ปฏิบัติตามข้อกำหนดด้วย PCI
คณะกรรมการ Payment Card Industry Security Standards Council กำหนดมาตรฐานการรักษาความปลอดภัยเพื่อปกป้องข้อมูลบัตรเครดิตในชื่อ Payment Card Industry Data Security Standards (PCI-DSS หรือ PCI ) ซึ่งหมายความว่า หน่วยงานที่ส่งผ่าน ประมวลผล หรือเก็บข้อมูลบัตรเครดิตจะต้องปฏิบัติตามมาตรฐาน PCI
คุณสามารถใช้โฮสติ้งเพื่อตั้งค่าสถานะออนไลน์และแคตาล็อกผลิตภัณฑ์ของคุณได้ คุณจึงสามารถทำงานกับผู้ให้บริการที่เป็นบุคคลภายนอกเพื่อประมวลผลการชำระเงินในนามของคุณเพื่อไม่ให้ข้อมูลบัตรเครดิตอยู่บนเซิร์ฟเวอร์ของคุณ (เช่น PayPal Checkout, Square Online Checkout และ Stripe Checkout) คุณต้องแน่ใจว่าได้รับทราบถึงข้อกำหนดเพิ่มเติมใดๆ เพื่อให้ธุรกิจของคุณปฏิบัติตามมาตรฐาน PCI
หากคุณต้องการยอมรับการชำระเงินโดยตรงในเว็บไซต์ของคุณ เราขอเสนอผลิตภัณฑ์ที่ได้รับการรับรองมาตรฐาน PCI เช่น โฮสติ้งระบบอีคอมเมิร์ซของ WordPress ภายใต้การจัดการ, ร้านค้าออนไลน์ และการจัดหมายออนไลน์ การปฏิบัติตามมาตรฐาน PCI คือความพยายามร่วมกัน ดังนั้น เมื่อคุณใช้โซลูชันที่ได้รับการรับรองมาตรฐาน PCI ของเรา เราจะออกแบบการประมวลผลและระบบเพื่อปกป้องข้อมูลบัตรเครดิตของลูกค้าและความจำเป็นในการปกป้องบัญชีของคุณ
ร้านค้าออนไลน์และการนัดหมายออนไลน์
การชำระเงินผ่านร้านค้าออนไลน์และการนัดหมายออนไลน์จะผนวกรวมกับบุคคลภายนอกที่ประมวลผลข้อมูลบัตรเครดิตในสภาพแวดล้อมที่ปลอดภัย ผลิตภัณฑ์เหล่านี้ใช้รหัสจำนวนเล็กน้อยในเว็บไซต์ของคุณเพื่อช่วยให้ลูกค้าป้อนข้อมูลบัตรเครดิตโดยตรงบนเว็บไซต์ ซึ่งทำให้คุณปฏิบัติตามมาตรฐาน PCI ได้ในไม่กี่ขั้นตอนเพื่อปกป้องบัญชีของคุณ:
- การจัดการผู้ใช้
- มอบหมายผู้ใช้ด้วย ID ที่ไม่ซ้ำกันและใช้รหัสผ่านที่คาดเดายากเสมอ
- อย่าใช้ ID หรือรหัสผ่านแบบกลุ่ม ที่ใช้ร่วมกัน หรือพบเห็นได้ทั่วไป
- ลบผู้ใช้ออกเมื่อผู้ใช้ไม่มีสิทธิ์เข้าถึงอีกต่อไป
- การบันทึกด้วยเอกสาร (ไม่เป็นดิจิทัล)
- หากคุณเก็บข้อมูลบัตรเครดิตด้วยเอกสาร ตรวจสอบให้แน่ใจว่าควบคุมการเข้าถึงข้อมูลไว้และทำลายเอกสารเมื่อไม่จำเป็นต้องใช้อีกต่อไป
- การปฏิบัติตามของผู้ให้บริการ
- หากคุณใช้บริการจัดการบันทึกเอกสารหรือจัดการบัญชีของคุณ ตรวจสอบให้แน่ใจว่าผู้ให้บริการรับทราบถึงความรับผิดชอบในการจัดการข้อมูลบัตรเครดิตอย่างปลอดภัย และคุณต้องมั่นใจว่าผู้ให้บริการปฏิบัติตามภาระผูกพัน
- แผนการตอบสนองต่อเหตุการณ์
- ตรวจสอบให้แน่ใจว่าคุณมีรายชื่อผู้ที่ต้องการติดต่อและวิธีการจัดการการสื่อสารกับลูกค้าในกรณีที่เกิดเหตุการณ์ข้อมูลรั่วไหล
- ส่งแบบสอบถามประเมินตนเองแบบ A ของ PCI (PCI Self-Assessment Questionnaire A หรือ PCI SAQ-A) กับผู้ประมวลผลของคุณ (Stripe, Square หรือ PayPal)
