Lista de verificação essencial de conformidade com o PCI DSS para WordPress

Proteger os dados de pagamento deixou de ser opcional. A conformidade com o PCI DSS agora é um requisito fundamental para todos os sites WordPress que processam pagamentos com cartão de crédito.

Os ataques cibernéticos aumentam a cada ano, e até mesmo pequenas vulnerabilidades podem expor dados confidenciais de clientes.

Uma única violação de segurança pode destruir a confiança, acarretar penalidades e paralisar seus negócios da noite para o dia. A boa notícia é que você pode prevenir esses riscos com as medidas de segurança adequadas.

Uma lista de verificação clara ajuda você a proteger seu site, resguardar os dados do titular do cartão e manter-se em conformidade com os padrões do setor.

Neste guia, você aprenderá os passos essenciais que sites de comércio eletrônico bem-sucedidos utilizam para manter uma forte proteção e atender às expectativas de conformidade.

Conformidade com o PCI DSS: o que é e por que é importante?

Se você administra uma operação de comércio eletrônico ou aceita pagamentos com cartão de crédito em seu site WordPress, você lida com dados do titular do cartão.

Isso faz de você um alvo para agentes maliciosos. Proteger esses dados sensíveis não é opcional; é obrigatório.

Você deve cumprir o padrão de segurança global conhecido como Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

Esta lista de verificação completa de conformidade com o PCI DSS serve como seu guia definitivo para proteger seu ambiente WordPress e alcançar a conformidade total com o PCI.

Significado da conformidade com o PCI DSS

O PCI DSS é um conjunto de normas de segurança desenvolvido para garantir que todas as empresas que armazenam, processam ou transmitem dados de cartão de crédito mantenham um ambiente seguro.

As principais empresas de cartão de crédito (Visa, Mastercard, American Express, Discover e JCB) criaram o padrão. Elas estabeleceram o Conselho de Padrões de Segurança PCI (PCI SSC) para gerenciá-lo e administrá-lo.

A conformidade com o PCI DSS significa que sua organização atende aos 12 requisitos principais do PCI DSS. Esses requisitos ajudam a minimizar o risco de violações de dados e protegem contra fraudes com cartões de crédito.

O objetivo final da conformidade com o DSS é salvaguardar a confiança do cliente e evitar a exposição de dados sensíveis do usuário.

A obtenção da certificação PCI DSS é um processo contínuo, não um evento isolado. Requer esforço regular para manter sistemas e processos seguros.

Importância do PCI DSS para sites WordPress

Muitas dessas instalações são lojas de comércio eletrônico, que frequentemente utilizam plugins como o WooCommerce. Quando um cliente usa seu cartão de crédito em seu site, as informações dessa transação são processadas pelo seu sistema.

Qualquer parte do seu ambiente WordPress que interaja com dados de pagamento, o servidor, o banco de dados, os plugins e até mesmo os painéis de administração, está dentro do escopo do seu Ambiente de Dados do Titular do Cartão (CDE).

Ignorar os padrões PCI DSS é extremamente arriscado. A não conformidade pode resultar em multas severas por parte de bancos e bandeiras de cartão, suspensão da sua capacidade de aceitar pagamentos com cartão de crédito e danos irreparáveis ​​à sua reputação após um incidente de segurança.

Seus clientes confiam em você para proteger os dados deles. Cumprir os requisitos de conformidade do PCI DSS é sua responsabilidade para garantir a proteção dos dados e o manuseio seguro de todas as informações do titular do cartão.

Utilizar esta lista de verificação de conformidade ajuda a garantir a segurança da sua operação e a proteger os dados armazenados dos titulares dos cartões.

Requisitos principais do PCI DSS para WordPress

O PCI DSS define 12 requisitos organizados em seis objetivos de controle.

Para um site WordPress, esses controles se aplicam diretamente ao seu de hospedagem , plugins, temas e práticas administrativas.

Esta lista de verificação de conformidade com o PCI detalha os passos essenciais que você deve seguir.

