हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंप्रत्येक ईकॉमर्स लेनदेन जिसमें भुगतान कार्ड शामिल होता है, पीसीआई डीएसएस - भुगतान कार्ड उद्योग डेटा सुरक्षा मानक के तहत एक अनुपालन दायित्व बनाता है। गैर-अनुपालन सैद्धांतिक जोखिम नहीं है: कार्ड ब्रांड (वीज़ा, मास्टरकार्ड, एमेक्स) अधिग्रहण करने वाले बैंकों पर $5,000-$100,000 प्रति माह का जुर्माना लगा सकते हैं, जो अपने भुगतान प्रसंस्करण समझौतों के माध्यम से सीधे व्यापारियों को दायित्व हस्तांतरित करते हैं। उल्लंघन के बाद, गैर-अनुपालन करने वाले व्यापारियों को प्रति कार्ड समझौता किए गए $50-$90 का जुर्माना, कार्ड ब्रांड फोरेंसिक जांच लागत, और - सबसे गंभीर मामलों में - उनके व्यापारी खाते की समाप्ति का सामना करना पड़ता है।
मार्च 2025 से अनिवार्य अनुपालन के साथ मार्च 2022 को जारी पीसीआई डीएसएस v4.0 ने क्रिप्टोग्राफ़िक आवश्यकताओं, प्रमाणीकरण मानकों और भुगतान पृष्ठों पर स्क्रिप्ट के प्रबंधन में महत्वपूर्ण बदलाव पेश किए। यह मार्गदर्शिका ईकॉमर्स टीमों को संपूर्ण कार्यान्वयन रोडमैप देती है।
मुख्य बातें
- PCI DSS v4.0 31 मार्च, 2025 तक अनिवार्य है - सभी ईकॉमर्स व्यापारियों को नए संस्करण के अनुरूप होना चाहिए
- स्कोपिंग सबसे महत्वपूर्ण पहला कदम है: जितना संभव हो सके अपने कार्डधारक डेटा वातावरण (सीडीई) को कम करें
- भुगतान प्रोसेसर के होस्ट किए गए भुगतान पृष्ठ (स्ट्राइप, ब्रेनट्री, एडयेन) का उपयोग करने से दायरा नाटकीय रूप से कम हो जाता है
- SAQ A अधिकांश होस्टेड-भुगतान-पेज व्यापारियों पर लागू होता है - लेकिन केवल तभी जब कोई कार्डधारक डेटा आपके सर्वर को नहीं छूता है
- नई v4.0 आवश्यकताओं में सभी सीडीई एक्सेस के लिए एमएफए, भुगतान पृष्ठों पर स्क्रिप्ट अखंडता नियंत्रण और लक्षित जोखिम विश्लेषण शामिल हैं
- वेब स्किमिंग (मेजकार्ट हमले) को भुगतान पृष्ठ स्क्रिप्ट इन्वेंट्री पर नई आवश्यकता 6.4.3 द्वारा संबोधित किया गया है
- वार्षिक प्रवेश परीक्षण और त्रैमासिक भेद्यता स्कैन अनिवार्य रहेंगे
- गैर-अनुपालन दंड कार्ड ब्रांडों → अधिग्रहण करने वाले बैंकों → व्यापारियों से पारित किया जाता है
पीसीआई डीएसएस फ्रेमवर्क बुनियादी बातें
पीसीआई डीएसएस का रखरखाव भुगतान कार्ड उद्योग सुरक्षा मानक परिषद (पीसीआई एसएससी) द्वारा किया जाता है, जो अमेरिकन एक्सप्रेस, डिस्कवर, जेसीबी, मास्टरकार्ड और वीज़ा द्वारा स्थापित एक निकाय है। वर्तमान मानक PCI DSS v4.0 है।
मानक को 6 लक्ष्यों में 12 आवश्यकताओं में व्यवस्थित किया गया है:
| लक्ष्य | आवश्यकताएँ |
|---|---|
| एक सुरक्षित नेटवर्क बनाएं और बनाए रखें | 1 (फ़ायरवॉल), 2 (डिफ़ॉल्ट पासवर्ड) |
| कार्डधारक डेटा को सुरक्षित रखें | 3 (संग्रहीत डेटा), 4 (प्रेषित डेटा) |
| भेद्यता प्रबंधन कार्यक्रम बनाए रखें | 5 (एंटी-मैलवेयर), 6 (सुरक्षित सिस्टम और एप्लिकेशन) |
| मजबूत अभिगम नियंत्रण लागू करें | 7 (पहुँच प्रतिबंध), 8 (प्रमाणीकरण), 9 (शारीरिक पहुँच) |
