Compatible con pci hosting

Compatible con PCI Hosting, Web y hosting dedicado tutoriales de Anclaje

11.10.2016

Compatible con PCI Hosting

(PCI DSS) es una sigla que significa para la Industria de Tarjeta de Pago Estandar de Seguridad de Datos, y es una reciente de la industria conjunto de requisitos que deben lograrse y mantenerse en el fin de tomar pagos con tarjeta de credito a traves de su sitio web. Las normas de seguridad son para la mayor parte, tecnica y operativa de los requisitos con el objetivo de mejorar y mantener la integridad de los datos sensibles, con particular preocupacion de la tarjeta de credito y otros detalles de pago.

Descripcion

Sin querer ahondar en el valor real de este estandar esta pagina es aqui puramente para discutir lo que es necesario para satisfacer el Cumplimiento de PCI. Efectivamente hay tres aspectos que deben ser dadas algunas consideraciones:

los Requisitos de su proveedor de alojamiento web. Hablando en general, la mayoria de los aspectos de cumplimiento de PCI son consideradas como las mejores practicas a partir de un hosting prospectivo. Asumiendo que su proveedor de hosting es con el objetivo de hacer todo lo que «de la manera correcta», a continuacion, usted puede estar seguro de que va a ser la reunion de los requisitos de PCI. Todos Anclaje de servicios de alojamiento web de satisfacer los requisitos de cumplimiento de PCI. Aplicacion Web de las consideraciones de diseno que son responsabilidad de los desarrolladores web. Una gran parte de este estandar llegado hasta el diseno de su sitio web, esto es algo que solo puede ser la responsabilidad de su web developer. El uso y la accesibilidad de los datos de tarjeta de credito. Esto es en gran parte la responsabilidad de la empresa que es el procesamiento de los pagos, para garantizar que no son sensibles controles y reglas de negocio en lugar de mantener la seguridad de los datos.

Lograr el Cumplimiento de las

con el fin De lograr el cumplimiento de hay, de hecho, dos procesos que deben realizarse en forma periodica:

Un sistema automatizado de analisis de su sitio web y el servidor que su sitio web esta alojado en por un autorizado de proveedor de escaneo (ASV) cada trimestre. Esto se hace para asegurarse de que su sitio web cumple con todos los requisitos.

  • los Requisitos de PCI

    en Esta seccion se discutira cada uno de los requisitos de PCI y analiza que parte es responsable de cumplir con el requisito (proveedor de hospedaje Web o Web developer), en adicion a esto, donde el proveedor de alojamiento web es el responsable nos vamos a proporcionar amplias notas de como Ancla es el cumplimiento de estos requisitos.

    Construir y Mantener una red segura

    El requisito de las PCI DSS descompone en dos aspectos.

    Instalar y mantener una configuracion de firewall para proteger la tarjeta de titular de los datos

    Esto es algo que el proveedor de alojamiento web es totalmente responsable. Anclaje de alojamiento web de host firewall basado en la cual emplea stateful packet inspection configura mediante un estricto conjunto de reglas de firewall permitiendo solo los datos necesarios. Para todos los intentos y propositos de esta cumple con el estandar PCI, sin embargo, tambien podemos ofrecer dos servicios de firewall en cualquier servidor dedicado o servidor virtual privado.

    • Compartido puerto seguro — esto proporciona una capa adicional de cortafuegos que se realiza a nivel de red, por nuestra par de alta disponibilidad de dispositivos de firewall. Basicamente, esto restringe los datos a y desde su maquina en el Ancla de la frontera y reduce significativamente la cantidad de trafico capaz de conseguir a traves de su servidor. Este debe ser utilizado en conjuncion con un firewall basado en host de manera efectiva, proporcionando una capa adicional de apoyo. Privada de puerto seguro — ademas De todos los beneficios proporcionados por el uso compartido de puerto seguro privado de puerto seguro tambien situa a su equipo dentro de su propia VLAN. Efectivamente lo que significa que no solo blindado el trafico que entra en el Anclaje de red, sino tambien de otros hosts fisicos en el local de Anclaje de la red.

