E-commerce jest sektorem, w którym PCI DSS ma największe praktyczne znaczenie: każda transakcja online wiąże się z przesyłaniem danych karty przez internet, co tworzy ryzyko przechwycenia. Europejscy sprzedawcy online stoją przed złożonym zestawem wymagań PCI DSS, które różnią się w zależności od modelu integracji płatności. Ten przewodnik wyjaśnia, jakie opcje masz i jak wybrać tę, która minimalizuje Twoje obciążenie compliance.
Modele integracji płatności a zakres PCI DSS
Zakres PCI DSS sprzedawcy e-commerce zależy bezpośrednio od modelu integracji płatności. Hosted Payment Page (HPP): klient jest przekierowywany na stronę PSP – najniższy zakres PCI DSS, SAQ A. iFrame z hosted fields: pola karty są hostowane przez PSP w iFrame na Twojej stronie – SAQ A. Direct API: dane karty są przesyłane przez Twój serwer do PSP – najwyższy zakres, SAQ D. JavaScript SDK: podobny do iFrame, jeśli prawidłowo wdrożony – SAQ A lub A-EP.
SAQ A: najmniejszy zakres, najlepszy cel
SAQ A to kwestionariusz samooceny PCI DSS z zaledwie 22 pytaniami – przeznaczony dla sprzedawców e-commerce, którzy całkowicie delegują przetwarzanie kart do certyfikowanego service providera. Aby zakwalifikować się do SAQ A: całe przetwarzanie kart musi być outsourcowane do certyfikowanego dostawcy, formularz płatności musi być hostowany przez dostawcę (iFrame lub hosted page), Twoja strona nie może samodzielnie przechwytywać danych karty, wszystkie strony klienta muszą być serwowane przez HTTPS.
Wymaganie 6.4.3 PCI DSS v4.0: nowe wyzwanie dla e-commerce
PCI DSS v4.0 wprowadza nowe Wymaganie 6.4.3, które dotyczy wszystkich sprzedawców e-commerce z formularzami płatności: sprzedawca musi utrzymywać i zarządzać listą wszystkich skryptów wczytywanych na stronach płatności, dokumentować uzasadnienie biznesowe każdego skryptu, implementować mechanizm wykrywania zmian w skryptach, posiadać zatwierdzenie każdego skryptu przez upoważnioną osobę. To wymaganie ma na celu zapobieganie atakom typu Magecart/web skimming.
Ochrona przed Magecart i skimmingiem stron płatności
Ataki Magecart polegają na wstrzykiwaniu złośliwego JavaScript na strony płatności e-commerce w celu przechwytywania danych kart w momencie ich wprowadzania przez klienta. Dane są następnie przesyłane do serwera atakującego. Użycie hosted fields PCI Proxy EU eliminuje to ryzyko: pola karty są hostowane w odizolowanym środowisku certyfikowanym PCI DSS – nawet jeśli Twoja strona zostanie skompromitowana, złośliwy skrypt nie może dostać się do danych karty, które nigdy nie trafiają do Twojego środowiska.
Skanowanie ASV i testy penetracyjne w e-commerce
Sprzedawcy e-commerce Level 1 i 2 są zobowiązani do kwartalnych skanów sieci zewnętrznej przez Approved Scanning Vendor (ASV). Skany ASV identyfikują podatności dostępne z internetu: otwarte porty, przestarzałe oprogramowanie, błędy konfiguracji. Sprzedawcy Level 1 muszą dodatkowo przeprowadzać coroczne testy penetracyjne. Ograniczenie CDE przez tokenizację redukuje zakres obu tych testów – mniej systemów oznacza mniejsze koszty skanowania i testów.
Wyeliminuj PCI DSS z Twojego sklepu e-commerce
Hosted fields PCI Proxy EU integrują się z każdą platformą e-commerce i kwalifikują do SAQ A. Skontaktuj się z nami.
Porozmawiaj z ekspertem