Configuração de firewall e controles de rede seguros

Este requisito do PCI DSS exige que você instale e mantenha controles de segurança de rede. Seu site está constantemente exposto à internet pública, tornando uma defesa robusta crucial.

• Implemente um Firewall de Aplicação Web (WAF): Configure um firewall robusto para bloquear ataques comuns na web, como injeção de SQL e cross-site scripting (XSS), antes que eles atinjam sua instalação do WordPress.

• Segmente sua rede: isole o ambiente de dados do titular do cartão do restante dos recursos da sua rede. Essa segmentação garante que, se um invasor comprometer um sistema que não seja de pagamento, ele não poderá acessar os dados do titular do cartão.

• Documente e revise as regras: Mantenha um documento que descreva todos os controles de segurança da rede e as regras do firewall. Você deve revisar essas regras regularmente para garantir que permaneçam relevantes e práticas, impedindo que tráfego não autorizado acesse sua rede segura.

• Redes sem fio seguras: Se você acessar o painel de administração do WordPress por meio de redes sem fio, certifique-se de usar criptografia e autenticação fortes para impedir que invasores monitorem o tráfego e interceptem dados de pagamento.

Removendo as configurações padrão e protegendo o acesso ao sistema.

Este método tem como foco fortalecer seu sistema contra vulnerabilidades facilmente exploráveis ​​e publicamente conhecidas.

Os atacantes frequentemente exploram as configurações padrão e as senhas padrão fornecidas pelo fornecedor para obter acesso não autorizado.

• Alterar todas as configurações padrão: Altere imediatamente todas as senhas, nomes de usuário (como 'admin') e configurações de segurança padrão em todos os componentes do sistema, incluindo seu servidor, firewall, modem e instalação do WordPress. Nunca use credenciais genéricas ou predefinidas de fábrica.

• Aplique configurações de segurança: Aplique configurações de segurança a todos os sistemas de segurança, novos e existentes, antes de conectá-los à rede. Utilize as melhores práticas do setor ou guias de configuração de segurança específicos para o seu sistema operacional de servidor, servidor web (por exemplo, Apache, Nginx) e banco de dados (por exemplo, MySQL).

• Desative contas desnecessárias: desative contas, serviços e protocolos padrão desnecessários. Habilite apenas as funções necessárias para suas operações de comércio eletrônico. Essa prática ajuda a manter sistemas seguros, reduzindo a superfície de ataque.

Proteção dos dados armazenados do titular do cartão

Isso exige que você proteja os dados armazenados do titular do cartão. O melhor método para proteger os dados do titular do cartão é não armazená-los.

• Minimize o armazenamento de dados: se possível, não armazene dados de cartão de crédito (o Número da Conta Principal ou PAN) no seu servidor WordPress. Utilize um processador de pagamentos terceirizado e validado pelo PCI (como Stripe ou PayPal) que gerencie os dados fora do seu servidor. Isso reduz significativamente o escopo da sua conformidade com o PCI DSS.

• Tornar os dados ilegíveis: Se sua empresa precisa armazenar dados de titulares de cartões, você deve tornar o PAN ilegível. Você pode usar criptografia forte, hashes unidirecionais, truncamento ou tokenização. Os dados da conta armazenados devem ser fortemente protegidos.

• Não armazene dados de autenticação confidenciais: Nunca armazene dados de autenticação confidenciais após a autorização, independentemente de estarem criptografados ou não. Isso inclui dados completos da tarja magnética, CAV2, CVC2, CID e dados do bloco PIN. Exclua esses dados imediatamente após a conclusão do processo de autorização.

• Implemente políticas de retenção de dados: Desenvolva e implemente políticas de retenção de dados. Você deve manter os dados do titular do cartão apenas pelo tempo necessário para cumprir requisitos legais, regulatórios ou comerciais. Exclua os dados que não forem mais necessários.

Saiba mais: Guia de Acessibilidade do WordPress: Conformidade com os Padrões WCAG

Criptografia de dados de pagamento durante a transmissão

Esta etapa exige que você criptografe a transmissão de dados de pagamento em redes públicas e abertas.

