هر کسی که درگیر پردازش, انتقال, یا ذخیره سازی داده های کارت باید با استانداردهای امنیت داده های صنعت کارت پرداخت مطابقت داشته باشد. خط خطی توسط یک ارزیاب امنیتی واجد شرایط مستقل حسابرسی شده است و به عنوان یک ارایه دهنده خدمات سطح 1 دارای گواهینامه است. این سختگیرانه ترین سطح صدور گواهینامه موجود در صنعت پرداخت است.
رعایت قوانین و مقررات یک وظیفه مشترک است و برای هر دو خط خطی و کسب و کار شما اعمال می شود. هنگام پذیرش پرداخت, شما باید این کار را به شیوه سازگار با رایانه شخصی انجام دهید. ساده ترین راه برای سازگاری با رایانه شخصی این است که هرگز داده های کارت را نبینید (یا دسترسی نداشته باشید). نوار این کار را برای شما راحت می کند زیرا ما می توانیم کارهای سنگین را برای محافظت از اطلاعات کارت مشتریان خود انجام دهیم. شما می توانید انطباق کامپیوتر شخصی خود را تا زمانی که شما ساده:
- از یکی از ادغام های پرداخت توصیه شده ما برای جمع کردن اطلاعات پرداخت استفاده کنید که به طور ایمن به طور مستقیم به نوار منتقل می شود بدون اینکه از طریق سرورهای شما عبور کند.
- صفحات پرداخت خود را با استفاده از امنیت لایه حمل و نقل به صورت ایمن سرو کنید تا از اچتیتیپیاس استفاده کنند
- بررسی و اعتبار سنجی انطباق رایانه شخصی حساب خود را سالانه.
اعتبارسنجی انطباق رایانه شخصی شما
همه کاربران خط خطی باید انطباق رایانه شخصی خود را سالانه اعتبار. اکثر کاربران می توانند این کار را با پرسشنامه خودارزیابی که توسط شورای استانداردهای امنیتی تهیه شده است انجام دهند. نوع سق به نحوه یکپارچه سازی نوار و اینکه از کدام یک از روش های زیر برای جمع کردن داده های کارت استفاده می کنید بستگی دارد. برخی از روش ها ممکن است شما را ملزم به بارگذاری مستندات اضافی برای ما کنند. اگر این لازم است, ما به شما در داشبورد اطلاع. اگر از بیش از یکی از روش های زیر استفاده می کنید نیازی به بارگذاری چندین سقفی نیست. ما می توانیم تعیین که سق را پوشش می دهد تمام راه هایی که شما با نوار یکپارچه شده ام.
اگر شما نمی دانید که چگونه ثابت کنید که کسب و کار شما سازگار است (به عنوان مثال ادغام شما توسط شخص ثالث ساخته شده است) خط خطی تعیین می کند که چه مستنداتی ممکن است بر اساس نحوه پردازش پرداخت ها مورد نیاز باشد و این اطلاعات را در تنظیمات انطباق حساب شما فراهم می کند.
الزامات: ساک دی
ما به شدت از انتقال اطلاعات کارت به طور مستقیم به رابط کاربری خط خطی خودداری می کنیم زیرا به این معنی است که ادغام شما مستقیما اطلاعات کارت را مدیریت می کند. حتی اگر شما هر گونه اطلاعات پرداخت ذخیره نمی, ما تنها می تواند کمک به ساده انطباق رایانه شخصی اگر شما با پرداخت یکپارچه , عناصر , و یا انحرافات تلفن همراه ما .
اگر شما همچنان به ارسال اطلاعات کارت به طور مستقیم به ما, شما نیاز به ارسال سالانه سقع خود را برای اثبات کسب و کار شما سازگار است. سعید د طاقت فرسا ترین از همه سعید است, با بیش از 40 صفحات مورد نیاز شما باید پیاده سازی باقی می ماند سازگار با حزب کمونیست چین. اگر می خواهید دامنه انطباق رایانه شخصی خود را به میزان قابل توجهی کاهش دهید به نشانه گذاری اطلاعات کارت در سمت مشتری مهاجرت کنید.
علاوه بر بار قابل توجهی که این روش بر دوش شما می گذارد, توسط رادار پشتیبانی نمی شود , مجموعه ابزار پیشگیری از تقلب ما. قابلیت های رادار (مثلا , ارزیابی ریسک, قوانین, و غیره) تنها در دسترس است که با استفاده از هر یک از روش های ما از نشانه گذاری سمت مشتری.
اگر شما در حال پردازش بیش از 6 میلیون تراکنش در هر سال با ویزا یا مسترکارت یا بیش از 2.5 میلیون تراکنش با امریکن اکسپرس هستید یا در غیر این صورت توسط هر یک از شبکه های کارت به عنوان یک تامین کننده سطح 1 تلقی می شوید واجد شرایط استفاده از سعید برای اثبات انطباق شبکه های کارت نیستید. مارک های پرداخت از شما می خواهند که گزارش مربوط به انطباق را تکمیل کنید تا اعتبارسنجی انطباق رایانه شخصی خود را سالانه انجام دهید.
