WooCommercePCIコンプライアンス

公開: 2022-01-25

WooCommerceは、美しくカスタマイズ可能な仮想ストアフロントを構築するために使用されるWordPress用のオープンソースeコマースプラットフォームです。 しかし、その支払い方法はどれほど安全ですか? プラットフォームはPCIコンプライアンスの標準に準拠していますか?

eコマースWebサイトがPCI-DSS標準に準拠していない限り、顧客データの安全性とプライバシーが損なわれる傾向があります。 そして、これはあなたのオンラインビジネスの評判に影響を与える可能性があります。

WooCommerceストアで顧客のデータを保護し、安全に保つために知っておくべきことはすべてここにあります。

目次に表示
  • WooCommerce PCIに準拠していますか?
  • PCIコンプライアンスとは正確には何ですか?
  • PCI準拠のWebサイトを持つことの主な利点:
  • PCI-DSSコンプライアンスの要件は何ですか?
  • WooCommerceは安全ですか?
    • 保存されたクレジットカード情報の保護
    • SSLによる強化されたセキュリティ
    • WordPressログインシステム
  • WooCommerceはクレジットカード情報を保存しますか?
  • 結論とFAQ

WooCommerce PCIに準拠していますか?

woocommerce-pci-compliance

コアのWooCommerceプラグインはPCI-DSSに準拠していません。 ただし、完全に準拠するように簡単に構成できます。 最終的に、WebサイトをPCIに準拠させる責任は、ストアの所有者にあります。 したがって、eコマースWebサイトの安全性を確保するためにすべての手順を実行する必要があります。

理想的には、PCI-DSSコンプライアンス要件のいくつかの側面は、WooCommerceまたはWordPressの範囲を超えています。 代わりに、それらはあなたのウェブサイトが従うホスティングプロバイダーまたはビジネス慣行の範囲に含まれます。 WooCommerceプラグインはセキュリティを念頭に置いて設計されており、完全なセキュリティを確保する方法はいくつかあります。

eコマースWebサイトを最初にPCIに準拠させるのに役立つWooCommerceの主な機能は次のとおりです。

制限付きアクセス:

WooCommerceは、安全なWordPressログインを使用して、ユーザーが個々のプライバシーレベルと役割をさまざまなユーザーに割り当てることができるようにします。 顧客の支払い情報へのアクセスが制限されているため、セキュリティが向上します。

SSLセキュリティ:

ユーザーは、チェックアウトプロセス中にSSL要件を適用するようにWooCommerceを設定できます。 SSL認定を取得すると、顧客データがWeb経由で送信される前に完全に暗号化されたままになります。

保存されたクレジットカードの安全性:

理想的には、ネイティブのWooCommerce支払いゲートウェイは、顧客のクレジットカードデータを保存するようには設計されていません。 ペイメントゲートウェイで将来の支払いのためにカードを保存できる場合でも、最後の4桁のみが保存されます。 WooCommerceのこの機能により、クレジットカードの詳細の安全性が向上します。

おすすめ: NexcessによるマネージドWooCommerceホスティング–ストアに住むのに最適な場所です!

PCIコンプライアンスとは正確には何ですか?

What-is-PCI-Compliance-woocommerce

出典:I-Verve.com

あらゆるタイプのeコマースビジネスにとって、高水準のセキュリティを維持することは重要です。 それはあなたの会社の信頼性とプロ意識を決定する重要な基準です。 顧客データの強化された保護と高レベルのプライバシーを確​​保するために、安全性とセキュリティを確保するために実装できるいくつかの規制と標準があります。

これらの中で最も顕著なのは、PCI-DSSまたはペイメントカード業界のデータセキュリティ標準です。 PCI規格としても認められています。

eコマース業界は常に高度なサイバー攻撃に直面しており、データのセキュリティとプライバシーに深刻な脅威をもたらしています。 したがって、支払いゲートウェイの安全性を確保することが重要です。 それは顧客の心の信頼を築き、より多くの販売とリピート販売を促進するのに役立ちます。

しかし、eコマースWebサイトに安全な支払いシステムがあることをどのように証明できますか? これは、視聴者と視聴者にWebサイトがPCIに準拠していることを認識させることで実現できます。