| नियमित रूप से नेटवर्क की निगरानी और परीक्षण करें | 10 (लॉगिंग), 11 (सुरक्षा परीक्षण) |
| सूचना सुरक्षा नीति बनाए रखें | 12 (नीति) |
अनुपालन किसी भी इकाई पर लागू होता है जो कार्डधारक डेटा को संग्रहीत, संसाधित या प्रसारित करता है - या कार्डधारक डेटा की सुरक्षा को प्रभावित कर सकता है। इसमें व्यापारी, भुगतान प्रोसेसर, अधिग्रहणकर्ता, जारीकर्ता और सेवा प्रदाता शामिल हैं।
चरण 1 - अपना दायरा परिभाषित करें और कम करें
कार्डधारक डेटा वातावरण (सीडीई) कोई भी प्रणाली है जो कार्डधारक डेटा (सीएचडी) या संवेदनशील प्रमाणीकरण डेटा (एसएडी) को संग्रहीत, संसाधित या प्रसारित करती है। दायरा कम करना सबसे प्रभावशाली कदम है जो आप उठा सकते हैं।
कार्डधारक डेटा बनाम संवेदनशील प्रमाणीकरण डेटा:
| डेटा तत्व | भंडारण की अनुमति | एन्क्रिप्शन आवश्यक |
|---|---|---|
| प्राथमिक खाता संख्या (पैन) | हाँ, यदि आवश्यक हो तो | हाँ (अपठनीय प्रस्तुत करें) |
| कार्डधारक का नाम | हाँ, यदि आवश्यक हो तो | अनुशंसित |
| समाप्ति तिथि | हाँ, यदि आवश्यक हो तो | अनुशंसित |
| सेवा कोड | हाँ, यदि आवश्यक हो तो | अनुशंसित |
| पूर्ण चुंबकीय पट्टी/चिप डेटा | कभी नहीं | एन/ए |
| सीवीवी/सीवीसी/सीएवी | प्राधिकरण के बाद कभी नहीं | एन/ए |
| पिन/पिन ब्लॉक | कभी नहीं | एन/ए |
ईकॉमर्स के लिए दायरा कम करने की रणनीतियाँ:
-
होस्ट किए गए भुगतान पृष्ठ का उपयोग करें: ग्राहकों को अपने भुगतान प्रोसेसर के होस्टेड भुगतान पृष्ठ (स्ट्राइप चेकआउट, ब्रेनट्री होस्टेड फील्ड्स, एडयेन ड्रॉप-इन) पर रीडायरेक्ट करें। कोई भी कार्डधारक डेटा आपके सर्वर को नहीं छूता है, और आप SAQ A के लिए अर्हता प्राप्त करते हैं - सबसे सरल स्व-मूल्यांकन प्रश्नावली।
-
टोकनीकरण: प्राधिकरण के तुरंत बाद कार्ड नंबरों को प्रोसेसर-जनरेटेड टोकन से बदलें। केवल टोकन संग्रहीत करें, जो प्रोसेसर के टोकननाइजेशन वॉल्ट तक पहुंच के बिना हमलावरों के लिए बेकार है।
-
iFrame-आधारित भुगतान फॉर्म: भुगतान प्रोसेसर के जावास्क्रिप्ट-रेंडर फॉर्म को अपने चेकआउट पेज के भीतर एम्बेड करें। कार्ड डेटा सीधे प्रोसेसर के डोमेन पर होस्ट किए गए फॉर्म में दर्ज किया जाता है, आपके नहीं।
-
नेटवर्क विभाजन: फ़ायरवॉल का उपयोग करके सीडीई सिस्टम (भुगतान प्रसंस्करण सर्वर, डेटाबेस) को आउट-ऑफ़-स्कोप सिस्टम से अलग करें। उचित रूप से विभाजित नेटवर्क ऑडिट के दायरे को नाटकीय रूप से कम कर देते हैं।
चरण 2 - अपना SAQ प्रकार पहचानें
स्व-मूल्यांकन प्रश्नावली (एसएक्यू) व्यापारियों और सेवा प्रदाताओं के लिए एक सत्यापन उपकरण है, जिन्हें साइट पर मूल्यांकन के लिए योग्य सुरक्षा मूल्यांकनकर्ता (क्यूएसए) की आवश्यकता नहीं होती है। SAQ प्रकार इस बात से निर्धारित होता है कि आप भुगतान कैसे स्वीकार करते हैं:
SAQ A - कार्ड-नॉट-प्रेजेंट (ई-कॉमर्स) व्यापारियों पर लागू होता है जो पीसीआई डीएसएस-अनुपालक तीसरे पक्ष को भुगतान प्रसंस्करण को पूरी तरह से आउटसोर्स करते हैं। आपके सिस्टम या परिसर में कोई भी इलेक्ट्रॉनिक कार्डधारक डेटा संग्रहीत, संसाधित या प्रसारित नहीं किया जाता है। आपका भुगतान पृष्ठ पूरी तरह से आपके भुगतान प्रोसेसर द्वारा वितरित किया जाता है। लगभग 22 आवश्यकताएँ।
SAQ A-EP - उन ई-कॉमर्स व्यापारियों के लिए जो भुगतान प्रसंस्करण को आंशिक रूप से आउटसोर्स करते हैं लेकिन फिर भी उनके पास अपने सर्वर पर एक भुगतान पृष्ठ होस्ट किया गया है, जो एक तृतीय-पक्ष भुगतान आईफ्रेम को एम्बेड करता है। आपका वेब सर्वर अप्रत्यक्ष रूप से भुगतान प्रसंस्करण की सुरक्षा को प्रभावित करता है। SAQ A से अधिक आवश्यकताएँ। नई v4.0 आवश्यकता 6.4.3 से गंभीर रूप से प्रभावित।
SAQ D - उन व्यापारियों के लिए जो किसी अन्य SAQ प्रकार के मानदंडों को पूरा नहीं करते हैं, या जो कार्डधारक डेटा संग्रहीत करते हैं। सभी 12 आवश्यकताओं को शामिल करता है। अपना स्वयं का भुगतान प्रसंस्करण बुनियादी ढांचा चलाने वाले व्यापारियों के लिए आवश्यक है। आमतौर पर ~300+ उप-आवश्यकताएँ।
स्तर स्तर (मास्टरकार्ड/वीज़ा मानक):
| स्तर | वार्षिक लेनदेन | सत्यापन की आवश्यकता |
|---|---|---|
| 1 | 6 मिलियन से अधिक | वार्षिक क्यूएसए ऑन-साइट ऑडिट + त्रैमासिक स्कैन |
| 2 | 1-6 मिलियन | वार्षिक SAQ या QSA + त्रैमासिक स्कैन |
| 3 | 20,000-1 मिलियन (ई-कॉमर्स) | वार्षिक SAQ + त्रैमासिक स्कैन |
| 4 | 20,000 से कम (ई-कॉमर्स) | वार्षिक SAQ (अनुशंसित) + त्रैमासिक स्कैन |
चरण 3 - पीसीआई डीएसएस v4.0 ईकॉमर्स के लिए मुख्य परिवर्तन
PCI DSS v4.0 ने कई आवश्यकताएँ पेश कीं जो विशेष रूप से ईकॉमर्स व्यापारियों को प्रभावित करती हैं। 31 मार्च, 2025 से सभी अनिवार्य थे।
आवश्यकता 6.4.3 — भुगतान पृष्ठ स्क्रिप्ट प्रबंधन
यह आवश्यकता सीधे मैजकार्ट/वेब स्किमिंग हमलों को लक्षित करती है - जहां हमलावर वास्तविक समय में कार्डधारक डेटा चुराने के लिए ईकॉमर्स भुगतान पृष्ठों में दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्ट करते हैं। 6.4.3 के तहत, SAQ A-EP या उच्चतर का उपयोग करने वाले व्यापारियों को यह करना होगा:
- भुगतान पृष्ठों पर निष्पादित करने के लिए अधिकृत सभी स्क्रिप्ट की एक सूची बनाए रखें
- प्रत्येक स्क्रिप्ट की व्यावसायिक या तकनीकी आवश्यकता को उचित ठहराएँ
- प्रत्येक स्क्रिप्ट की अखंडता की पुष्टि करने के लिए एक विधि लागू करें (तीसरे पक्ष की स्क्रिप्ट के लिए सब्रेसोर्स इंटीग्रिटी हैश, या सामग्री सुरक्षा नीति निर्देश)
SAQ A के लिए पूरी तरह से आउटसोर्स किए गए भुगतान पृष्ठ वाले व्यापारियों के लिए, यह आवश्यकता आपके भुगतान प्रोसेसर के पृष्ठों पर लागू होती है - उन्हें आपकी ओर से अनुपालन प्रदर्शित करना होगा।
आवश्यकता 11.6.1 - भुगतान पृष्ठों के लिए परिवर्तन और छेड़छाड़ का पता लगाना
