Recebemos frequentemente perguntas sobre se a Kinsta oferece hospedagem compatível com PCI e, por isso, hoje vamos abordar esse tema. Muitas pessoas não percebem que toda loja de eCommerce que processa, armazena ou transmite dados de cartão de crédito é obrigada a estar em conformidade com o PCI, independentemente do volume anual de vendas. Portanto, é importante dedicar um tempo para entender melhor a conformidade com PCI e como ela impacta o seu negócio.

O que é PCI?

O termo PCI significa “Payment Card Industry” (Indústria de cartões de pagamento) Você o ouvirá com frequência no contexto do PCI DSS – o Padrão de Segurança de Dados do Setor de Cartões de Pagamento. Trata-se de um conjunto de padrões de segurança para qualquer empresa que aceite, armazene ou transmita dados de cartão de crédito, criado para proteger os consumidores e garantir que os dados de pagamento sejam tratados com segurança.

Empresas como American Express, Discover, JCB International, MasterCard e Visa possuem seus próprios programas de conformidade, mas todas seguem as regras definidas pelo PCI Security Standards Council, do qual são membros fundadores.

Em março de 2022, foi lançada a versão 4.0 do PCI DSS, substituindo o padrão 3.2.1 mais antigo. A nova versão foca no fortalecimento da segurança e oferece mais flexibilidade sobre como as empresas podem atingir os objetivos de conformidade. As principais mudanças incluem:

  • Uma nova “abordagem personalizada” para conformidade, juntamente com o modelo tradicional baseado em checklist
  • Autenticação multifator (MFA) obrigatória para todo acesso aos ambientes que armazenam dados de titulares de cartões
  • Maior foco na segurança como um processo contínuo, e não como uma correção pontual
  • Requisitos aprimorados para proteger plataformas de eCommerce e aplicativos web, especialmente relevantes para sites WordPress e WooCommerce

Caso você esteja gerenciando pagamentos ou dados de clientes no seu site WordPress, é importante entender como essas mudanças afetam suas responsabilidades no PCI DSS.

A Kinsta oferece hospedagem compatível com PCI?

É importante entender que apenas porque um provedor de hospedagem pode estar em conformidade com PCI, isso não significa automaticamente que o seu site também esteja. Isso acontece porque a conformidade com PCI DSS segue um modelo de responsabilidade compartilhada.

Como provedora de hospedagem gerenciada para WordPress, a Kinsta é responsável por proteger a infraestrutura do servidor, manter as atualizações do sistema operacional em dia, aplicar proteções rígidas no nível de rede e oferecer suporte a conexões TLS (HTTPS) seguras. No entanto, tudo acima da camada de infraestrutura, como proteger sua instalação WordPress, gerenciar plugins e temas, lidar com informações de pagamento e configurar corretamente o seu site, fica sob seu controle.

Na prática, isso significa que a maior parte da responsabilidade ainda recai sobre você, como proprietário do site. Por exemplo, se você estiver administrando uma loja WooCommerce, será responsável por lidar com dados de clientes, processar cartões de crédito, proteger contas de usuários e manter a base de código do seu site.

A Kinsta não garante conformidade com PCI e não podemos auditar seu site para verificar se sua implementação atende aos requisitos. No entanto, isso não significa que você não possa estar em conformidade com PCI enquanto hospeda conosco.

Muitos dos nossos clientes trabalharam com auditores terceirizados e conseguiram passar nas verificações de conformidade PCI com sucesso. Em alguns casos, realizamos pequenos ajustes de infraestrutura mediante solicitação, mas as auditorias foram aprovadas por meio de uma combinação de configurações feitas pelo cliente e orientação de terceiros.

Embora não participemos diretamente do processo de auditoria, teremos prazer em ajudar com alterações específicas quando necessário.

Como estar em conformidade

Aqui estão algumas práticas recomendadas para garantir que você esteja em conformidade na Kinsta:

1. Questionário de autoavaliação PCI

Preencha um Questionário de Autoavaliação (SAQ) anualmente para ajudar você a determinar se sua configuração de processamento de pagamentos está em conformidade com PCI.

2. TLS e HTTPS

Disponibilize suas páginas de pagamento com segurança usando TLS 1.3 (preferencial) ou TLS 1.2 para habilitar HTTPS (conexões criptografadas). O PCI DSS 4.0 exige uma configuração TLS segura, incluindo conjuntos de cifras fortes e avaliações regulares de segurança. A Kinsta sempre mantém as versões TLS atualizadas em nossos servidores, e você pode instalar facilmente um certificado SSL pelo painel MyKinsta.

Veja como você pode instalar o certificado SSL no WooCommerce.

O PCI DSS 4.0 aceita certificados de validação de domínio (DV), desde que utilizem algoritmos de criptografia fortes, como SHA-256, e sejam mantidos corretamente. Na Kinsta, os certificados SSL, incluindo suporte a wildcard, são emitidos automaticamente por meio da nossa integração gratuita com o Cloudflare, garantindo conexões HTTPS seguras e compatíveis por padrão. Para maior garantia ou exigências organizacionais, você também pode optar por instalar um certificado EV (Extended Validation) ou OV (Organization Validated) personalizado.