PCIは、JCB International、Visa Inc.、MasterCard、Discover Financial Services、およびAmericanExpressによって設立されたPaymentCard Industry SecurityStandardsCouncilによって管理されている世界的に認められた標準です。 目的は、セキュリティを向上させ、オンラインクレジットカード取引に関連する詐欺を最小限に抑えることです。

eコマースWebサイトがクレジットカードによる支払いを受け入れる場合は、PCIに準拠している必要があります。 PCI標準に準拠しないと、ビジネスに厳しい罰金が科せられる可能性があり、評判を損なう可能性もあります。

PCI準拠のWebサイトを持つことの主な利点:

親指を立てるプロのようなポジティブプラスハイグッド
  • PCI-DSSに準拠しているため、誰かがオンラインストアから購入しているときに、クレジットカードのデータが盗まれる可能性はほとんどありません。 ダブルオプトイン、2要素認証、HTTPSなどの機能により、ハッカーはeコマースWebサイトから機密データを盗むことができなくなります。
  • これは、オンラインストアに安全な支払いシステムがあり、チェックアウトプロセスを安全に完了するために顧客に信頼感を植え付けるのに役立つことを示しています。
  • これにより、eコマースマーチャントは、ビジネスに重大な損失をもたらす可能性のあるチャージバックを減らすことができます。 サイバー攻撃がさらに進むにつれて、ハッカーは顧客のクレジットカード情報を盗み、それを使用してオンラインで製品を購入します。 顧客がこの予期しない請求を特定すると、すぐに支払いを停止します。 その結果、あなたには何も残されません–製品が戻ったり、お金がなくなったりします。
  • PCIに準拠することで、データの漏洩やハッキングを阻止するための一歩を踏み出すことができます。 これは、eコマースビジネスに多額の費用、時間、評判を犠牲にする可能性のある訴訟を回避するのに役立ちます。

PCI-DSSコンプライアンスの要件は何ですか?

チェックリスト-タスク-メモ-スケジュール

12のコアPCI-DSS要件があり、次の領域に分類されます。」

目標PCI-DSS要件
安全なネットワークの構築と維持1.カード所有者情報の保護に役立つ堅牢なファイアウォール構成をインストールして使用します。
2.セキュリティパラメータとシステムパスワードにベンダー提供のデフォルトを使用しないでください。
カード会員データを保護する3.保存されているすべてのクレジットカードデータを保護します。
4.パブリックでオープンなネットワーク全体でカード会員データの暗号化を確実にします。
脆弱性管理プログラムを作成する5.強力なウイルス対策ソフトウェアを使用して、定期的に更新します。
6.安全なアプリケーションとシステムを開発します。
フルプルーフのアクセス制御手段を実装する7.知っておく必要がある場合にのみ、機密性の高いカード会員データへのアクセスを許可します。
8.保存されているすべてのカード会員データへの物理的なアクセスを制限します。
9.コンピューターにアクセスできるユーザーごとに一意のIDを設定します。
ネットワークを定期的にテストおよび監視する10.すべてのカード会員データとネットワークリソースへのアクセスを効率的に監視および追跡します。
11.セキュリティプロセスとシステムを定期的にテストします。
データセキュリティポリシーを確立する12.データセキュリティへの対処に役立つ明確なポリシーを作成します。

理想的には、PCIコンプライアンスの報告は支払い処理業者によって実施されます。 このため、自己問診(SAQ)などの特定の質問票に記入する必要がある場合があります。 お支払いシステムは、当局によって承認されたスキャンベンダー(ASV)によってもスキャンされます。

あなたは好きかもしれません:あなたのWordPresseコマースストアを過給するための10の無料のWooCommerce拡張機能/プラグイン。

WooCommerceは安全ですか?

woocommerce-pci-compliance

WooCommerceは、12のPCIコンプライアンス要件すべてがその範囲を超えていることを明確に述べています。 他の要件がホスティングプロバイダーのサーバー環境の責任に該当することを意味します。

