クレジット カードを受け入れる加盟店には、PCI への準拠が必要です。
PCIコンプライアンスを専門とする会社と話す方がはるかに良いでしょう. いずれにせよ、コンプライアンスレベルを確認するために監査人を雇う必要があるでしょう. これは完全な回答を得るための間違ったフォーラムだと思います。
ただし、いくつかのポイントに対処します。
- 配送先住所を保存することは、PCI によって禁止されていません。ほとんどのショッピング カートはそうしています。
- しかし、顧客として、私の住所を保管している企業がそれを貴重な機密情報として扱い、クレジット カード データや社会保障番号のように保護してくれることを嬉しく思います。
- DMZ/ファイアウォールの構成は、サイトのトピックから完全に外れていますが、一般的にはそうです。
- あなたの会社/ビジネスは、テスト/検証/文書化のための独自の正式なプロセスを持っている必要があり、あなたはこれを持っていることを証明する必要があります (監査人に提出することによって)。構成の変更、または状況に適用されるもの)
また、PCI コンプライアンスは最低限の優れたセキュリティ プラクティスと見なされるべきであることに注意してください。PCI に準拠しているからといって、安全であるとは限りません。それはあなたがその特定の基準を満たしていることを意味します.
多くの PCI 準拠企業が侵害され、重要なデータや機密データが失われました。これには、顧客や従業員の ID が盗まれるタイプのものも含まれます。
数年前に監査を開始したとき、それは目を見張るものでした。目を開けた後、安全な開発ライフサイクルを統合し、大量のトレーニングを必要とし、PCI コンプライアンスは始まりにすぎないことを時間の経過とともに学びました。PCI が対応していないことがたくさんあります。
とにかく、ここから始めて、どのレベルに到達する必要があるかを判断します。
そして、それが非常に面倒であるということについては、あなたは正しいです...
優れたセキュリティは面倒です。それは細部への退屈な注意を必要とします。外に出てコーディングするだけでなく、脅威のモデリング、コードレビュー、侵入テストを行います。プロセス全体を文書化し、要件の収集からリリースまでのすべてのステップでセキュリティに対処する必要があります。悪意のある開発者が 1 人でも Web サイトに感染しないようにするため、またはシステム管理者がすべてをロックダウンして終了できないようにするため (カリフォルニアのある都市で数年のうちに起こったように)、懸念事項の分離について検討する必要があります。前に)。
保護が必要な場合、取得する必要がある詳細の量は非常識です。それでも、100% の無敵に到達することは決してできないという事実を受け入れなければなりません。
そして、それはほんの始まりに過ぎません。
多くのオーバーヘッドが追加され、面倒です。
しかし、その大きな手間はそれだけの価値があります。侵害された場合の自分だけでなく、顧客やビジネス パートナーなどのコストを考えるとき。