Hébergement PCI: ce que cela signifie et quand vous en avez besoin

Si vous prévoyez d'accepter les paiements en ligne, vous avez probablement rencontré le terme Hébergement PCI.Cela peut ressembler à quelque chose que chaque entreprise doit avoir, mais si cela est nécessaire, cela dépend de la façon dont vous gérez les paiements et les données du titulaire de carte.

Cet article expliquera ce que signifie l'hébergement PCI, vous aidera à déterminer si votre entreprise doit suivre les normes PCI DSS et clarifier quand l'hébergement PCI est en fait une bonne voie à emprunter.Si vous n'êtes pas sûr de vos responsabilités concernant la sécurité des données de paiement, ce guide rendra les choses plus claires.

Qu'est-ce que PCI DSS?

Avant de parler de l'hébergement PCI, cela aide à comprendre PCI DSS, également connu sous le nom de Norme de sécurité des données de l'industrie des cartes de paiement.PCI DSS est un ensemble de directives de sécurité visant à protéger les informations de carte de crédit partout où elle est stockée, traitée ou envoyée.Ces règles proviennent de grandes marques de cartes comme Visa, MasterCard et American Express et s'appliquent à tous ceux qui acceptent les paiements par carte.

L'objectif de l'établissement de ces normes est de réduire les risques de violations de données qui peuvent entraîner une fraude.L'adhésion à eux signifie mettre en place des mesures de sécurité en cours (par exemple, chiffrer les données de la carte) pour assurer la sécurité des paiements.

Qu'est-ce que l'hébergement PCI?

Hébergement PCI est un environnement d'hébergement Web configuré pour respecter les règles de sécurité requises par PCI DSS.Cela comprend des choses comme:

• Pare-feu et commandes de réseau pour maintenir les données de paiement séparées et sûres
  
• Cryptage pour les données se déplaçant dans vos serveurs
  
• Des contrôles d'accès solides qui restreignent qui peuvent se rapprocher d'informations sensibles
  
• Systèmes forestiers qui suivent l'activité pour repérer tout ce qui est inhabituel

En termes simples, l'hébergement PCI fournit une base sécurisée, construite pour protéger les données du titulaire de carte.

Cela dit, Le simple fait d'utiliser un hôte convivial PCI ne signifie pas que vous êtes automatiquement conforme.Le fournisseur d'hébergement vous donne les outils d'un environnement sécurisé, mais votre entreprise doit encore gérer les logiciels, les processus et les politiques qui répondent aux normes PCI.

Ce que les couvertures d'hébergement PCI - et ce qu'elle ne fait pas

Les fournisseurs d'hébergement PCI gèrent de nombreuses exigences techniques, comme les pare-feu, les commandes de réseau et les restrictions d'accès.

Cependant, Il y a des responsabilités dont vous avez encore besoin pour vous gérer, y compris:

• Garder vos logiciels et plugins à jour: Les applications ou extensions obsolètes peuvent introduire risques de sécurité même sur un serveur sécurisé.
  
• Gestion de l'accès des utilisateurs: Assurez-vous que les utilisateurs n'ont que les autorisations dont ils ont besoin et activer l'authentification à deux facteurs dans la mesure du possible.
  
• Surveillance des journaux et de l'activité: Examiner régulièrement les journaux pour repérer un comportement inhabituel avant qu'il ne devienne un problème.
  
• Minimiser l'exposition aux données de la carte: Collectez uniquement ce dont vous avez besoin et utilisez des tokenisation lorsque cela est possible pour réduire les risques.
  
• Effectuer des analyses de vulnérabilité: Des analyses régulières sont nécessaires pour trouver des faiblesses et sont généralement votre responsabilité, même lorsqu'elles sont hébergées sur des serveurs conformes à PCI.

Comment savoir si votre entreprise doit être conforme à PCI

Pour décider si l'hébergement PCI est nécessaire, la première étape consiste à déterminer si votre entreprise doit réellement répondre aux exigences PCI DSS.Cela commence par comprendre quelque chose appelé PCI Scope.

PCI Scope fait référence au processus d'évaluation de certaines parties de votre environnement commercial en contact avec une carte de crédit.