भुगतान पृष्ठों पर HTTP हेडर और स्क्रिप्ट सामग्री में अनधिकृत संशोधनों का पता लगाने के लिए व्यापारियों को एक तंत्र (उदाहरण के लिए, सामग्री सुरक्षा नीति, स्क्रिप्ट निगरानी सेवा) तैनात करना होगा। किसी भी अस्वीकृत परिवर्तन के 7 दिनों के भीतर अलर्ट उत्पन्न होना चाहिए।
आवश्यकता 8.4.2 - सीडीई तक सभी पहुंच के लिए एमएफए
मल्टी-फैक्टर प्रमाणीकरण अब सीडीई तक पहुंच वाले सभी उपयोगकर्ता खातों के लिए आवश्यक है - न कि केवल रिमोट एक्सेस के लिए। इसमें कॉर्पोरेट नेटवर्क के भीतर से उत्पादन भुगतान प्रणालियों तक पहुंचने वाले आंतरिक उपयोगकर्ता शामिल हैं।
आवश्यकता 3.3.1.1 - प्राधिकरण के बाद एसएडी को बरकरार नहीं रखा जा सकता
प्राधिकरण के बाद संवेदनशील प्रमाणीकरण डेटा (पूर्ण ट्रैक डेटा, सीवीवी, पिन) को संग्रहीत करने पर स्पष्ट रूप से प्रतिबंध लगाता है। इसे हमेशा प्रतिबंधित किया गया था, लेकिन अब इसे और अधिक सटीक शब्दों में परिभाषित किया गया है ताकि कुछ सिस्टम डिबग/डायग्नोस्टिक आउटपुट में एसएडी को कैसे लॉग कर सकें, इसकी खामियों को दूर किया जा सके।
लक्षित जोखिम विश्लेषण (टीआरए)
v4.0 लक्षित जोखिम विश्लेषण की अवधारणा का परिचय देता है - व्यापारी कुछ आवश्यकताओं के लिए वैकल्पिक दृष्टिकोण प्रदर्शित कर सकते हैं यदि वे समकक्ष सुरक्षा दिखाते हुए एक दस्तावेजी जोखिम विश्लेषण करते हैं। यह बड़े, अधिक जटिल वातावरण के लिए लचीलापन प्रदान करता है।
चरण 4 - नेटवर्क सुरक्षा वास्तुकला
SAQ A से परे दायरे वाले सिस्टम वाले व्यापारियों के लिए, नेटवर्क सुरक्षा एक मुख्य अनुपालन डोमेन है।
आवश्यकता 1 - नेटवर्क सुरक्षा नियंत्रण स्थापित करें और बनाए रखें:
- अविश्वसनीय नेटवर्क (इंटरनेट) और सीडीई के बीच फ़ायरवॉल लागू करें
- सीडीई और अन्य आंतरिक नेटवर्क (विभाजन) के बीच फ़ायरवॉल लागू करें
- व्यावसायिक औचित्य के साथ सभी फ़ायरवॉल नियमों का दस्तावेज़ीकरण करें
- कम से कम हर 6 महीने में फ़ायरवॉल नियमों की समीक्षा करें
- स्पष्ट रूप से आवश्यक न होने वाले सभी ट्रैफ़िक को अस्वीकार करें (डिफ़ॉल्ट-अस्वीकार मुद्रा)
- ईकॉमर्स के लिए: वेब सर्वर के सामने WAF (वेब एप्लिकेशन फ़ायरवॉल) लागू करें
नेटवर्क विभाजन परीक्षण:
एक आम ग़लतफ़हमी यह है कि नेटवर्क विभाजन स्वचालित रूप से दायरा कम कर देता है। पीसीआई एसएससी के लिए आपको यह परीक्षण करने की आवश्यकता है कि विभाजन प्रभावी है - प्रवेश परीक्षणों में विभाजन सीमा को पार करने के प्रयास शामिल होने चाहिए। यदि कोई प्रवेश परीक्षक आउट-ऑफ़-स्कोप नेटवर्क से सीडीई सिस्टम तक पहुंच सकता है, तो विभाजन प्रभावी नहीं होता है और व्यापक वातावरण दायरे में आता है।
ईकॉमर्स के लिए DMZ आर्किटेक्चर:
Internet → WAF/Load Balancer → DMZ (Web Servers) → Internal Firewall → CDE (Payment Servers, DB) → Internal Network
DMZ में वेब सर्वर आपके स्टोरफ्रंट की सेवा करते हैं। केवल विशिष्ट, प्रलेखित ट्रैफ़िक (HTTPS से भुगतान API, विशिष्ट पोर्ट पर SQL से विशिष्ट DB तक) ही DMZ से CDE तक जाता है। अन्य सभी यातायात अवरुद्ध है.
