Ci viene spesso chiesto se Kinsta offre un hosting conforme al PCI e oggi affronteremo proprio questo argomento. Molti non si rendono conto che ogni negozio di eCommerce che elabora, memorizza o trasmette dati di carte di credito deve essere conforme agli standard PCI, indipendentemente dal volume di vendite annuali. Quindi è importante prendersi un po’ di tempo per comprendere meglio il PCI e il suo impatto sulla propria attività.
Che Cos’è il PCI?
Il termine PCI sta per “Payment Card Industry”. Ne sentirete parlare spesso insieme al PCI DSS, che è lo standard di sicurezza dei dati del settore delle carte di pagamento. Fondamentalmente, è un insieme di standard di sicurezza per tutte le aziende che accettano, memorizzano e trasmettono i dati delle carte di credito. Questo è stato progettato per proteggere i dati dei consumatori e assicurare che i dati delle carte di credito vengano elaborati in un ambiente sicuro.
Aziende come American Express, Discover, JCB International, MasterCard e Visa hanno tutte i loro programmi di conformità, ma sono regolate dagli standard di sicurezza stabiliti dal PCI Security Standards Council (di cui sono membri fondatori).
Kinsta Offre un Hosting Conforme alle Norme del PCI?
Solo perché un host è conforme ai requisiti PCI, non significa automaticamente che lo sia anche il vostro sito. Il motivo è che la responsabilità maggiore nel garantire la sicurezza ricade ancora su di voi come proprietari del sito. Ad esempio, se gestite un negozio WooCommerce, siete sempre voi i responsabili ultimi per la gestione dei dati dei clienti, l’elaborazione delle carte di credito, l’archiviazione e l’autenticazione delle informazioni di accesso e il mantenimento del codice del sito.
Kinsta non garantisce la conformità al PCI e non siamo in grado di controllare il vostro sito per verificare abbiate fatto le cose per bene. Ma questo non significa che non possiate essere conformi ai requisiti PCI se avete scelto i servizi di hosting di Kinsta. Tra i nostri clienti, molti hanno lavorato con revisori di terze parti per superare i controlli di conformità al PCI. In molti di questi casi, abbiamo dovuto apportare alcune piccole modifiche su richiesta, ma tutti i clienti hanno superato l’audit dopo una piccola messa a punto sia da parte nostra che loro.
Anche se non ci facciamo coinvolgere direttamente nel processo di revisione, perché questa è responsabilità del proprietario del sito, possiamo apportare modifiche specifiche su richiesta.
Come Essere Conformi
Ecco alcune best practice per garantire la conformità al PCI su Kinsta:
1. Questionario di Autovalutazione del PCI
Compilate annualmente un questionario di autovalutazione (SAQ) per stabilire se la configurazione dell’elaborazione dei pagamenti sia conforme al PCI.
2. TLS e HTTPS
Servite le vostre pagine di pagamento in modo sicuro utilizzando una versione recente di TLS (1.2 o superiore) in modo che il vostro sito web faccia uso di HTTPS (connessioni criptate). Kinsta mantiene sempre aggiornate le versioni del TLS sui nostri server e potete facilmente installare un certificato SSL dal cruscotto MyKinsta.
Ecco come installare il certificato SSL su WooCommerce.
Nota: gli standard PCI (settore delle carte di pagamento) attualmente accettano i certificati DV (Domain Validated Domain), il che significa che è possibile utilizzare i certificati Let’s Encrypt gratuiti. Tuttavia, queste regole potrebbero cambiare in futuro. Se non vi sentite a vostro agio o se un auditor vi consiglia di non farlo, potete sempre installare un certificato SSL personalizzato. Questo fornisce anche un’ulteriore protezione, come ad esempio una garanzia in caso di violazione dei dati.
Leggete la nostra guida-confronto tra TLS e SSL.
3. Processare i Pagamenti Tramite un Provider di Terze Parti
Uno dei modi più semplici per essere conformi al PCI è quello di elaborare le transazioni con carta di credito tramite un provider di terze parti. Potete collegare facilmente il vostro negozio WooCommerce o Easy Digital Downloads con un gateway di pagamento, come Stripe o PayPal. Dovreste comunque dare un’occhiata alle loro linee guida sulla conformità al PCI, anche se la semplice elaborazione delle carte di credito fuori sede non sempre garantisce la conformità. Potrebbero essere necessarie altre operazioni.
- Conformità PCI con Stripe
- Conformità PCI con PayPal
- Conformità PCI con Braintree
- Conformità PCI con Authorize.net
4. Implementare un firewall
Un’altra raccomandazione è quella di implementare un firewall per filtrare il traffico indesiderato. Noi utilizziamo i firewall di Google Cloud Platform a livello aziendale, la sicurezza attiva e passiva e altre funzionalità avanzate già esistenti per impedire l’accesso ai dati.
Ma è anche possibile implementare un firewall per applicazioni web di terze parti (WAF) come Sucuri o Cloudflare per.
- Conformità PCI con Sucuri
- Conformità PCI con Cloudflare (il WAF di Cloudflare può aiutarvi a soddisfare i requisiti PCI DSS 2.0 e 3.0 requisito 6.6).
5. Autenticazione a Due Fattori
L’autenticazione a due fattori comporta un processo in due fasi in cui non basta la password per effettuare il login, ma è necessario anche un secondo metodo di autenticazione. L’autenticazione a due fattori può aiutare a prevenire l’accesso non autorizzato sia al pannello di controllo del vostro host che al vostro sito.
- Attivare l’autenticazione a due fattori in MyKinsta
- Attivare l’autenticazione a due fattori in WordPress
6. Sicurezza del Data Center
Kinsta ha scelto la Google Cloud Platform che utilizza strumenti di sicurezza all’avanguardia in tutti i suoi data center: misure di sicurezza come schede di accesso elettroniche personalizzate, allarmi, barriere di accesso ai veicoli, recinzioni perimetrali, metal detector e biometria. Il piano del data center è dotato di un sistema di rilevamento delle intrusioni a raggio laser.
I data center sono monitorati 24 ore su 24, 7 giorni su 7, da telecamere ad alta risoluzione e pattugliati da guardie di sicurezza che hanno superato rigorosi controlli in background. Ogni azione e attività viene registrata nell’eventualità di incidente.
Tutti i dati sono criptati nel transito tra Google, i clienti e i data center, così come i dati di tutti i servizi della piattaforma cloud. I dati sono memorizzati sui dischi persistenti e crittografati con AES a 256 bit e ogni chiave è crittografata con un set di chiavi master modificate regolarmente.
Il servizio Compute Engine di GCP è stato esaminato da un Qualified Security Assessor indipendente e stabilito come conforme a PCI DSS 3.2. Questo però non vuol dire che si è automaticamente conformi al PCI. Tutto ciò che abbiamo detto è sempre valido, in quanto siete gli unici responsabile delle conformita del vostro sito ai requisiti PCI.
I report PCI Attestation of Compliance e SOC 2 di GCP non sono disponibili al pubblico. Questi documenti sono disponibili direttamente presso la GCP solo dopo aver stipulato un accordo di non divulgazione. Di conseguenza, se dovesse essere necessario accedere a questi documenti, è necessario entrare in contatto direttamente con GCP per richiedere questi documenti.
Si legga di più sulla sicurezza di Google Cloud Platform.
Nota: queste informazioni vengono fornite per rispondere alle domande relative alla conformità al PCI. Tuttavia, non siamo responsabili della valutazione della vostra conformità. Questo dovrebbe sempre essere gestito da un auditor di terze parti.