• Use criptografia forte: Sempre utilize criptografia forte, especificamente TLS (Transport Layer Security), para criptografar os dados do titular do cartão sempre que forem transmitidos pela internet. Isso inclui a página de finalização da compra, logins de contas de clientes e quaisquer chamadas de API que transmitam dados para o seu processador de pagamentos.

• Proteja todas as páginas da web: Certifique-se de que todo o seu site WordPress funcione com HTTPS (com um certificado SSL/TLS válido), e não apenas as páginas de finalização da compra. Isso cria um ambiente de rede consistentemente seguro para a transmissão de dados do titular do cartão.

• Verifique a robustez do protocolo: Não utilize protocolos obsoletos, como SSL ou versões antigas do TLS. Certifique-se de que a configuração do seu servidor utilize as versões atuais, mais robustas e amplamente aceitas do TLS.

Proteção contra malware e gerenciamento de vulnerabilidades

Esses requisitos, em conjunto com a manutenção de aplicações WordPress seguras, formam um programa robusto de gestão de vulnerabilidades.

• Proteção contra softwares maliciosos: Garanta que todos os seus sistemas, especialmente aqueles dentro do ambiente de dados do titular do cartão, estejam protegidos contra softwares maliciosos utilizando soluções antivírus ou antimalware atualizadas. Este software deve estar em execução, continuamente atualizado e realizando verificações regulares.

• Mantenha o WordPress, os temas e os plugins atualizados: Sites WordPress são alvos frequentes de ataques. É fundamental aplicar rapidamente as atualizações de segurança ao núcleo do WordPress, aos temas e a todos os plugins. Software desatualizado é uma das principais vulnerabilidades exploradas por invasores que buscam obter acesso ou comprometer dados confidenciais.

• Desenvolva aplicações seguras: Ao desenvolver temas ou plugins personalizados , siga as práticas de codificação segura. Não introduza vulnerabilidades conhecidas. Separe os ambientes de desenvolvimento, teste e produção para impedir que código inseguro entre no seu sistema em funcionamento.

Como manter aplicações WordPress seguras

Esta etapa é crucial para qualquer aplicação auto-hospedada.

• Ambiente de hospedagem seguro: Selecione um provedor de hospedagem que ofereça um ambiente de servidor seguro e em conformidade com o padrão PCI, incluindo um firewall em nível de host e medidas robustas de segurança física.

• Reforce a segurança do WordPress: Implemente medidas de segurança específicas para o WordPress, como desabilitar a edição de arquivos pelo painel de controle (DISALLOW_FILE_EDIT), mover o wp-config.php e alterar o prefixo padrão do banco de dados. Essas configurações de segurança dificultam bastante a exploração de vulnerabilidades comuns por invasores.

• Auditorias regulares de plugins: continuamente os plugins instalados. Exclua quaisquer plugins ou temas que você não utilize ativamente, pois eles podem se tornar riscos de segurança despercebidos que comprometem sua conformidade geral com o PCI DSS.

Controle de acesso e práticas de privilégio mínimo

Este requisito centra-se no controlo de acesso. Deve limitar o acesso aos dados do titular do cartão com base no princípio do menor privilégio.

• Restringir o acesso: Restrinja o acesso aos componentes do sistema e aos dados do titular do cartão estritamente com base na necessidade de conhecimento. Os funcionários devem ter apenas o acesso mínimo aos dados do titular do cartão necessário para desempenhar suas funções.

• Implemente medidas robustas de controle de acesso: configure as funções de usuário do WordPress com cuidado. Atribua funções de administrador apenas aos funcionários que realmente precisam de controle total. Use funções personalizadas ou plugins para conceder permissões a outros usuários e restrinja o acesso físico sempre que possível.

• Acesso remoto seguro: Utilize métodos seguros, como redes virtuais privadas (VPNs) ou conexões SSH criptografadas, para todo o acesso remoto à sua rede ou servidor. Não permita conexões diretas e não criptografadas.

Saiba mais: Conformidade com a HIPAA para comércio eletrônico

Autenticação forte e IDs de usuário exclusivos

Este requisito garante que você possa identificar usuários e autenticar o acesso de forma eficaz.

• Identificações de usuário exclusivas: Atribua uma identificação de usuário exclusiva a cada pessoa com acesso a componentes do sistema ou ao Ambiente de Dados do Titular do Cartão. Nunca utilize contas compartilhadas. Isso permite rastrear e auditar todas as atividades.

• Autenticação Multifator (MFA): Implemente a Autenticação Multifator para todos os acessos ao Ambiente de Dados do Titular do Cartão (CDE), bem como para todos os acessos remotos ao CDE que não sejam via console. Isso adiciona uma segunda camada crítica de defesa, mesmo que um invasor comprometa uma senha.

• Política de Senhas Fortes: Implemente uma política de senhas rigorosa e complexa para todos os usuários. As senhas devem ter um comprimento mínimo, incluir uma combinação de caracteres e ser alteradas regularmente. Torne todas as senhas ilegíveis quando armazenadas ou transmitidas.

Segurança física para dados sensíveis

Determina que você restrinja o acesso físico aos sistemas dentro do Ambiente de Dados do Titular do Cartão.

Embora um site WordPress típico possa ser hospedado em um centro de dados, essas regras se aplicam a qualquer equipamento local e estações de trabalho administrativas.

• Restrinja o acesso físico aos dados do titular do cartão: Isso se aplica a racks de servidores, equipamentos de rede, registros em papel (se houver) e estações de trabalho administrativas. Somente pessoal autorizado deve ter acesso físico a essas áreas.

• Controles de segurança física: Implemente medidas robustas de segurança física, como câmeras, fechaduras e controles de acesso (como leitores de crachá), para instalações que abrigam sistemas de segurança sensíveis ou dados de titulares de cartões.

• Manter registro de visitantes: Controlar e monitorar todo o acesso, mantendo registros de visitantes e exigindo procedimentos de autorização adequados para qualquer pessoa que obtenha acesso físico às áreas restritas a portadores de cartão.

Saiba mais: Conformidade com a ADA para WordPress

Registro e monitoramento das atividades do WordPress

Este requisito exige que você rastreie e monitore todo o acesso aos recursos de rede e aos dados do titular do cartão.

• Implementar trilhas de auditoria: Utilize trilhas de auditoria automatizadas para registrar toda a atividade nos componentes do sistema e todo o acesso aos dados do titular do cartão. As trilhas de auditoria devem registrar a identificação do usuário, o tipo de evento, a data e a hora, o sucesso ou a falha do evento e a origem do evento.

• Revisar os registros regularmente: Designe funcionários para revisar os registros de todos os sistemas de segurança e componentes do sistema regularmente. Esse processo permite a detecção oportuna de atividades não autorizadas ou potenciais problemas de segurança.

• Trilhas de auditoria seguras: Proteja as trilhas de auditoria para evitar alterações ou destruição. Mantenha os registros por pelo menos um ano, com três meses imediatamente disponíveis para análise. Use um plugin de registro confiável e um servidor de registro remoto, se possível, para proteger os dados de registro.

Testes e verificações de segurança regulares

Isso exige que você teste os sistemas e processos de segurança regularmente.

• Análises trimestrais de vulnerabilidades: Realize análises trimestrais de vulnerabilidades internas e externas na sua rede por meio de um Fornecedor de Análise Aprovado (ASV). Essas análises ajudam a identificar e corrigir vulnerabilidades conhecidas na sua infraestrutura de rede e aplicações web.

• Testes de penetração: Realize testes de penetração pelo menos anualmente e após quaisquer atualizações ou alterações significativas em seu site WordPress ou rede. Os testes de penetração simulam um ataque real para encontrar e explorar vulnerabilidades.

• Testes de firewall e políticas: Teste regularmente as redes e os controles de segurança para garantir que funcionem conforme o esperado. Teste seus processos, incluindo procedimentos de backup e recuperação, para garantir a continuidade dos negócios.

