हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंईकॉमर्स के लिए पीसीआई डीएसएस अनुपालन: भुगतान सुरक्षा गाइड
प्रत्येक ईकॉमर्स लेनदेन जिसमें भुगतान कार्ड शामिल होता है, पीसीआई डीएसएस - भुगतान कार्ड उद्योग डेटा सुरक्षा मानक के तहत एक अनुपालन दायित्व बनाता है। गैर-अनुपालन सैद्धांतिक जोखिम नहीं है: कार्ड ब्रांड (वीज़ा, मास्टरकार्ड, एमेक्स) अधिग्रहण करने वाले बैंकों पर $5,000-$100,000 प्रति माह का जुर्माना लगा सकते हैं, जो अपने भुगतान प्रसंस्करण समझौतों के माध्यम से सीधे व्यापारियों को दायित्व हस्तांतरित करते हैं। उल्लंघन के बाद, गैर-अनुपालन करने वाले व्यापारियों को प्रति कार्ड समझौता किए गए $50-$90 का जुर्माना, कार्ड ब्रांड फोरेंसिक जांच लागत, और - सबसे गंभीर मामलों में - उनके व्यापारी खाते की समाप्ति का सामना करना पड़ता है।
मार्च 2025 से अनिवार्य अनुपालन के साथ मार्च 2022 को जारी पीसीआई डीएसएस v4.0 ने क्रिप्टोग्राफ़िक आवश्यकताओं, प्रमाणीकरण मानकों और भुगतान पृष्ठों पर स्क्रिप्ट के प्रबंधन में महत्वपूर्ण बदलाव पेश किए। यह मार्गदर्शिका ईकॉमर्स टीमों को संपूर्ण कार्यान्वयन रोडमैप देती है।
मुख्य बातें
- PCI DSS v4.0 31 मार्च, 2025 तक अनिवार्य है - सभी ईकॉमर्स व्यापारियों को नए संस्करण के अनुरूप होना चाहिए
- स्कोपिंग सबसे महत्वपूर्ण पहला कदम है: जितना संभव हो सके अपने कार्डधारक डेटा वातावरण (सीडीई) को कम करें
- भुगतान प्रोसेसर के होस्ट किए गए भुगतान पृष्ठ (स्ट्राइप, ब्रेनट्री, एडयेन) का उपयोग करने से दायरा नाटकीय रूप से कम हो जाता है
- SAQ A अधिकांश होस्टेड-भुगतान-पेज व्यापारियों पर लागू होता है - लेकिन केवल तभी जब कोई कार्डधारक डेटा आपके सर्वर को नहीं छूता है
- नई v4.0 आवश्यकताओं में सभी सीडीई एक्सेस के लिए एमएफए, भुगतान पृष्ठों पर स्क्रिप्ट अखंडता नियंत्रण और लक्षित जोखिम विश्लेषण शामिल हैं
- वेब स्किमिंग (मेजकार्ट हमले) को भुगतान पृष्ठ स्क्रिप्ट इन्वेंट्री पर नई आवश्यकता 6.4.3 द्वारा संबोधित किया गया है
- वार्षिक प्रवेश परीक्षण और त्रैमासिक भेद्यता स्कैन अनिवार्य रहेंगे
- गैर-अनुपालन दंड कार्ड ब्रांडों → अधिग्रहण करने वाले बैंकों → व्यापारियों से पारित किया जाता है
पीसीआई डीएसएस फ्रेमवर्क बुनियादी बातें
पीसीआई डीएसएस का रखरखाव भुगतान कार्ड उद्योग सुरक्षा मानक परिषद (पीसीआई एसएससी) द्वारा किया जाता है, जो अमेरिकन एक्सप्रेस, डिस्कवर, जेसीबी, मास्टरकार्ड और वीज़ा द्वारा स्थापित एक निकाय है। वर्तमान मानक PCI DSS v4.0 है।
मानक को 6 लक्ष्यों में 12 आवश्यकताओं में व्यवस्थित किया गया है:
| लक्ष्य | आवश्यकताएँ |
|---|---|
| एक सुरक्षित नेटवर्क बनाएं और बनाए रखें | 1 (फ़ायरवॉल), 2 (डिफ़ॉल्ट पासवर्ड) |
| कार्डधारक डेटा को सुरक्षित रखें | 3 (संग्रहीत डेटा), 4 (प्रेषित डेटा) |
| भेद्यता प्रबंधन कार्यक्रम बनाए रखें | 5 (एंटी-मैलवेयर), 6 (सुरक्षित सिस्टम और एप्लिकेशन) |
| मजबूत अभिगम नियंत्रण लागू करें | 7 (पहुँच प्रतिबंध), 8 (प्रमाणीकरण), 9 (शारीरिक पहुँच) |
| नियमित रूप से नेटवर्क की निगरानी और परीक्षण करें | 10 (लॉगिंग), 11 (सुरक्षा परीक्षण) |
| सूचना सुरक्षा नीति बनाए रखें | 12 (नीति) |