Cela comprend:

• Les serveurs
  
• Applications
  
• Réseaux
  
• Postes de travail
  
• Employés ayant accès à ces systèmes

Si une partie de votre configuration touche les données de paiement, même brièvement, elle est dans la portée PCI et doit suivre les règles PCI DSS.

Voici un moyen rapide d'y penser:

• Si Les données de la carte de crédit passent par votre serveur à tout moment, comme pendant le traitement des paiements, vos systèmes sont dans la portée.
• Si, plutôt, votre Le traitement des paiements se produit entièrement en dehors de votre environnement (Par exemple, via une passerelle de paiement tierce), et vos serveurs ne voient ni ne stockent les données de la carte, vous êtes probablement hors de portée.Dans ce cas, l'hébergement PCI peut ne pas être nécessaire.

Quand l'hébergement PCI n'est probablement pas nécessaire

De nombreuses entreprises gardent leur environnement d'hébergement hors de la portée de PCI en s'appuyant sur des solutions de paiement externes qui gèrent les informations sensibles.Les exemples typiques comprennent:

• Pages de paiement hébergées: Des services tels que Stripe Checkout, PayPal ou Square collectent en toute sécurité les détails de paiement sur leurs propres serveurs.Votre site Web y envoie des clients, donc vos serveurs ne gèrent pas les données de la carte.
  
• Formulaires de paiement intégrés avec tokenisation: Les processeurs de paiement proposent des formulaires intégrés (comme les éléments Stripe ou les champs hébergés Braintree) qui envoient des données de carte directement du navigateur de l'utilisateur au fournisseur de paiement.Votre système n'obtient qu'un jeton, qui est une référence qui ne peut pas être utilisée pour voler des données.
  
• Pas de stockage de données de carte: Si vous ne stockez pas les numéros de carte de crédit complets mais utilisez des services de facturation ou de saut à tokenisés, la responsabilité du stockage incombe à un fournisseur conforme, en respectant vos propres systèmes.

Lorsque c'est ainsi que fonctionne votre flux de paiement, votre environnement d'hébergement n'est généralement pas dans la portée et l'hébergement PCI peut ne pas être nécessaire.

Lorsque l'hébergement PCI est requis

L'hébergement PCI devient nécessaire lorsque votre propre infrastructure interagit directement avec les données du titulaire de carte.Voici des signes que l'hébergement PCI s'applique à vous:

• Vous hébergez vos propres formulaires de paiement: Si les clients saisissent les informations de carte de crédit dans les formulaires hébergés sur votre site Web, ces données transmettent vos serveurs, en les plaçant dans la portée.
  
• Vous stockez des numéros de carte complets: Que ce soit pour les abonnements, la facturation récurrente ou les paiements retardés, le stockage de données de carte complètes sur vos serveurs signifie des exigences de sécurité plus élevées.
  
• Vous exécutez des systèmes de paiement personnalisés: Si vous avez construit votre propre caisse, passerelle ou solution de point de vente, votre environnement d'hébergement fait partie du flux de paiement et doit répondre aux normes PCI.
  
• Vous êtes soumis à un audit PCI formel: Les entreprises traitant de gros volumes de transactions pourraient subir des audits qui comprennent l'examen de votre environnement d'hébergement.

Dans ces situations, Choisir un fournisseur d'hébergement Il est important de connaître les exigences PCI et l'offre de fonctionnalités prêtes à la conformité.

Les 12 exigences PCI DSS en bref

Après avoir confirmé que vous êtes dans PCI Scope, la prochaine étape consiste à comprendre ce que la conformité nécessite réellement.C'est là que les 12 exigences PCI DSS entrent en jeu. Ce sont les normes de référence que chaque entreprise dans le cadre doit suivre pour protéger correctement les données du titulaire de carte:

1. Utilisez des pare-feu pour protéger les données - Les pare-feu agissent comme des points de contrôle, filtrant le trafic réseau pour bloquer l'accès non autorisé.
   
2. Modifier les mots de passe et les paramètres par défaut - Les informations d'identification par défaut sont largement connues et vulnérables, alors utilisez des mots de passe solides et uniques.
   
3. Protéger les données de carte stockées - crypter et limiter le stockage des données du titulaire de carte.Moins vous gardez, plus votre risque est petit.
   
4. Crypter les données en transit - Utiliser cryptage comme TLS Lorsque les données de la carte se déplacent sur les réseaux publics ou non fiables.
   
5. Utiliser l'antigirus et l'anti-malware - Gardez ces outils à jour pour attraper et arrêter les logiciels malveillants.
   
6. Gardez les systèmes et les applications sécurisées - Patch les logiciels régulièrement et corriger rapidement les vulnérabilités.
   
7. Restreindre l'accès aux données du titulaire de carte - Ne donnez accès aux personnes qui en ont besoin pour effectuer leur travail.
   
8. Attribuer des identifiants uniques aux utilisateurs - Les connexions individuelles facilitent le suivi de l'activité des utilisateurs.
   
9. Contrôler l'accès physique - Limiter qui peut atteindre physiquement les appareils ou les documents stockant les données des titulaires de carte.
   
10. Accès à enregistrer et à surveiller - Maintenir des journaux détaillés pour détecter l'activité suspecte et aider aux audits.
    
11. Test des systèmes de sécurité régulièrement - Exécutez des analyses de vulnérabilité et des tests de pénétration pour trouver et réparer les faiblesses.
    
12. Maintenir une politique de sécurité - Documentez vos procédures de sécurité et assurez-vous que toutes les personnes impliquées comprennent leurs rôles.

Maintenir la conformité PCI dans le temps

Répondre à des normes PCI DSS n'est pas suffisante.La conformité est un effort continu qui nécessite une attention régulière pour assurer la sécurité des données des titulaires de cartes à mesure que votre entreprise et votre technologie évoluent.

Voici quelques pratiques clés pour vous aider à rester conforme à long terme:

1. Passez régulièrement à votre portée PCI

Votre environnement peut changer lorsque vous ajoutez de nouveaux systèmes, intégrations ou services.Réévaluez périodiquement quelles parties de votre configuration de la carte de poignée de données pour vous assurer de couvrir tous les domaines nécessaires.

2. Gardez les logiciels et les systèmes à jour

Les correctifs de sécurité et les mises à jour sont publiés pour corriger les vulnérabilités.Faites de la mise à jour une partie de routine de vos opérations - pas une tâche unique.

3. Effectuer une surveillance et une journalisation continue

La surveillance continue aide à assister à une activité suspecte tôt.Assurez-vous que vos journaux sont examinés régulièrement et stockés en toute sécurité.

4. Planifier les analyses de vulnérabilité et les tests de pénétration

Exécutez ces tests au moins tous les trimestres ou après les changements majeurs.Ils révèlent des points faibles avant que les attaquants ne les trouvent.

5. Formez votre équipe sur les meilleures pratiques de sécurité

Les employés sont une ligne de défense clé.La formation régulière les aide à comprendre leur rôle dans la protection des données du titulaire de carte et la reconnaissance des menaces.

6. Mettez à jour vos politiques et procédures de sécurité

À mesure que les menaces évoluent et que votre entreprise se développe, gardez votre documentation à jour.Cela maintient votre équipe alignée et préparée pour les audits.

7. Travailler avec des évaluateurs de sécurité qualifiés en cas de besoin

Si votre entreprise subit des audits PCI formels, le partenariat avec un QSA peut vous aider à rester sur la bonne voie et à rendre le processus plus lisse.

En traitant la conformité PCI comme une priorité continue, vous réduisez les risques et assurez vos clients.Rester proactif aujourd'hui permet d'économiser des problèmes coûteux demain.

Emballer

Toutes les entreprises n'ont pas besoin d'hébergement PCI.Si les données du titulaire de carte ne touche jamais vos serveurs parce que vous utilisez des caisses hébergées, des formulaires tokenisés ou des saut, votre environnement d'hébergement est probablement hors de portée PCI.

Si vos systèmes gèrent le stockage, le traitement ou la transmission de données sur les cartes, investir dans l'hébergement prêt pour le PCI est une étape intelligente vers la conformité et la sauvegarde de vos clients.

Avant de prendre des décisions concernant l'hébergement ou la sécurité, examinez attentivement votre flux de paiement complet.Comprendre où votre environnement se situe dans la portée PCI peut vous faire gagner du temps, de l'argent et des maux de tête sur la route.