• Avaliação de riscos: Realize um processo formal de avaliação de riscos pelo menos anualmente. Esse processo identifica ativos críticos, ameaças e vulnerabilidades, permitindo priorizar e abordar os riscos mais significativos à segurança da informação.

Manutenção de Políticas de Segurança da Informação

Isso exige que você estabeleça, mantenha e divulgue uma política de segurança da informação clara.

• Estabelecer Políticas de Segurança: Crie e publique uma política de segurança da informação que aborde a segurança da informação para todos os funcionários, incluindo contratados e fornecedores terceirizados. A política deve definir claramente as responsabilidades em matéria de segurança.

• Desenvolva um Plano de Resposta a Incidentes: Implemente um plano de resposta a incidentes formal e documentado. Este plano descreve as etapas que sua equipe deve seguir imediatamente após uma violação de dados ou incidente de segurança para conter os danos e notificar as partes relevantes.

• Treinamento de Conscientização em Segurança: Implemente um programa formal de conscientização em segurança. Todos os funcionários devem compreender os riscos e suas responsabilidades na proteção dos dados do titular do cartão.

Leitura complementar: Conformidade com SOC 2 para seu site WordPress

Validação da conformidade com o PCI DSS para WordPress

A obtenção da conformidade com o PCI DSS é um processo de duas etapas: implementar os controles e, em seguida, validá-los.

O processo de validação depende do seu nível de comerciante, que é determinado pelo volume anual de pagamentos com cartão de crédito que você processa.

• Determine seu nível de comerciante: Os quatro níveis de comerciante definem seus requisitos de validação (por exemplo, o Nível 4 tem o menor volume e o Nível 1 o maior).

• Preencha o Questionário de Autoavaliação (SAQ): A maioria dos sites de e-commerce WordPress de pequeno a médio porte preenche um Questionário de Autoavaliação (SAQ). O tipo de SAQ (por exemplo, SAQ A, SAQ A-EP, SAQ D) depende de como seu site processa pagamentos. Por exemplo, se você usa uma página de pagamento totalmente hospedada (fora do site), pode se qualificar para o SAQ A, mais simples. Se o seu formulário de pagamento estiver incorporado à sua página WordPress, seus requisitos aumentam significativamente.

• Análises trimestrais de ASV: Você deve enviar comprovante de aprovação em análises trimestrais de vulnerabilidades externas realizadas por um Fornecedor de Análise Aprovado (ASV).

• Relatório de Conformidade (ROC): Os comerciantes de Nível 1 são obrigados a passar por uma avaliação anual presencial realizada por um Avaliador de Segurança Qualificado (QSA), que então elabora um Relatório de Conformidade (ROC).

Mantenha sempre contato com seu banco adquirente ou processador de pagamentos. Eles são os responsáveis ​​pela aplicação do PCI DSS e informarão exatamente qual documentação você precisa enviar para comprovar que sua lista de verificação de conformidade com o DSS está completa.

Resumo sobre como fortalecer a segurança do WordPress com a conformidade com o PCI DSS

Proteger os dados sensíveis dos seus clientes é a base de um negócio de comércio eletrônico bem-sucedido.

Embora a conformidade com o PCI DSS possa parecer assustadora para o proprietário de um site WordPress, seguir esta lista de verificação abrangente de conformidade com o PCI DSS simplifica o processo.

Ao estabelecer controles de segurança de rede, garantir medidas robustas de controle de acesso, proteger adequadamente os dados do titular do cartão e revisar continuamente seus sistemas de segurança, você reduz significativamente o risco de violações de dados.

Esse compromisso com a segurança da informação não apenas garante a conformidade com os padrões PCI DSS, mas também fomenta uma confiança duradoura com seus clientes, demonstrando que sua empresa está dedicada a proteger suas informações financeiras.

Encare isso como um compromisso contínuo com a proteção de dados, e não apenas como um obstáculo a ser superado.

Perguntas frequentes sobre a conformidade com o PCI DSS