Съответствие със ССД на ИРКП (PCI)

Стандартът за сигурност на данните (ССД) на индустрията за разплащане с карти (ИРКП) или на англ. "Payment Card Industry" (PCI) предоставя набор от общи правила и практики, които гарантират сигурността на данните за кредитни карти, когато кредитна карта се използва за закупуване на стоки и услуги. PCI стандартът трябва да се спазва от компаниите, които съхраняват и обработват данни за кредитни карти. Когато сайт приема и съхранява данни за кредитни карти, компанията за обработка на кредитни карти изисква сървъра и софтуера на сайта да са в съответствие със ССД на ИРКП. Има компании, които извършват сканиране на сайта и/или сървъра за проверка на съответствието със стандарта. След успешно преминаване на сканирането, тези компании издават сертификат за съответствие.

Ако искате да получите сертификат за съответствието със стандартa за сигурност на данните (ССД) на индустрията за разплащане с карти (ИРКП) или на англ. "Payment Card Industry" (PCI) за сайт, който работи на нашите сървъри, трябва да имате предвид следното преди да закупите услугата за сертификация: Обикновено услугите за споделен хостинг не са предназначени да осигуряват съответствие със ССД. Следователно не можем да гарантираме, че Вашият сайт ще премине успешно сканиране за съответствие със ССД. Има много компании, предлагащи сканиране за съответствие с ССД, като те могат да използват различни видове сканирания. Докато повечето сканирания могат да бъдат преминати, възможно е някои сертифициращи компании да имат изисквания, които не могат да бъдат изпълнени, заради спецификата на услугата за споделен хостинг с повече от един клиент на сървър.

Списъкът по-долу включва най-често срещаните проблеми, които могат да се появят в доклада от сканирането за съответствие със стандарта за сигурност на данните (ССД) на индустрията за разплащане с карти (ИРКП) като неуспешни. Съветваме Ви да предприемете тези стъпки преди да подадете заявка за сканиране към сертифициращата компания или да коригирате неуспешно преминатите тестове след първоначалното сканиране. Използване на SSL сертификат на Вашия домейн На нашите сървъри е наличен SSL сертификат по подразбиране, който е издаден за името на сървъра. С него можете сигурно да достъпвате сайта си чрез "https://", но само след изричното потвърждение на предупреждение за несъответствие между името на сайта Ви и името на сървъра, за който е издаден SSL сертификатът. За да е достъпен сайтът Ви без предупреждение, трябва да се сдобиете с индивидуален SSL сертификат за Вашия домейн и той трябва да бъде инсталиран на сървъра на собствен IP адрес. Можете да се свържете с Вашия хостинг доставчик за съдействие относно придобиването и/или инсталирането на SSL сертификат на собствен IP адрес за Вашия домейн. Използване на HTTPS за директорията със статистики за посещения на сайта (http://yourdomain.com/stats) Сканирането за съответствие със стандарта за сигурност на данни обикновено изисква всички елементи и части на сайта Ви да са достъпни чрез HTTPS. Тъй като директорията със статистики е системна, но е част от сайта Ви, можете да активирате принудително използване на HTTPS за нея чрез раздел "Статистика" на хостинг Контролния панел. Показване на съдържание на директории За успешно преминаване на някои сканирания за съответствие със ССД се изисква да не се показва списък с файловете в директории, в които няма заглавен (index) файл. Показването на съдържание за директории е изключено по подразбиране на нашите сървъри. Ако все пак за Вас е включено, то можете да го изключите за Вашия сайт чрез раздел "Защити" > подраздел "Защита на уеб достъп" на хостинг Контролния панел, като използвате бутона "Изключи" в колоната "Показване на съдържание" за директорията на Вашия сайт (напр. "www" за Вашия основен сайт). Поддръжка на софтуерните приложения Ние се грижим за поддръжката на софтуера на сървъра и неговата сигурност. Използването на приложения на сайта, които са сигурни, е Ваша отговорност. Сканирането за съответствие със ССД може да изисква изпробването на различни видове атаки към сайта Ви (напр. SQL инжектиране, уязвимости от междинни скриптове, уязвимости от дистанционно включване на файлове и т.н.). При неуспешно преминаване на такива тестове, трябва да се направят подобрения от разработчиците на софтуерните приложения, които използвате на сайта. Допълнително блокиране на портове и защитна стена Повечето компании, които предлагат сертифициране за съответствие със ССД на ИРКП, изискват сървъра да има отворени портове само за уеб достъп до сайта (портове 80 и 443), докато портове за други услуги (напр. FTP, SMTP, SSH, MySQL и т.н.) да са затворени. Това е възможно на нашите сървъри чрез добавяне на правила в защитната стена на сървъра, така че да са достъпни само портове 80 и 443. За да се добавят тези правила трябва: Вашият сайт да използва собствен IP адрес. Вие да направите определени промени по DNS настройките на домейна, така че имейл услугата Ви да продължи да работи. След като правилата се добавят, ще можете да достъпвате Вашите пощенски кутии и сървъра чрез FTP, SSH и MySQL дистанционно само чрез IP адреса по подразбиране на сървъра, а не чрез собствения IP адрес на Вашия домейн. DNS промени DNS промените, които трябва да направите, включват насочването на MX записа за Вашия домейн към IP адреса по подразбиране на сървъра. По този начин имейл услугата за домейна Ви ще продължи да работи след блокирането на портовете на собствения Ви IP адрес. Ако домейнът Ви използва нашата DNS услуга, можете да извършите тази промяна чрез раздел "DNS записи" на хостинг Контролния панел. В общия случай, ако "MX" записът за домейна Ви е "mail.domain.com", "A" записът за "mail.domain.com" трябва да бъде насочен към IP адреса по подразбиране на сървъра. За обновяване на DNS промените в Интернет пространството може да се наложи да изчакате няколко часа. Ако домейнът Ви използва DNS услуга на външен доставчик, ще трябва да извършите необходимите DNS промени там. Блокиране на портове Допълнителното блокиране на портове може да се извърши само от нашите системни администратори. Можете да се свържете с нашия екип за техническа поддръжка за съдействие. Ние ще проверим, дали Вашите DNS записи са настроени правилно, и ще се погрижим за прилагането на услугата. Използване на Mail, FTP, MySQL, и SSH услуги с блокирани портове След блокиране на всички портове освен тези на уеб сървъра за достъп на сайта (HTTP/HTTPS), всички други услуги ще бъдат достъпни само на IP адреса и хост името на сървъра. За да достъпите другите услуги, ще трябва да се уверите, че използвате името на сървъра вместо името на домейна Ви. Например за достъп до пощенския сървър ще трябва да използвате "mail.your_server.com" вместо "mail.domain.com". Същото правило важи и за FTP/MySQL/SSH приложения, чрез които се свързвате дистанционно към сървъра.