Não deixe de ler nosso guia sobre TLS vs SSL.

3. Processe pagamentos por meio de um provedor terceirizado

Uma das maneiras mais fáceis de potencialmente simplificar a conformidade com PCI é processar suas transações de cartão de crédito por meio de um provedor terceirizado. Você pode integrar facilmente sua loja WooCommerce ou Easy Digital Downloads com um gateway de pagamento, como Stripe ou PayPal. Ainda assim, você deve revisar as diretrizes de conformidade PCI desses provedores, pois apenas processar cartões de crédito fora do site nem sempre garante conformidade. Pode haver etapas adicionais necessárias.

4. Implemente um firewall

O PCI DSS exige que sistemas que lidam com dados de titulares de cartões sejam protegidos por firewalls configurados corretamente para controlar o tráfego e bloquear acessos não autorizados.

Na Kinsta, todos os sites se beneficiam de múltiplas camadas de proteção por firewall. Todo o tráfego web é roteado por meio da nossa integração com o Cloudflare, que inclui um Web Application Firewall (WAF) totalmente gerenciado, com conjuntos de regras personalizados, filtragem inteligente de tráfego e mitigação integrada de DDoS na borda da rede.

Essa abordagem oferece forte proteção padrão contra ameaças comuns, como tentativas de acesso não autorizado, bots maliciosos e ataques na camada de aplicativos.

Caso seu auditor PCI ou equipe de segurança exija personalizações adicionais, você também pode integrar um Web Application Firewall (WAF) terceirizado, como Sucuri ou planos independentes do Cloudflare com regras personalizadas.

5. Realize testes de segurança regularmente

O PCI DSS 4.0 inclui requisitos específicos relacionados a testes contínuos de segurança. Isso inclui varredura de vulnerabilidades, testes de invasão e monitoramento de integridade de arquivos para detectar e corrigir possíveis ameaças de segurança antes que se tornem problemas.

Na Kinsta, protegemos seu ambiente com recursos como mitigação de DDoS, verificação de malware, firewalls de hardware e outras proteções no nível da infraestrutura. No entanto, você é responsável por testar a camada de aplicativo, incluindo seu site WordPress, plugins, temas e qualquer código personalizado.

Além das varreduras ASV, também recomendamos testes internos regulares para reduzir riscos e se antecipar às verificações de conformidade:

  • Use um scanner de vulnerabilidades para detectar plugins e temas desatualizados ou inseguros
  • Agende testes de invasão periódicos, especialmente caso você lide diretamente com dados de pagamento
  • Habilite o monitoramento de alterações de arquivos usando um plugin de segurança WordPress

Alguns processadores de pagamento ou empresas terceirizadas de segurança também podem fornecer ferramentas para ajudar você a atender esses requisitos de teste como parte do seu processo de conformidade PCI.

6. Autenticação multifator

A autenticação multifator (MFA) é um método de segurança que exige que os usuários forneçam dois ou mais tipos de credenciais antes de obter acesso, normalmente uma combinação de algo que você sabe, como uma senha, e algo que você possui, como um código de um aplicativo autenticador no seu telefone.

Isso é frequentemente chamado de autenticação de dois fatores (2FA), que é uma forma específica de MFA que utiliza exatamente dois fatores. Embora os termos sejam frequentemente usados de forma intercambiável, o PCI DSS 4.0 agora utiliza o termo mais amplo MFA e amplia as situações em que ele é obrigatório.

No PCI DSS 4.0, MFA é obrigatório para:

  • Todo acesso ao ambiente de dados do titular do cartão (CDE)
  • Todo acesso remoto a sistemas que lidam com dados de pagamento
  • Qualquer acesso administrativo a sistemas de processamento de pagamentos

Na Kinsta, autenticação de dois fatores (2FA) é necessária para todos os logins do MyKinsta, adicionando uma camada extra de proteção ao seu painel de hospedagem. Você também pode habilitar a autenticação de dois fatores para sua área de administração do WordPress para proteger ainda mais seu site.

7. Segurança do centro de dados

A infraestrutura de nuvem da Kinsta foi projetada para atender requisitos rigorosos de segurança e conformidade para hospedar cargas de trabalho sensíveis, incluindo ambientes que oferecem suporte aos esforços de conformidade com PCI DSS.

Nossos centros de dados implementam controles físicos de segurança em múltiplas camadas, como acesso controlado às instalações, monitoramento contínuo, sistemas de detecção de intrusão e equipes de segurança no local. Todo acesso e atividade são registrados e auditados para oferecer suporte à investigação de incidentes e aos requisitos de conformidade.

Os dados são criptografados em trânsito e em repouso usando padrões fortes de criptografia, incluindo AES de 256 bits para dados armazenados. As chaves de criptografia são gerenciadas e rotacionadas regularmente como parte dos nossos controles gerais de segurança.

A Kinsta está em conformidade com SOC 2. Você pode saber mais na nossa página de conformidade SOC 2 ou visitar nossa página de Relatório de Confiança.

Brian Jackson

Brian tem uma enorme paixão pelo WordPress, e tem utilizado há mais de uma década e até desenvolve alguns plugins premium. Brian gosta de blogs, filmes e caminhadas. Conecte-se com Brian no Twitter.