    Si usted es un servidor dedicado o servidor virtual privado del cliente y sentir que requieren las capas de seguridad adicionales recomiendo ponerse en contacto con nosotros en 1300 979 883 para discutir sus requisitos en mas detalle.

    no utilice los valores predeterminados de los proveedores para las contrasenas del sistema y otros parametros de seguridad

    una Vez mas, esto es algo que su alojamiento web proporciona es totalmente responsable por completar. Este esta integrado en nuestro servidor estandar de procesos de compilacion y es completado por defecto en todas las nuevas implementaciones del servidor. Ademas de esto, contamos con una defensa en profundidad de enfoque que utiliza el metodo de la adicion de multiples capas de seguridad que garantiza que no solo falla en un sistema de seguridad se traducira en un compromiso.

    Algunos de estos metodos que utilizamos incluyen:

    PAM (por usuario) restricciones en FTP/SSH acceso a todos Anclaje de los equipos gestionados (ver permisos de acceso remoto para obtener mas informacion.

  • Fomentar el uso de la transmision segura de los metodos (SSH en lugar de FTP) y el uso de claves publica/privada de autenticacion vs autenticacion de contrasena siempre que sea posible, tal como se documenta en la Obtencion de acceso remoto a traves de SSH

  • el Uso de procesos automatizados, tales como sshd_sentry y directivas de contrasena para bloquear las cuentas despues de varios intentos de autenticacion fallidos para luchar contra la fuerza bruta de los ataques de contrasena.
  • Proteger los datos de titulares de tarjetas

    Este es uno de los especialmente vaga aspectos de cumplimiento de PCI.

    Algunas pautas que pueden seguirse a continuacion:

    1. Solo almacenar datos de tarjeta de credito si es absolutamente necesario, por ejemplo. para los cargos recurrentes.
    2. Asegurar que los datos sensibles se almacena en un formato codificado
    3. Asegurar que cada entidad solo tiene acceso a sus propios datos de titulares de tarjetas
    4. Implementar y mantener el control de acceso
    5. Mantener pistas de auditoria de los cambios
    6. Permitiendo la oportuna investigacion en el caso de un compromiso

    Cifrar la transmision de datos de titulares de tarjetas a traves de redes publicas

      realmente Hay dos aspectos que hay que considerar aqui. El punto en el tiempo cuando la tarjeta de credito son introducidos en el sistema por el usuario final como parte del proceso de compra y;
    • Obtener la informacion del sistema por el cliente para el cumplimiento de la orden.

    Desde nuestro punto de vista, la solucion de aspecto numero 1 es relativamente sencilla. Cualquier certificado SSL sera instalado para ser usado en conjuncion con el servidor de la web permitiendo que todas las comunicaciones que se suceden a traves de HTTPS, que utiliza secure socket layer. Efectivamente, esta cifra todos los datos entre el servidor web y el navegador del usuario final. El segundo aspecto que habria que considerar es asegurarse de que las paginas en la tarjeta de credito son suministrados pueden SOLO se puede acceder cuando el uso de una conexion segura (HTTPS). Asegurarse de que la aplicacion se comporta de esta manera, la responsabilidad de los desarrolladores web. Pruebas integrales deben formar parte del proceso de desarrollo.

    El segundo aspecto que se trata con el cumplimiento de los pedidos. Obviamente una vez que se coloca un pedido, usted necesita para entregar el producto o servicio asi como la carga de la tarjeta de credito. Es crucial que mientras que esto esta terminado en cualquier momento tarjeta de credito son transmitidos a traves de una red publica los detalles estan cifrados. Este es realmente el reino de los desarrolladores, sin embargo, algunos metodos practicos que iba a conseguir esto:

    • los Pedidos se procesan a traves de una interfaz basada en web mediante HTTPS
    • los Pedidos son enviados a un sitio fuera del sistema a traves de un tunel seguro. Por ejemplo, IPSEC (o equivalente) de la conexion VPN, SSH tunel, XMP-RPC sobre HTTPS
    • Detalles son capturados, cifrada usando algo similar a PGP, a continuacion, enviar por correo electronico.

    Implementar Fuertes Medidas de Control de Acceso

    Restringir el acceso a datos de titulares de tarjetas de negocios que necesitan saber

    Este aspecto es de exclusiva responsabilidad de diseno de la aplicacion de trabajo en conjunto con la empresa de procesamiento de los pedidos y pagos.

      es necesario tener en Cuenta los siguientes aspectos: Garantizar que los datos de tarjeta de credito solo se puede acceder a traves de los usuarios autenticados
    • Tener suficiente reglas de negocio para determinar que el personal de la «necesidad-de-saber» detalles de tarjeta de credito en su totalidad.
      • por ejemplo, a menudo la gran mayoria del personal no necesita saber de la totalidad de un numero de tarjeta de credito, la ocultacion de todos, pero los primeros y los ultimos 4 digitos de la frecuencia es suficiente para determinar tanto el tipo de tarjeta y proporcionar un identificador unico.

    Asignar un IDENTIFICADOR unico a cada persona con acceso a la computadora

    una Vez mas, esta responsabilidad por esto en gran medida es responsabilidad del desarrollador web y de la empresa utilizando los datos de tarjeta de credito. Vale la pena consideraciones:

    • aplicacion Web debe soportar multiples y concurrentes de los usuarios autenticados
    • Debe proporcionar una forma de diferenciarse de control de acceso en una base por usuario
    • Responsabilidad del cliente asegurarse de que cada usuario ha de registro unico en detalles que solo esa persona puede usar (considerar los metodos de autenticacion, la contrasena se restablece etc)

    Restringir el acceso fisico a los datos de titulares de tarjetas

    Este aspecto sigue siendo nuestra responsabilidad asumiendo que los datos permanecen en el servidor ubicado en el centro de datos.

    de Las instalaciones que uso es el cambio Global, que es el mayor centro de datos en el hemisferio sur y discutible uno de los mejores de su tipo en Australia, que incluye lo siguiente:

    • 24×7 en el sitio de los guardias de seguridad y personal tecnico
    • 180+ 24/7 monitoreo CCTV
    • el Hombre trampas y completo de control de acceso electronico
    • cliente Individual suite con controlador electronico de acceso
    • Bloqueado racks de equipo

    el Acceso para el Anclaje de los bastidores estan disponibles solo para el Anclaje de personal permanente en pasar de los titulares.

    Monitorear Regularmente y Prueba de Redes

    realizar un Seguimiento y controlar todos los accesos a los recursos de red y datos de titulares de tarjetas

    Esto es en gran parte la responsabilidad de los desarrolladores web para asegurarse de que la aplicacion web tiene un nivel adecuado de auditoria integrada.

    ademas De esto, en nuestro de alojamiento web compartido de los servicios y de servidor dedicado o servidor virtual privado que se ofrece bajo nuestro totalmente gestionado paquete de soporte, a continuacion, este es el Ancla’s la responsabilidad.

    de forma alternativa, esto sera necesario para ser completado por el administrador del sistema local.

    comprobar Periodicamente los sistemas y procesos de seguridad

      Mientras que una cosa es tener niveles de acceso definidos y configurados, a menos que la configuracion es auditado periodicamente y probado entonces no hay ninguna garantia de que los sistemas en el lugar de trabajo.

    Completar este aspecto es realmente el desarrollador web y la empresa de procesamiento de pagos a venir para arriba con algunas adecuado de los casos de prueba y confirmar que el sistema hace lo que esta disenado para hacer.

    Mantener una Politica de Seguridad de Informacion

    Mantener una politica que aborde la seguridad de la informacion

    Esta es la responsabilidad, tanto de los desarrolladores web y el proveedor de hosting. Ancla publica nuestra politica de seguridad en linea en http://www.anchor.com.au/security-policy.py .

    Descripcion del articulo: compatible con pci de alojamiento en Esta pagina se discute como asegurarse de que su hosting es una reunion de cumplimiento de PCI. el cumplimiento de pci, servidor dedicado, hosting, tarjeta de credito, pagos, alojamiento web, comercio electronico

    Fuente: Compatible con PCI Hosting — Web y hosting dedicado tutoriales de Ancla

    Також ви можете прочитати