अनुपालन किसी भी इकाई पर लागू होता है जो कार्डधारक डेटा को संग्रहीत, संसाधित या प्रसारित करता है - या कार्डधारक डेटा की सुरक्षा को प्रभावित कर सकता है। इसमें व्यापारी, भुगतान प्रोसेसर, अधिग्रहणकर्ता, जारीकर्ता और सेवा प्रदाता शामिल हैं।
चरण 1 - अपना दायरा परिभाषित करें और कम करें
कार्डधारक डेटा वातावरण (सीडीई) कोई भी प्रणाली है जो कार्डधारक डेटा (सीएचडी) या संवेदनशील प्रमाणीकरण डेटा (एसएडी) को संग्रहीत, संसाधित या प्रसारित करती है। दायरा कम करना सबसे प्रभावशाली कदम है जो आप उठा सकते हैं।
कार्डधारक डेटा बनाम संवेदनशील प्रमाणीकरण डेटा:
| डेटा तत्व | भंडारण की अनुमति | एन्क्रिप्शन आवश्यक |
|---|---|---|
| प्राथमिक खाता संख्या (पैन) | हाँ, यदि आवश्यक हो तो | हाँ (अपठनीय प्रस्तुत करें) |
| कार्डधारक का नाम | हाँ, यदि आवश्यक हो तो | अनुशंसित |
| समाप्ति तिथि | हाँ, यदि आवश्यक हो तो | अनुशंसित |
| सेवा कोड | हाँ, यदि आवश्यक हो तो | अनुशंसित |
| पूर्ण चुंबकीय पट्टी/चिप डेटा | कभी नहीं | एन/ए |
| सीवीवी/सीवीसी/सीएवी | प्राधिकरण के बाद कभी नहीं | एन/ए |
| पिन/पिन ब्लॉक | कभी नहीं | एन/ए |
ईकॉमर्स के लिए दायरा कम करने की रणनीतियाँ:
-
होस्ट किए गए भुगतान पृष्ठ का उपयोग करें: ग्राहकों को अपने भुगतान प्रोसेसर के होस्टेड भुगतान पृष्ठ (स्ट्राइप चेकआउट, ब्रेनट्री होस्टेड फील्ड्स, एडयेन ड्रॉप-इन) पर रीडायरेक्ट करें। कोई भी कार्डधारक डेटा आपके सर्वर को नहीं छूता है, और आप SAQ A के लिए अर्हता प्राप्त करते हैं - सबसे सरल स्व-मूल्यांकन प्रश्नावली।
-
टोकनीकरण: प्राधिकरण के तुरंत बाद कार्ड नंबरों को प्रोसेसर-जनरेटेड टोकन से बदलें। केवल टोकन संग्रहीत करें, जो प्रोसेसर के टोकननाइजेशन वॉल्ट तक पहुंच के बिना हमलावरों के लिए बेकार है।
-
iFrame-आधारित भुगतान फॉर्म: भुगतान प्रोसेसर के जावास्क्रिप्ट-रेंडर फॉर्म को अपने चेकआउट पेज के भीतर एम्बेड करें। कार्ड डेटा सीधे प्रोसेसर के डोमेन पर होस्ट किए गए फॉर्म में दर्ज किया जाता है, आपके नहीं।
-
नेटवर्क विभाजन: फ़ायरवॉल का उपयोग करके सीडीई सिस्टम (भुगतान प्रसंस्करण सर्वर, डेटाबेस) को आउट-ऑफ़-स्कोप सिस्टम से अलग करें। उचित रूप से विभाजित नेटवर्क ऑडिट के दायरे को नाटकीय रूप से कम कर देते हैं।
चरण 2 - अपना SAQ प्रकार पहचानें
स्व-मूल्यांकन प्रश्नावली (एसएक्यू) व्यापारियों और सेवा प्रदाताओं के लिए एक सत्यापन उपकरण है, जिन्हें साइट पर मूल्यांकन के लिए योग्य सुरक्षा मूल्यांकनकर्ता (क्यूएसए) की आवश्यकता नहीं होती है। SAQ प्रकार इस बात से निर्धारित होता है कि आप भुगतान कैसे स्वीकार करते हैं:
SAQ A - कार्ड-नॉट-प्रेजेंट (ई-कॉमर्स) व्यापारियों पर लागू होता है जो पीसीआई डीएसएस-अनुपालक तीसरे पक्ष को भुगतान प्रसंस्करण को पूरी तरह से आउटसोर्स करते हैं। आपके सिस्टम या परिसर में कोई भी इलेक्ट्रॉनिक कार्डधारक डेटा संग्रहीत, संसाधित या प्रसारित नहीं किया जाता है। आपका भुगतान पृष्ठ पूरी तरह से आपके भुगतान प्रोसेसर द्वारा वितरित किया जाता है। लगभग 22 आवश्यकताएँ।
SAQ A-EP - उन ई-कॉमर्स व्यापारियों के लिए जो भुगतान प्रसंस्करण को आंशिक रूप से आउटसोर्स करते हैं लेकिन फिर भी उनके पास अपने सर्वर पर एक भुगतान पृष्ठ होस्ट किया गया है, जो एक तृतीय-पक्ष भुगतान आईफ्रेम को एम्बेड करता है। आपका वेब सर्वर अप्रत्यक्ष रूप से भुगतान प्रसंस्करण की सुरक्षा को प्रभावित करता है। SAQ A से अधिक आवश्यकताएँ। नई v4.0 आवश्यकता 6.4.3 से गंभीर रूप से प्रभावित।
