote WordPress-webshops vullen een zelfevaluatievragenlijst (SAQ) in. Het type SAQ (bijv. SAQ A, SAQ A-EP, SAQ D) hangt af van hoe uw site de betalingsverwerking afhandelt . Als u bijvoorbeeld een volledig gehoste betaalpagina (extern) gebruikt, komt u mogelijk in aanmerking voor de eenvoudigere SAQ A. Als uw betaalformulier is ingebed in uw WordPress-pagina, zijn de vereisten aanzienlijk hoger.

• Driemaandelijkse ASV-scans: U moet bewijs overleggen dat u de driemaandelijkse externe kwetsbaarheidsscans, uitgevoerd door een erkende scanleverancier (ASV), met succes hebt doorstaan.

• Rapport over naleving (ROC): Winkeliers van niveau 1 zijn verplicht om jaarlijks een beoordeling op locatie te ondergaan door een gekwalificeerde beveiligingsauditor (QSA), die vervolgens een rapport over naleving (ROC) opstelt.

Communiceer altijd met uw acquirerende bank of betalingsverwerker. Zij zijn uiteindelijk verantwoordelijk voor de naleving van de PCI-standaard en zullen u precies vertellen welke documentatie u moet indienen om aan te tonen dat uw DSS-nalevingschecklist compleet is.

Samenvatting over het versterken van de WordPress-beveiliging met PCI DSS-naleving

Het beschermen van de gevoelige gegevens van uw klanten is de basis van een succesvolle e-commerceonderneming.

Hoewel PCI DSS-naleving voor een WordPress-site-eigenaar ontmoedigend kan lijken, vereenvoudigt deze uitgebreide checklist het proces aanzienlijk.

Door netwerkbeveiligingsmaatregelen te treffen, te zorgen voor sterke toegangscontrole, kaartgegevens goed te beveiligen en uw beveiligingssystemen continu te evalueren, verkleint u het risico op datalekken aanzienlijk.

Deze toewijding aan informatiebeveiliging zorgt niet alleen voor naleving van de PCI DSS-normen, maar bevordert ook duurzaam vertrouwen bij uw klanten en laat zien dat uw bedrijf zich inzet voor de bescherming van hun financiële gegevens.

Beschouw dit als een voortdurende inzet voor gegevensbescherming, niet slechts als een hindernis die moet worden overwonnen.

Veelgestelde vragen over PCI DSS-naleving