通常、どのホスティングプロバイダーも準拠させることができ、一部のサーバーは最初は他のサーバーよりも準拠しています。 コントロールパネルを備えたマネージドVPSプロバイダーと同様に、デフォルトでは多くのPCI要件に準拠する傾向があります。これは、設定で事前構成されているため、Webサイトの所有者から多くの作業が不要になります。

したがって、オンラインビジネスの運営に真剣に取り組み、セキュリティが最も重要である場合は、共有ホスティングではなく、常にVPSを選択する必要があります。

ただし、プラグインのみを信頼する場合は、プラグインに組み込まれている他の基準もありますが、これらはお支払い方法がPCI-DSSに準拠していることを示すのに十分ではありません。

包括的なセキュリティを確保するためにWooCommerceが満たす3つの主要なPCIコンプライアンス要件は次のとおりです。

保存されたクレジットカード情報の保護

WooCommerceは、保存されているすべてのクレジットカード情報を完全に保護するわけではありませんが、そもそもそのデータを保存しないように構築されています。 つまり、WooCommerceは、顧客がWebサイトで支払いを行うために使用するクレジットカード情報を保存します。

顧客が将来の使用のために優先オプションとして支払い方法を設定することを選択した場合、WooCommerceはカード番号の下4桁のみを保存します。 これにより、サイバー犯罪者がカードの詳細にアクセスするのを阻止します。 ただし、このセキュリティ機能は、ネイティブのWooCommerceアプリケーションでのみ使用できます。 サードパーティのプラグインを使用する場合、カードの完全な詳細が保存される場合があります。

SSLによる強化されたセキュリティ

PCI標準によると、Webサイトで顧客の支払いを受け入れる場合は、有効なSSL証明書が必要です。 SSL証明書を使用すると、顧客がWebサイトで提供するデータが送信される前に完全に暗号化されます。 これにより、クレジットカードの詐欺やハッキングが軽減され、オンラインストアの安全性が高まります。 さらに、SSL証明書はあなたのウェブサイトにSEOを後押しします。

WooCommerceを使用すると、すべてのチェックアウトページでSSL要件基準を設定できます。 したがって、WooCommerceは、SSLを介してセキュリティを向上させることにより、PCI標準への準拠を支援します。 ただし、SSL証明書を提供できるかどうかは、Webサイトホスティングプロバイダーに確認することが重要です。

HTTP-to-HTTPS-SSL-Certificate

WordPressログインシステム

WordPressログインシステムは、WooCommerceがPCIコンプライアンスをサポートするために使用するもう1つの方法です。 これにより、クレジットカードの機密情報へのさまざまなレベルのユーザーアクセスを設定できます。 つまり、さまざまなユーザーロールを作成し、一意のログインアクセスを設定して、安全性を高めることができます。

たとえば、Webサイトのブログ投稿ライターは投稿の作成と編集のみが可能ですが、WooCommerceの顧客データにアクセスまたは表示する権限はありません。 したがって、これは、PCI要件への準拠を維持するのに役立つ「知る必要がある」アクセスを設定するようなものです。

これが、WooCommerceが上記のPCIコンプライアンス要件を統合することによってかなりの量のセキュリティを提供する方法です。

WooCommerceはクレジットカード情報を保存しますか?

クレジットカード-支払い-eコマース-ショッピング

WooCommerceコアプラグインは、顧客が将来の使用のために支払い方法を保存した場合でもクレジットカード情報を保存せず、クレジットカードの最後の4桁のみが保存されます。

したがって、質問が「私のeコマースストアはPCIに準拠している必要がありますか?」の場合、答えは「いいえ」になります。 これは、WooCommerceストアがコアプラグインで動作し、カード会員データを保存、送信、または処理しない場合のみです。 このような場合、支払いはオフサイトで行われます–通常はサーバーを使用して支払いを受け取るゲートウェイを使用します。

ただし、カード所有者情報を保存する可能性のあるサードパーティのプラグインを使用している場合、またはPCI標準に記載されているようにクレジットカードデータを収集、送信、処理する場合は、WebサイトがPCI-DSSに準拠している必要があります。