चरण 5 - एप्लिकेशन सुरक्षा आवश्यकताएँ
आवश्यकता 6 - सुरक्षित सिस्टम और सॉफ्टवेयर का विकास और रखरखाव:
- दायरे में आने वाले सभी कस्टम और तृतीय-पक्ष सॉफ़्टवेयर की एक सूची बनाए रखें
- औपचारिक भेद्यता प्रबंधन प्रक्रिया के भाग के रूप में कमजोरियों को संबोधित करें
- वेब-फेसिंग एप्लिकेशन को ज्ञात हमलों से सुरक्षित रखें (OWASP टॉप 10)
- महत्वपूर्ण परिवर्तनों के उत्पादन परिनियोजन से पहले सुरक्षा कोड समीक्षा या एप्लिकेशन प्रवेश परीक्षण आयोजित करें
- प्रतिबद्ध सुरक्षा पैच प्रक्रियाओं वाले प्रतिष्ठित विक्रेताओं के सॉफ़्टवेयर का ही उपयोग करें
वेब एप्लिकेशन फ़ायरवॉल (WAF) - आवश्यकता 6.3.2 और 6.4.2:
WAF सभी सार्वजनिक-सामना वाले वेब अनुप्रयोगों के लिए अनिवार्य है, जो या तो हमलों को रोकने या अलर्ट उत्पन्न करने और 1 घंटे के भीतर समीक्षा करने के लिए कॉन्फ़िगर किया गया है। ईकॉमर्स के लिए, WAF को इसमें शामिल होना चाहिए:
- एसक्यूएल इंजेक्शन रोकथाम
- क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा
- क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) सुरक्षा
- दुर्भावनापूर्ण बॉट का पता लगाना
- क्रूर बल की रोकथाम के लिए दर सीमित करना
निर्भरता और तृतीय-पक्ष सॉफ़्टवेयर प्रबंधन:
ईकॉमर्स प्लेटफ़ॉर्म (WooCommerce, Magento, Shopify अनुकूलन) प्लगइन्स और एक्सटेंशन पर बहुत अधिक निर्भर करते हैं। दायरे में आने वाले प्रत्येक प्लगइन का सुरक्षा के लिए मूल्यांकन किया जाना चाहिए। एक इन्वेंट्री बनाए रखें और अपने पैचिंग एसएलए के भीतर पैच लागू करें (महत्वपूर्ण: विक्रेता पैच रिलीज से 7 दिन)।
चरण 6 - अभिगम नियंत्रण और प्रमाणीकरण
आवश्यकता 7 - सिस्टम घटकों और कार्डधारक डेटा तक पहुंच प्रतिबंधित करें:
- न्यूनतम विशेषाधिकार के आधार पर भूमिका-आधारित अभिगम नियंत्रण लागू करें
- दस्तावेज़ में स्पष्ट अनुदान के साथ "सभी को अस्वीकार करें" के लिए डिफ़ॉल्ट सभी पहुंच
- कम से कम हर 6 महीने में उपयोगकर्ता पहुंच अधिकारों की समीक्षा करें
आवश्यकता 8 - उपयोगकर्ताओं की पहचान करें और पहुंच प्रमाणित करें:
- सीडीई तक पहुंच रखने वाले प्रत्येक व्यक्ति को एक अद्वितीय आईडी निर्दिष्ट करें
- पासवर्ड न्यूनतम 12 अक्षर (v3.2.1 में 7 से v4.0 वृद्धि), जटिलता आवश्यकताएँ
- अधिकतम 10 अमान्य प्रयासों के बाद खाते लॉक करें (v4.0 डिफ़ॉल्ट, या प्रति टीआरए)
- सीडीई सत्रों के लिए अधिकतम 15 मिनट की निष्क्रियता के बाद सत्र का समय समाप्त
- सभी सीडीई एक्सेस के लिए एमएफए आवश्यक (केवल रिमोट से v4.0 विस्तार)
- सेवा खातों और सिस्टम खातों को उपयोगकर्ता खातों से अलग से प्रबंधित किया जाना चाहिए
चरण 7 - भेद्यता प्रबंधन और परीक्षण
आवश्यकता 11 - सिस्टम और नेटवर्क की सुरक्षा का परीक्षण करें:
त्रैमासिक आंतरिक भेद्यता स्कैन: सभी इन-स्कोप सिस्टम को स्कैन करें। अगले स्कैन से पहले सभी उच्च-गंभीरता और गंभीर कमजोरियों को दूर करें। अनुमोदित उपकरणों (नेसस, क्वालिस, ओपनवीएएस) का उपयोग करके आंतरिक कर्मचारियों द्वारा स्कैन किए जा सकते हैं।
अनुमोदित स्कैनिंग विक्रेता (एएसवी) द्वारा त्रैमासिक बाहरी भेद्यता स्कैन: सभी बाह्य रूप से सुलभ प्रणालियों के बाहरी स्कैन पीसीआई एसएससी-अनुमोदित एएसवी द्वारा आयोजित किए जाने चाहिए। इससे पहले कि आप अनुपालन प्रमाणित कर सकें, स्कैन पास होना चाहिए (कोई खुली उच्च/गंभीर भेद्यता नहीं)।
वार्षिक प्रवेश परीक्षण: एक योग्य आंतरिक संसाधन या प्रतिष्ठित बाहरी फर्म द्वारा संचालित। अवश्य कवर करें:
- सभी इन-स्कोप सिस्टम और नेटवर्क
- विभाजन नियंत्रण (सत्यापित करें कि सीडीई ठीक से पृथक है)
- वेब-फेसिंग अनुप्रयोगों के लिए OWASP शीर्ष 10
- सोशल इंजीनियरिंग (उच्च जोखिम वाले वातावरण के लिए)
सभी प्रवेश परीक्षण निष्कर्षों का समाधान करें और सुधार की पुष्टि के लिए सत्यापन परीक्षण करें।
फ़ाइल इंटीग्रिटी मॉनिटरिंग (FIM): सभी महत्वपूर्ण सिस्टम फ़ाइलों, कॉन्फ़िगरेशन फ़ाइलों और सामग्री फ़ाइलों पर FIM तैनात करें। किसी भी अनधिकृत परिवर्तन के बारे में 1 घंटे (v4.0) के भीतर अलर्ट करें।
ईकॉमर्स के लिए पीसीआई डीएसएस अनुपालन चेकलिस्ट
- भुगतान प्रसंस्करण का दायरा परिभाषित और कम किया गया (होस्ट किया गया भुगतान पृष्ठ या जहां संभव हो वहां टोकन का उपयोग किया गया)
- भुगतान स्वीकृति पद्धति के आधार पर SAQ प्रकार की पहचान की गई
- नेटवर्क विभाजन कार्यान्वित और प्रलेखित
- कार्डधारक डेटा इन्वेंट्री पूरी हो गई - कहीं भी कोई एसएडी संग्रहीत नहीं है
- सभी कार्डधारक डेटा भंडारण एन्क्रिप्टेड (एईएस-256 या समकक्ष)
- सभी भुगतान डेटा ट्रांसमिशन के लिए टीएलएस 1.2+ लागू किया गया
- भुगतान पृष्ठ स्क्रिप्ट सूची प्रलेखित (आवश्यकता 6.4.3)
- भुगतान पृष्ठों पर परिवर्तन/छेड़छाड़ का पता लगाया गया (आवश्यकता 11.6.1)
- WAF को सभी सार्वजनिक-सामना वाले वेब अनुप्रयोगों के सामने तैनात किया गया है
- सभी सीडीई एक्सेस के लिए एमएफए लागू (आवश्यकता 8.4.2)
- अद्वितीय उपयोगकर्ता आईडी, मजबूत पासवर्ड, खाता लॉकआउट कॉन्फ़िगर किया गया
- त्रैमासिक भेद्यता स्कैन (आंतरिक + एएसवी बाहरी) पूरा हो गया
- वार्षिक प्रवेश परीक्षण पूरा हुआ, निष्कर्षों का समाधान किया गया
- सीडीई सिस्टम पर फ़ाइल अखंडता निगरानी तैनात की गई
- पिछले 6 महीनों के भीतर फ़ायरवॉल नियमों की समीक्षा की गई
- सभी सीडीई-टचिंग स्टाफ के लिए सुरक्षा जागरूकता प्रशिक्षण पूरा हो गया
- घटना प्रतिक्रिया योजना भुगतान कार्ड उल्लंघन परिदृश्यों को कवर करती है
- विक्रेता/सेवा प्रदाता पीसीआई डीएसएस अनुपालन सत्यापित
अक्सर पूछे जाने वाले प्रश्न
हम अपने स्टोर के लिए Shopify का उपयोग करते हैं - क्या हमें अभी भी PCI DSS अनुपालन की आवश्यकता है?