استفاده از تی ال ای اس و اچ تی تی پی اس
به فرایند انتقال ایمن داده ها بین مشتری—برنامه یا مرورگری که مشتری شما استفاده می کند—و سرور شما اشاره دارد. این کار در ابتدا با استفاده از پروتکل لایه سوکت امن انجام شد. با این حال, این منسوخ شده است و دیگر امن نیست, و جایگزین شده است. اصطلاح اس اس ال همچنان به صورت محاوره ای هنگام اشاره به تی ال ای دی و عملکردش برای محافظت از داده های ارسالی استفاده می شود.
صفحات پرداخت باید از یک نسخه مدرن از تی ال اس 1.2 استفاده کنند زیرا به طور قابل توجهی خطر شما یا مشتریانتان را در معرض حمله مردانه کاهش می دهد. تلاش ها برای به انجام رساندن موارد زیر:
- رمزگذاری و بررسی یکپارچگی ترافیک بین مشتری و سرور شما
- بررسی کنید که مشتری در حال برقراری ارتباط با سرور صحیح است. در عمل این معمولا به معنای تایید این است که صاحب دامنه و صاحب سرور یک موجودیت هستند. این به جلوگیری از حملات انسان در میانه کمک می کند. در غیر اینصورت هیچ تضمینی وجود ندارد که ترافیک را برای گیرنده مناسب رمزگذاری کنید.
علاوه بر این, مشتریان خود را راحت تر به اشتراک گذاری اطلاعات حساس در صفحات مشخصه بیش از قام خدمت, که می تواند کمک به افزایش نرخ تبدیل مشتری خود را.
در صورت نیاز می توانید ادغام خود را بدون استفاده از اچتیتیپیاس تست کنید و پس از پذیرش هزینه های زنده فعال کنید. با این حال تمام تعاملات بین سرور و خط خطی شما باید از 1.2 (یعنی هنگام استفاده از کتابخانه های ما) استفاده کنند.
تنظیم لینوکس
منابع را ایمن خدمت کنید
شما باید اطمینان حاصل کنید که هر منابعی (به عنوان مثال جاوا اسکریپت و سی اس اس و تصاویر) نیز از طریق لینوکس سرو می شوند تا از هشدار محتوای مختلط در مرورگر خود به مشتریان خود جلوگیری کنید.
یک گواهی دیجیتال —یک فایل صادر شده توسط یک (مرجع صدور گواهینامه*) برای استفاده از لینوکس مورد نیاز است. این گواهی هنگام نصب به مشتری اطمینان می دهد که واقعا با سروری که انتظار دارد با او صحبت کند ارتباط برقرار می کند نه یک فریبکار. شما باید یک گواهی دیجیتال از یک گواهینامه معتبر مانند:
هزینه گواهینامه ها بسته به نوع گواهینامه و تهیه کننده می تواند متفاوت باشد. بیایید رمزگذاری یک مرجع گواهی که گواهی به صورت رایگان فراهم می کند.
از نظر مفهومی تنظیم تی ال ای اس بسیار ساده است: یک گواهی از یک سرویس دهنده مناسب خریداری می شود و سپس سرور شما برای استفاده پیکربندی می شود. روند واقعی تا حدودی پیچیده است و توصیه می کنیم راهنمای نصب سرویس دهنده ای را که استفاده می کنید دنبال کنید.
به عنوان یک مجموعه پیچیده از ابزارهای رمزنگاری است, به راحتی می توان چند مورد را از دست داد. ما توصیه می کنیم از تست سرور اس اس ال استفاده کنید تا اطمینان حاصل کنید که همه چیز به روشی امن تنظیم شده است.
ملاحظات امنیتی
این می تواند یک خطر امنیتی شامل جاوا اسکریپت از سایت های دیگر به عنوان امنیت خود را وابسته به ایشان می شود. اگر تا به حال به خطر بیفتد ممکن است یک مهاجم بتواند کد دلخواه خود را در صفحه شما اجرا کند. در عمل, بسیاری از سایت های استفاده از جاوا اسکریپت برای خدمات مانند تجزیه و تحلیل ترافیک گوگل, حتی در صفحات امن. با این حال, این چیزی است که باید بدانیم, و به حداقل رساندن.
اگر از وب هوک استفاده می کنید توصیه می کنیم از ال ای دی برای نقطه پایانی استفاده کنید تا از رهگیری ترافیک و تغییر اعلان ها جلوگیری شود (اطلاعات حساس هرگز در یک رویداد وب هوک گنجانده نمی شود).
در حالی که رعایت استانداردهای امنیت داده ها مهم است اما نباید جایی باشد که دیگر به فکر امنیت نباشید. برخی از منابع خوب برای یادگیری در مورد امنیت وب عبارتند از:
داده های کارت خارج از محدوده که می توانید با خیال راحت ذخیره کنید
خط خطی اطلاعات کارت غیر حساس در پاسخ به درخواست شارژ می گرداند. این شامل نوع کارت چهار رقم کارت و تاریخ انقضا. بنابراین شما قادر به ذخیره هر یک از این خواص در پایگاه داده خود هستید این اطلاعات به انطباق رایانه شخصی نیست. شما می توانید هر چیزی را که توسط اپلیکیشن ما بازگردانده می شود ذخیره کنید.
سیاست امنیت محتوا
اگر شما یک سیاست امنیتی محتوا مستقر کرده اید, مجموعه ای کامل از دستورات که پرداخت و خط خطی.جی اس نیاز دارند:
