Muitas vezes nos perguntam se a Kinsta oferece hospedagem compatível com PCI e hoje falaremos desse assunto em detalhe. Muitos não sabem que qualquer loja eCommerce que processa, armazena ou transmite dados de cartão de crédito está obrigada a ser compatível com PCI, independentemente do seu volume de vendas anual. Por isso, é importante investir algum tempo e compreender o que é conformidade com a PCI e como ela afeta seus negócios.

O que é a PCI?

O termo PCI significa “Payment Card Industry”, ou seja, Indústria de Cartões de Pagamento. Você muitas vezes vê isso ser associado ao PCI DSS, o padrão de segurança de dados no setor dos cartões de pagamento. Basicamente, são vários padrões de segurança para todas as empresas que aceitam, armazenam e transmitem dados de cartão de crédito. Isso foi criado para proteger os dados do consumidor e garantir que os dados do cartão de crédito são processados ​​em um ambiente seguro.

Empresas como American Express, Discover, JCB International, MasterCard e Visa têm seus próprios programas de conformidade, mas são regidos pelos padrões de segurança pelo Conselho dos Padrões de Segurança PCI (do qual são membros fundadores).

Kinsta Oferece Hospedagem Compatível com PCI?

É importante entender que só porque um host é compatível com PCI, isso não quer dizer que você passa a ser automaticamente compatível se decidir hospedar seu site nesse host. A razão é que a maior parte da responsabilidade de garantir a segurança continua sendo sua enquanto dono do site. Por exemplo, se estiver gerenciando uma loja WooCommerce, você é o único responsável pelo tratamento de dados de clientes, processamento de cartões de crédito, armazenamento e autenticação de informações de login e manutenção do código do seu site.

Kinsta não garante a conformidade com a PCI e não podemos auditar seu site para verificar se está fazendo as coisas certas. Contudo, isso não significa que você não possa ser compatível com PCI ao hospedar seu site com a gente. Na verdade, temos muitos clientes que trabalharam com auditores terceirizados para obter aprovação em verificações de conformidade com PCI. Em muitos desses casos, tivemos de fazer alguns ajustes menores quando pedido, mas esses clientes conseguiram obter aprovação na auditoria após esses pequenos acertos entre as partes.

Apesar de não nos envolvermos diretamente no processo de auditoria, já que isso é responsabilidade do proprietário do site, podemos fazer ajustes específicos caso nos seja pedido.

Como Ser Compatível

Aqui ficam algumas medidas recomendadas para garantir que você está em conformidade com Kinsta:

1. Questionário de Autoavaliação PCI

Preencha um Questionário de Autoavaliação (SAQ) anualmente para ajudar a determinar se suas configurações de processamento de pagamento são compatível com o PCI.

2. TLS e HTTPS

Apresente de forma segura suas páginas de pagamento com uma versão atual do TLS (1.2 ou superior) para que seu site use HTTPS (conexões criptografas). Kinsta sempre mantém as versões TLS atualizadas em nossos servidores e você pode instalar facilmente um certificado SSL no seu painel MyKinsta.

Veja como instalar o certificado SSL no WooCommerce.

Observação: os padrões PCI (indústria de cartões de pagamento) aceitam atualmente certificados de domínio validados (DV), ou seja, é possível usar certificados Let’s Certificate. Contudo, essas regras também podem mudar no futuro. Se você não se sente confortável com isso, ou se um auditor recomendar, pode sempre instalar um certificado SSL personalizado. Isso oferece também proteção adicional, como garantia em caso de violação de dados.

Certifique-se de ler o nosso guia TLS vs SSL.

3. Processar Pagamentos através de Provedor Externo

Uma das formas mais simples de potencialmente simplificar a conformidade com a PCI é processar suas transações com cartão de crédito através de um provedor terceirizado. Você pode facilmente conectar sua loja WooCommerce ou Easy Digital Downloads a um gateway de pagamento, como o Stripe ou o PayPal. Deve ter também em consideração as diretrizes de conformidade com PCI, já que o simples processamento externo de cartões de crédito nem sempre garante a conformidade. Poderão ser necessários passos adicionais.

4. Implementar uma firewall

Recomendamos também configurar e implementar uma firewall para ajudar a filtrar o tráfego indesejado. Utilizamos os firewalls de nível empresarial do Google Cloud Platform, segurança ativa e passiva e outros recursos avançados já existentes para impedir o acesso aos seus dados.

Contudo, também pode implementar uma firewall de aplicativos web de terceiros (WAF), como o Sucuri ou o Cloudflare, para proteção adicional.

5. Autenticação de Dois Fatores

A autenticação de dois fatores é um processo de duas etapas, no qual não precisa apenas da sua senha para efetuar login, mas também de um segundo método. A ativação da autenticação de dois fatores pode ajudar a impedir o acesso não autorizado ao painel de controle do host e ao site.

Ativar autenticação de dois fatores no MyKinsta.
Ativar autenticação de dois fatores no MyKinsta.

6. Segurança do Centro de Dados

Kinsta utiliza a plataforma Google Cloud Platform que utiliza segurança de última geração em seus centros de dados: proteções como cartões de acesso eletrônico personalizados, alarmes, barreiras de acesso a veículos, cercas de perímetro, detetores de metais e biometria. O piso do centro de dados possui deteção contra intrusões através de feixes de laser.

Os centros de dados são monitorados 24/7 com câmeras de alta resolução e patrulhados por guardas que passaram por análises rigorosas. Cada ação e atividade é registrada no caso de ocorrer um incidente.

Todos os dados são criptografados em trânsito e em repouso entre o Google, os clientes e os centros de dados. Assim como os dados em todos os serviços do Cloud Platform. Os dados armazenados em discos permanentes são criptografados com AES de 256 bits e cada chave de criptografia é também criptografada com um conjunto de chaves mestras alteradas regularmente.

O serviço Compute Engine do GCP foi revisado por um Avaliador de Segurança Qualificado e foi declarado como compatível com o PCI DSS 3.2. Contudo, isso não significa que você está automaticamente em conformidade com PCI. Tudo o que mencionamos acima ainda se aplica, já que você é o único responsável por garantir que seu site é compatível com PCI.

Os relatórios de Atestado de Conformidade com PCI e SOC 2 emitidos pelo GCP não estão disponíveis publicamente. Esses documentos só estão disponíveis diretamente no GCP após aceitar um acordo de não divulgação. Como resultado, se precisar de consultar esses documentos, deverá contatar diretamente o GCP para os solicitar.

Leia mais sobre a segurança do Google Cloud Platform.

Nota: As informações acima são facultadas para ajudar você em questões relacionadas à conformidade com a PCI. No entanto, não somos responsáveis ​​por avaliar sua conformidade. Isso deve sempre se feito por um auditor externo.