あなたも好きかもしれません: Magento vs Shopify vs WooCommerce:Eコマースバトル。

結論とFAQ

woocommerce-pci-compliance-questions-answers-faq-query-help

要約すると、WooCommerceはPCI標準に完全には準拠していません。 ただし、PCIコンプライアンス要件に従って、データの損失やカード所有者の機密情報のハッキングに対して一定レベルの保護を提供します。 さらに、この記事のFAQセクションで説明されている決定的な対策を講じることで、WooCommerceストアをPCIに準拠させる柔軟性も提供します。

Q. WordPress PCIに準拠していますか?

いいえ; WordPressは完全にPCIに準拠しておらず、Payment Card Industry SecurityStandardsCouncilのガイドラインに記載されている要件のみを満たしています。 ただし、プラットフォームをシームレスに更新して、他のPCI準拠の機能を統合し、Webサイトの支払いシステムをハッキングやデータ損失から完全に保護することができます。

Q. Shopify PCIに準拠していますか?

Shopifyは、セキュリティシステムの観点から業界のベストプラクティスを順守することにより、マーチャントビジネスが顧客に安全なショッピング体験を提供できるようにするもう1つの主要なeコマースプラットフォームです。 これは、認定されたレベル1 PCI-DSS準拠のプラットフォームであり、6つのPCI準拠要件すべてを満たしています。

  • カード会員データを保護します。
  • 安全なネットワークを維持します。
  • ネットワークを定期的にテストおよび監視します。
  • 脆弱性管理プログラムを確立します。
  • 包括的なデータセキュリティポリシーを維持します。
  • 強力なアクセス制御手段を設定します。

そのため、WooCommerceとは異なり、ShopifyはPCI-DSS標準への準拠に関してゲームに勝ちます。

Q. WordPress PCIに準拠するにはどうすればよいですか?

WordPress WebサイトをPCIに準拠させるには、PCI標準に準拠する支払いプロセッサを選択することが最初に重要です。 安全な支払いゲートウェイを提供するプロセッサを選択してください。 そうして初めて、WordPressPCIに準拠するための次の手順に進むことができます。

  • マーチャントレベルを設定する: PCIコンプライアンスのルールは、ビジネスのトランザクション量によって異なります。 したがって、最初にマーチャントレベルを決定する必要があります。 たとえば、中小企業の場合、コンプライアンスプロセスが最も簡単なレベル4の資格を得ることができます。
  • 自己問診に回答する:現在のリスクへの曝露を理解するのに役立つ自己問診(SAQ)に記入します。
  • 承認されたスキャンベンダーを統合する: ASVは自動化されたツールを使用して、支払いデータを収集および処理するハードウェアとソフトウェアの潜在的な脆弱性を特定できます。
  • SSL証明書を取得する: SSL証明書を使用すると、顧客はWebサイトと暗号化されて直接接続されているという安心感を得ることができます。 Webサイトのドメイン「HTTPS」は、PCI標準を満たすアドオンセキュリティクレデンシャルです。
  • 適切なツールとプラグインを使用する: WordPressまたはWooCommerceストアに適切なプラグインとツールを使用すると、eコマースストアにセキュリティの層を追加できます。 たとえば、WordPressには、カード会員情報へのアクセスを制限して、データ保護とプライバシーを強化できる管理コントロールがあります。
  • 支払い確認のその他の手順:ほとんどの支払いゲートウェイでは、支払いを行う際に、カード所有者の名前、クレジットカード番号、およびカードの有効期限が必要です。 このデータはサイバー犯罪者によって簡単にハッキングされる可能性があり、年間数十億ドルの損失につながります。 CVV、請求先住所、セキュリティの質問、OTPなどの追加の検証の詳細を含めると、安全性を高めることができます。
  • 最新のセキュリティポリシーで最新情報を入手する:上記の手順に加えて、最新のセキュリティポリシーとトレンドを常に把握することも重要です。 これにより、PCIに準拠するための一歩が踏み出されます。 最新のウイルス対策保護、定期的なソフトウェアアップデート、マルウェアスキャン、およびセキュリティパッチは、Webサイトのセキュリティを向上させるために必須です。 さらに、支払いデータを安全かつ効率的に使用するためのトレーニングも必要です。