หมายเหตุ: หากคุณยอมรับการชำระเงินผ่านทางโทรศัพท์ คุณอาจต้องปฏิบัติตามข้อกำหนดเพิ่มเติมเพื่อรักษาความปลอดภัยระบบโทรศัพท์และคอมพิวเตอร์ที่ใช้โดยเจ้าหน้าที่ศูนย์บริการทางโทรศัพท์
WordPress ภายใต้การจัดการกับ WooCommerce
การชำระเงินผ่าน WordPress ภายใต้การจัดการ สามารถดำเนินการผ่านปลั๊กอิน WooCommerce ได้ ซึ่งจะผนวกรวมกับบุคคลภายนอกที่ประมวลผลบัตรเครดิตในสภาพแวดล้อมที่ปลอดภัย ซึ่งใช้รหัสจำนวนเล็กน้อยในเว็บไซต์ของคุณเพื่อช่วยให้ลูกค้าป้อนข้อมูลบัตรเครดิตโดยตรงบนเว็บไซต์ เมื่อคุณควบคุมปลั๊กอินที่ติดตั้งในบัญชีของคุณ จะมีขั้นตอนเพิ่มเติมเพื่อให้สามารถปฏิบัติตามมาตรฐาน PCI ได้:
- การดำเนินการชำระเงิน
- เพียงติดตั้งปลั๊กอิน WooCommerce สำหรับการชำระเงิน ขณะที่มีปลั๊กอินการชำระเงินอื่นๆ พร้อมให้บริการ แต่เรารับรองเฉพาะปลั๊กอิน WooCommerce
- อย่าเพิ่มฟังก์ชันหรือรหัสใดๆ ที่จะจัดการข้อมูลบัตรเครดิต เราไม่สามารถรับรองการประมวลผลการชำระเงินแบบกำหนดเองที่เพิ่มไปยังเซิร์ฟเวอร์ได้
- พยายามอัปเดตปลั๊กอินอยู่เสมอ (อัปเดตการประมวลผลภายใน 30 วัน)
- การจัดการผู้ใช้
- มอบหมายผู้ใช้ด้วย ID ที่ไม่ซ้ำกันและใช้รหัสผ่านที่คาดเดายากเสมอ
- อย่าใช้ ID หรือรหัสผ่านแบบกลุ่ม ที่ใช้ร่วมกัน หรือพบเห็นได้ทั่วไป
- ลบผู้ใช้ออกเมื่อผู้ใช้ไม่มีสิทธิ์เข้าถึงอีกต่อไป
- การบันทึกด้วยเอกสาร (ไม่เป็นดิจิทัล)
- หากคุณเก็บข้อมูลบัตรเครดิตด้วยเอกสาร ตรวจสอบให้แน่ใจว่าควบคุมการเข้าถึงข้อมูลไว้และทำลายเอกสารเมื่อไม่จำเป็นต้องใช้อีกต่อไป
- การปฏิบัติตามของผู้ให้บริการ
- หากคุณใช้บริการจัดการบันทึกเอกสารหรือจัดการบัญชีของคุณ ตรวจสอบให้แน่ใจว่าผู้ให้บริการรับทราบถึงความรับผิดชอบในการจัดการข้อมูลบัตรเครดิตอย่างปลอดภัย และคุณต้องมั่นใจว่าผู้ให้บริการปฏิบัติตามภาระผูกพัน
- แผนการตอบสนองต่อเหตุการณ์
- ตรวจสอบให้แน่ใจว่าคุณมีรายชื่อผู้ที่ต้องการติดต่อและวิธีการจัดการการสื่อสารกับลูกค้าในกรณีที่เกิดเหตุการณ์ข้อมูลรั่วไหล
- ส่งแบบสอบถามประเมินตนเองแบบ A ของ PCI (PCI Self-Assessment Questionnaire A หรือ PCI SAQ-A) กับผู้ประมวลผลของคุณ (WooCommerce Payments, Stripe, PayPal, Square, Klarna หรือ PayFast)
หมายเหตุ: หากคุณยอมรับการชำระเงินผ่านทางโทรศัพท์ คุณอาจต้องปฏิบัติตามข้อกำหนดเพิ่มเติมเพื่อรักษาความปลอดภัยระบบโทรศัพท์และคอมพิวเตอร์ที่ใช้โดยเจ้าหน้าที่ศูนย์บริการทางโทรศัพท์
หากมีคำถามเพิ่มเติม โปรดติดต่อธนาคารของคุณหรือ Qualified Security Assessor (QSA)
ข้อมูลเพิ่มเติม
- ความช่วยเหลือร้านค้าออนไลน์ การตั้งค่าวิธีการชำระเงิน
- ความช่วยเหลือ WordPress อัปเดตวิธีการชำระเงินของ WooCommerce