Vi bliver ofte spurgt, om Kinsta tilbyder PCI-kompatibel hosting, så i dag vil vi undersøge dette emne. Mange er ikke klar over, at hver eCommerce-butik, der behandler butiker, gemmer eller overfører kreditkortdata, skal være PCI-kompatibel, uanset deres årlige salgsvolumen. Så det er vigtigt at tage sig lidt tid til bedre at forstå PCI-overholdelse, og hvordan det påvirker din virksomhed.

Hvad er PCI?

Udtrykket PCI står for “Payment Card Industry.” Du hører ofte dette forbundet med PCI DSS, som er betalingskortindustriens sikkerhedsstandard. Grundlæggende er det et sæt sikkerhedsstandarder for alle virksomheder, der accepterer, gemmer og transmitterer kreditkortdata. Dette var designet til at beskytte forbrugerens data og sikre, at kreditkortdata behandles i et sikkert miljø.

Virksomheder som American Express, Discover, JCB International, MasterCard og Visa har alle deres egne overholdelsesprogrammer, men er underlagt de sikkerhedsstandarder, der er indført af PCI Security Standards Council (som de er stiftende medlemmer).

Tilbyder Kinsta PCI-kompatibel hosting?

Det er vigtigt at forstå, at netop fordi en host muligvis er PCI-kompatibel, betyder det ikke automatisk, at du er kompatibel, hvis du hoster dit websted med dem. Årsagen er, at hovedparten af ​​ansvaret for at sikre sikkerhed stadig falder på dig som webstedsejer. For eksempel, hvis du driver en WooCommerce-butik, er du den, der i sidste ende er ansvarlig for at håndtere kundedata, behandle kreditkort, gemme og autentificere loginoplysninger og vedligeholde koden på dit websted.

Kinsta garanterer ikke PCI-overholdelse, og vi er ikke i stand til at revidere dit websted for at bekræfte, at du gør ting rigtigt heller. Det betyder dog ikke, at du ikke kan være PCI-kompatibel, når du hoster dit websted hos os. Faktisk har vi mange klienter, der har arbejdet med tredjepartsrevisorer for at videregive PCI-overholdelsesscanninger. I mange af disse tilfælde har vi været nødt til at foretage et par mindre justeringer efter anmodning, men disse klienter har været i stand til at gennemføre revisionen fint efter en lille finjustering af både vores ende og deres.

Selvom vi ikke engageres direkte i revisionsprocessen, da dette er webstedsejers ansvar, kan vi foretage specifikke justeringer efter anmodning.

Sådan overholdes du

Her er et par bedste fremgangsmåder for at sikre, at du overholder Kinsta:

1. PCI Self-Assessment Questionnaire

Udfyld hvert år et PCI Self-Assessment Questionnaire (SAQ) for at hjælpe dig med at afgøre, om dit betalingsbehandlingsopsætning er PCI-kompatibel.

2. TLS og HTTPS

Server dine betalingssider sikkert ved hjælp af en moderne version af TLS (1.2 eller nyere), så dit websted bruger HTTPS (krypterede forbindelser). Kinsta holder altid TLS-versioner ajour på vores servere, og du kan nemt installere et SSL-certifikat fra dit MyKinsta dashboard.

Sådan installeres SSL-certifikatet på WooCommerce.

Bemærk: PCI-standarder (betalingskortindustri) accepterer i øjeblikket domænevaliderede (DV) -certifikater, hvilket betyder, at gratis Let’s Encrypt-certifikater kan bruges. Disse regler kan imidlertid også ændre sig i fremtiden. Hvis du ikke er tilpas med dette, eller en revisor anbefaler imod det, kan du altid installere et brugerdefineret SSL-certifikat. Dette giver også ekstra beskyttelse, såsom en garanti i tilfælde af dataovertrædelse.

Sørg for at læse vores TLS vs SSL-guide.

3. Behandle betalinger via tredjepartsudbyder

En af de nemmeste måder til potentielt at forenkle PCI-overholdelse er at behandle dine kreditkort transaktioner via en tredjepartsudbyder. Du kan nemt tilslutte din WooCommerce eller Easy Digital Downloads-butik med en betalingsgateway, f.eks. Stripe eller PayPal. Du skal stadig se gennem deres retningslinjer for overholdelse af PCI, selvom behandling af kreditkort off-site ikke altid garanterer overholdelse. Der kan være behov for yderligere trin.

4. Implementér en firewall

En anden anbefaling er at etablere og implementere en firewall til at hjælpe med at filtrere uønsket trafik. Vi bruger Google Cloud Platforms firewalls på virksomhedsniveau, aktiv og passiv sikkerhed og andre avancerede funktioner, der allerede er på plads for at forhindre adgang til dine data .

Du kan imidlertid også implementere en tredjeparts webapplikations firewall (WAF) såsom Sucuri eller Cloudflare for at få yderligere beskyttelse.

5. To-faktor godkendelse

To-faktor godkendelse involverer en totrinsproces, hvor du ikke kun har brug for din adgangskode for at logge ind, men en anden metode. Aktivering af tofaktor-godkendelse kan hjælpe med at forhindre uautoriseret adgang til både din hosts kontrolpanel og dit sted.

Aktivér to-faktor godkendelse i MyKinsta.
Aktivér to-faktor godkendelse i MyKinsta.

6. Datacenter-sikkerhed

Kinsta bruger Google Cloud Platform, der bruger sikkerhedstilstand på tværs af sine datacentre: beskyttelsesmuligheder som specialdesignede elektroniske adgangskort, alarmer, adgangsbarrierer til køretøjer, perimeterhegn, metaldetektorer og biometri. Datacentrets gulv har laserstråle-indtrængnings-detektion.

Deres datacentre overvåges døgnet rundt af kameraer i høj opløsning og patruljeres af sikkerhedsvagter, der har gennemgået en streng baggrundskontrol. Hver handling og aktivitet logges og registreres i tilfælde af, at der sker en hændelse.

Alle data er krypteret i transit og i hvile mellem Google, kunderne og datacentre; samt dataene i alle Cloud Platform-tjenester. Data, der er gemt på vedvarende diske, er krypteret under 256-bit AES, og hver krypteringsnøgle er også krypteret med et sæt regelmæssigt ændrede mastertaster.

GCPs Compute Engine-service er blevet gennemgået af en uafhængig Qualified Security Assessor og bestemt til at være PCI DSS 3.2-kompatibel. Det betyder dog ikke, at du automatisk er PCI-kompatibel. Alt, hvad vi har nævnt ovenfor, gælder stadig, da det er du, der i sidste ende er ansvarlig for at sikre, at dit websted er PCI-kompatibelt.

GCP’s PCI Attestation of Compliance og SOC 2-rapporter er ikke offentligt tilgængelige. Disse dokumenter er kun tilgængelige direkte fra GCP efter indgåelse af en aftale, der ikke er afsløret. Som et resultat, hvis du har brug for adgang til disse dokumenter, skal du udvikle et forhold direkte med GCP for at anmode om disse dokumenter.

Læs mere om Google Cloud Platforms sikkerhed.

Bemærk: Ovenstående information gives til at hjælpe dig med spørgsmål vedrørende PCI-overholdelse. Vi er dog ikke ansvarlige for at vurdere din overholdelse. Dette skal altid håndteres af en tredjepartsrevisor.