Shopify एक PCI DSS लेवल 1 प्रमाणित सेवा प्रदाता है। यदि आप Shopify के मानक भुगतान प्रसंस्करण (Shopify Payments या Shopify-होस्टेड चेकआउट) का उपयोग करते हैं, तो आपका अनुपालन दायरा नाटकीय रूप से कम हो जाता है। आपके पास अभी भी दायित्व हैं - मुख्य रूप से SAQ A - Shopify की सेवाओं के आपके उपयोग को कवर करना। यदि आप अपने Shopify चेकआउट में कस्टम जावास्क्रिप्ट जोड़ते हैं या तीसरे पक्ष के भुगतान ऐप्स का उपयोग करते हैं जो Shopify के वातावरण के बाहर कार्ड डेटा संसाधित करते हैं, तो दायरा बढ़ता है।
पीसीआई डीएसएस अनुपालन और पीसीआई डीएसएस प्रमाणन के बीच क्या अंतर है?
व्यापारियों के लिए कोई औपचारिक "पीसीआई डीएसएस प्रमाणीकरण" नहीं है। व्यापारी स्व-मूल्यांकन प्रश्नावली के माध्यम से या (स्तर 1 व्यापारी) क्यूएसए द्वारा आयोजित अनुपालन रिपोर्ट (आरओसी) के माध्यम से अनुपालन को प्रमाणित करते हैं। सेवा प्रदाताओं को वीज़ा की सेवा प्रदाताओं की वैश्विक रजिस्ट्री पर सूचीबद्ध किया जा सकता है। "प्रमाणित" और "अनुपालक" शब्द अक्सर बाज़ार संचार में एक दूसरे के स्थान पर उपयोग किए जाते हैं, लेकिन तकनीकी रूप से व्यापारी स्व-सत्यापित होते हैं या उनके पास QSA-प्रमाणित अनुपालन होता है।
अनुपालन न करने पर व्यापारियों को क्या दंड भुगतना पड़ता है?
जुर्माना सीधे पीसीआई एसएससी से नहीं लगता है - वे अधिग्रहण करने वाले बैंकों के माध्यम से कार्ड ब्रांडों से आते हैं। व्यापारी स्तर और गैर-अनुपालन की अवधि के आधार पर मासिक जुर्माना आम तौर पर $5,000-$100,000 तक होता है। उल्लंघन के बाद, कार्ड ब्रांड प्रति-कार्ड जुर्माना ($50-$90 प्रति वीज़ा कार्ड, मास्टरकार्ड के समान), फोरेंसिक जांच लागत ($20,000-$200,000+), और अनिवार्य कार्ड पुनः जारी करने की लागत लगा सकते हैं। गंभीर मामलों में, व्यापारी पूरी तरह से कार्ड से भुगतान स्वीकार करने की क्षमता खो देते हैं। बार-बार उल्लंघन करने वाले या बड़े उल्लंघन प्रभाव वाले व्यापारियों को उच्चतम दंड का सामना करना पड़ता है।
मैजकार्ट हमला क्या है और पीसीआई डीएसएस v4.0 इसे कैसे संबोधित करता है?
