LHV-s näeme teie e-poe ja kliendiandmete turvalisust kui olulist partnerlust. Kuigi me pakume nõuetele vastavat ja turvalist maksete töötlemise keskkonda, on teie veebilehe üldine turvalisus ja valdkonna standarditest kinnipidamine meie ühine jagatud vastutus.
See juhend aitab teil mõista oma konkreetseid kohustusi seoses PCI DSS-iga ning pakub praktilisi soovitusi oma äri kaitsmiseks.
Teie PCI DSS-i vastutus sõltub integratsiooni tüübist.
Lihtsustatult öeldes sõltub teie vastutuse määr PCI DSS standardi raames sellest, kuidas te kaardiomanike andmeid käsitlete.
Stsenaarium A: Kasutate LHV majutatud makselehte
Kui teie kliendid suunatakse kaardiandmete sisestamiseks LHV turvalisele, majutatud makselehele, olete valinud kõige turvalisema ja lihtsama integratsioonimeetodi. Sellisel juhul ei läbi tundlikud kaardiandmed kunagi teie süsteeme.
Teie kohustused on:
Kinnitada, et kogu maksete töötlemine on täielikult LHV-le delegeeritud.
Tagada, et te ei salvesta, töötle ega edasta oma süsteemides kaardiomanike andmeid
Täita igal aastal SAQ A küsimustik. See on kõige lühem enesehindamise küsimustik, mis on mõeldud kaupmeestele, kes on oma maksete töötlemise täielikult sisse ostnud
Stsenaarium B: Kasutate otsest API-integratsiooni
Kui kogute makseandmeid otse oma veebilehel ja saadate need LHV-le API kaudu, on teil palju suurem vastutus nende andmete kaitsmisel, kui need teie süsteeme läbivad.
Teie kohustused hõlmavad:
Tagada, et teie süsteemid ei salvesta kunagi pärast autoriseerimist tundlikke autentimisandmeid (nt CVV-koodi)
Läbida rangem valideerimisprotsess, mis sisaldab:
Detailsema enesehindamise küsimustiku, näiteks SAQ D, täitmist
Regulaarsete väliste turvanõrkuste skaneeringute tellimist heakskiidetud skaneerimispartnerilt (ASV)
Vajadusel perioodiliste lävistustestide läbiviimist
Teha koostööd arendajatega, kellel on tõendatud kogemus PCI DSS-i nõuetele vastavate keskkondade ehitamisel
Jagatud vastutuse mudel
Turvalisus on meeskonnatöö. Allolev tabel selgitab vastutuse jaotust teie ja LHV vahel.
LHV vastutab | Teie (kaupmees) vastutate |
1. Meie maksetöötlussüsteemide ja majutatud makselehe turvalisuse ning PCI DSS-i nõuetele vastavuse eest. | 1. Oma veebilehe, serverite ja majutuskeskkonna üldise turvalisuse eest. |
2. Kõigi kaardiomanike andmete turvalise käsitlemise eest pärast seda, kui need jõuavad meie sertifitseeritud keskkonda. | 2. Selle eest, et teie süsteemid ja protsessid vastaksid PCI DSS-i nõuetele, mis kehtivad teie integratsiooni tüübile. |
3. Teile turvaliste ja nõuetele vastavate makselahenduste pakkumise eest. | 3. Igal aastal nõutava enesehindamise küsimustiku (SAQ) korrektse ja ausa täitmise eest. |
4. Kõigi LHV süsteemides hoitavate andmete kaitsmise eest. | 4. Oma e-poe tarkvara, pistikprogrammide ja kõigi muude süsteemide ajakohastamise eest turvapaikadega. |
Teie e-poe turvalisuse kontrollnimekiri
Lisaks PCI DSS-ile on teie veebisaidi üldine turvalisus kriitilise tähtsusega. Kasutage seda nimekirja regulaarse turvahoolduse lähtepunktina.
Hoidke tarkvara ajakohasena: Aegunud tarkvara on peamine turvarikkumiste põhjus. Uuendage regulaarselt oma e-poe platvormi (nt WooCommerce, Magento), kujundusmalle ja kõiki pistikprogramme (pluginad)
Kasutage tugevaid paroole: Looge kõikidele administratiivkontodele keerukad ja unikaalsed paroolid. Võimaluse korral lubage kaheastmeline autentimine (2FA)
Kasutage HTTPS-i: Veenduge, et teie sait kasutab kehtivat SSL-sertifikaati, et krüpteerida klientide ja teie serveri vahel edastatavaid andmeid
Kaitske kõiki kliendiandmeid: Pidage meeles, et vastutate ka kõigi isikuandmete (nimed, aadressid, e-posti aadressid) kaitsmise eest vastavalt GDPR-i nõuetele
Koostöö kolmandatest osapooltest arendajatega
Paljud kaupmehed palkavad oma saitide ehitamiseks ja hooldamiseks väliseid arendajaid või agentuure. Teie vastutate selle eest, et nad järgiksid turvalisuse parimaid tavasid.
Põhiküsimused, mida oma arendajale esitada:
Kas teil on kogemusi PCI DSS-i nõuetele vastavate e-kaubanduse lahenduste loomisel?
Milliseid konkreetseid samme teete tagamaks, et minu veebisaidile või serverisse ei salvestata kunagi tundlikke kaardiandmeid?
Milline on teie protsess platvormi ja selle pistikprogrammide turvauuenduste ja paikade paigaldamiseks?
Oma rolli mõistmine ja nende ennetavate sammude astumine aitab luua turvalisema digitaalse kaubanduse keskkonna kõigi jaoks.