मैजकार्ट उन हमलों को संदर्भित करता है जहां दुर्भावनापूर्ण जावास्क्रिप्ट को ग्राहकों द्वारा टाइप किए जाने पर वास्तविक समय में कार्डधारक डेटा को इंटरसेप्ट करने के लिए ईकॉमर्स चेकआउट पेजों में इंजेक्ट किया जाता है। ये हमले तृतीय-पक्ष स्क्रिप्ट (एनालिटिक्स, चैट विजेट, टैग मैनेजर) का शोषण करते हैं जिन्हें व्यापारी भुगतान पृष्ठों पर शामिल करते हैं। PCI DSS v4.0 आवश्यकताएँ 6.4.3 और 11.6.1 सीधे इसे संबोधित करते हैं: व्यापारियों को भुगतान पृष्ठों पर सभी स्क्रिप्ट की अखंडता को सूचीबद्ध और सत्यापित करना होगा, और भुगतान पृष्ठ कोड में अनधिकृत परिवर्तनों का पता लगाने के लिए निगरानी तैनात करनी होगी।
हम हेडलेस ईकॉमर्स आर्किटेक्चर के लिए पीसीआई डीएसएस को कैसे संभाल सकते हैं?
हेडलेस ईकॉमर्स फ्रंटएंड प्रेजेंटेशन लेयर को बैकएंड कॉमर्स इंजन से अलग करता है। पीसीआई डीएसएस उद्देश्यों के लिए, यह मायने रखता है कि कार्डधारक डेटा कहाँ प्रवाहित होता है। यदि आपका हेडलेस फ्रंटएंड स्ट्राइप एलिमेंट्स या समान आईफ्रेम-आधारित समाधान का उपयोग करता है, तो कार्ड डेटा आपके फ्रंटएंड सर्वर को छुए बिना ब्राउज़र से सीधे भुगतान प्रोसेसर तक जाता है - यह SAQ A क्षेत्र है। यदि आपके हेडलेस आर्किटेक्चर में कस्टम सर्वर-साइड भुगतान प्रसंस्करण शामिल है, तो दायरा काफी बढ़ जाता है और आपको दायरे के मार्गदर्शन के लिए क्यूएसए संलग्न करना चाहिए।
क्या हमें अपने पीसीआई डीएसएस मूल्यांकन के लिए क्यूएसए की आवश्यकता है?
केवल लेवल 1 व्यापारियों (वीज़ा/मास्टरकार्ड के लिए 6 मिलियन से अधिक लेनदेन/वर्ष) को अनुपालन पर वार्षिक रिपोर्ट (आरओसी) के लिए क्यूएसए संलग्न करने की आवश्यकता होती है। स्तर 2-4 के व्यापारी SAQ के माध्यम से स्व-सत्यापित कर सकते हैं। हालाँकि, कई व्यापारी आवश्यकता न होने पर भी मार्गदर्शन के लिए स्वेच्छा से QSA या क्वालिफाइड सिक्योरिटी एसेसर कंपनी (QSAC) को नियुक्त करते हैं, खासकर जब वे अपने दायरे के बारे में अनिश्चित होते हैं या उनके पास जटिल बुनियादी ढांचा होता है।
अगले चरण
पीसीआई डीएसएस अनुपालन आपके ग्राहकों के भुगतान डेटा की सुरक्षा करता है, आपके दायित्व जोखिम को सीमित करता है, और कार्ड स्वीकृति बनाए रखने के लिए एक शर्त है। शॉपिफाई या कस्टम प्लेटफॉर्म पर ईकॉमर्स व्यवसायों के लिए, पहला कदम हमेशा गुंजाइश कम करना होता है - होस्ट किए गए भुगतान पृष्ठों के उचित उपयोग के माध्यम से एसएक्यू ए तक पहुंचना सबसे तेज़ और सबसे अधिक लागत प्रभावी मार्ग है।
ECOSIRE की ईकॉमर्स कार्यान्वयन टीम के पास PCI DSS-अनुपालक Shopify स्टोर और कस्टम कॉमर्स प्लेटफ़ॉर्म बनाने का व्यापक अनुभव है, जिसमें CDE के दायरे को कम करने के लिए भुगतान वास्तुकला को जमीनी स्तर से डिज़ाइन किया गया है।
आरंभ करें: ECOSIRE Shopify Services
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और यह कानूनी या अनुपालन सलाह नहीं है। पीसीआई डीएसएस आवश्यकताएँ कार्ड ब्रांड और अधिग्रहणकर्ता के अनुसार बदल और भिन्न हो सकती हैं। अपने परिवेश के लिए विशिष्ट अनुपालन मार्गदर्शन के लिए एक QSA संलग्न करें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
अपने शॉपिफाई स्टोर को स्केल करें
उच्च विकास वाले ईकॉमर्स के लिए कस्टम विकास, अनुकूलन और माइग्रेशन सेवाएं।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.