SAQ D - उन व्यापारियों के लिए जो किसी अन्य SAQ प्रकार के मानदंडों को पूरा नहीं करते हैं, या जो कार्डधारक डेटा संग्रहीत करते हैं। सभी 12 आवश्यकताओं को शामिल करता है। अपना स्वयं का भुगतान प्रसंस्करण बुनियादी ढांचा चलाने वाले व्यापारियों के लिए आवश्यक है। आमतौर पर ~300+ उप-आवश्यकताएँ।
स्तर स्तर (मास्टरकार्ड/वीज़ा मानक):
| स्तर | वार्षिक लेनदेन | सत्यापन की आवश्यकता |
|---|---|---|
| 1 | 6 मिलियन से अधिक | वार्षिक क्यूएसए ऑन-साइट ऑडिट + त्रैमासिक स्कैन |
| 2 | 1-6 मिलियन | वार्षिक SAQ या QSA + त्रैमासिक स्कैन |
| 3 | 20,000-1 मिलियन (ई-कॉमर्स) | वार्षिक SAQ + त्रैमासिक स्कैन |
| 4 | 20,000 से कम (ई-कॉमर्स) | वार्षिक SAQ (अनुशंसित) + त्रैमासिक स्कैन |
चरण 3 - पीसीआई डीएसएस v4.0 ईकॉमर्स के लिए मुख्य परिवर्तन
PCI DSS v4.0 ने कई आवश्यकताएँ पेश कीं जो विशेष रूप से ईकॉमर्स व्यापारियों को प्रभावित करती हैं। 31 मार्च, 2025 से सभी अनिवार्य थे।
आवश्यकता 6.4.3 — भुगतान पृष्ठ स्क्रिप्ट प्रबंधन
यह आवश्यकता सीधे मैजकार्ट/वेब स्किमिंग हमलों को लक्षित करती है - जहां हमलावर वास्तविक समय में कार्डधारक डेटा चुराने के लिए ईकॉमर्स भुगतान पृष्ठों में दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्ट करते हैं। 6.4.3 के तहत, SAQ A-EP या उच्चतर का उपयोग करने वाले व्यापारियों को यह करना होगा:
- भुगतान पृष्ठों पर निष्पादित करने के लिए अधिकृत सभी स्क्रिप्ट की एक सूची बनाए रखें
- प्रत्येक स्क्रिप्ट की व्यावसायिक या तकनीकी आवश्यकता को उचित ठहराएँ
- प्रत्येक स्क्रिप्ट की अखंडता की पुष्टि करने के लिए एक विधि लागू करें (तीसरे पक्ष की स्क्रिप्ट के लिए सब्रेसोर्स इंटीग्रिटी हैश, या सामग्री सुरक्षा नीति निर्देश)
SAQ A के लिए पूरी तरह से आउटसोर्स किए गए भुगतान पृष्ठ वाले व्यापारियों के लिए, यह आवश्यकता आपके भुगतान प्रोसेसर के पृष्ठों पर लागू होती है - उन्हें आपकी ओर से अनुपालन प्रदर्शित करना होगा।
आवश्यकता 11.6.1 - भुगतान पृष्ठों के लिए परिवर्तन और छेड़छाड़ का पता लगाना
भुगतान पृष्ठों पर HTTP हेडर और स्क्रिप्ट सामग्री में अनधिकृत संशोधनों का पता लगाने के लिए व्यापारियों को एक तंत्र (उदाहरण के लिए, सामग्री सुरक्षा नीति, स्क्रिप्ट निगरानी सेवा) तैनात करना होगा। किसी भी अस्वीकृत परिवर्तन के 7 दिनों के भीतर अलर्ट उत्पन्न होना चाहिए।
आवश्यकता 8.4.2 - सीडीई तक सभी पहुंच के लिए एमएफए
मल्टी-फैक्टर प्रमाणीकरण अब सीडीई तक पहुंच वाले सभी उपयोगकर्ता खातों के लिए आवश्यक है - न कि केवल रिमोट एक्सेस के लिए। इसमें कॉर्पोरेट नेटवर्क के भीतर से उत्पादन भुगतान प्रणालियों तक पहुंचने वाले आंतरिक उपयोगकर्ता शामिल हैं।
आवश्यकता 3.3.1.1 - प्राधिकरण के बाद एसएडी को बरकरार नहीं रखा जा सकता
प्राधिकरण के बाद संवेदनशील प्रमाणीकरण डेटा (पूर्ण ट्रैक डेटा, सीवीवी, पिन) को संग्रहीत करने पर स्पष्ट रूप से प्रतिबंध लगाता है। इसे हमेशा प्रतिबंधित किया गया था, लेकिन अब इसे और अधिक सटीक शब्दों में परिभाषित किया गया है ताकि कुछ सिस्टम डिबग/डायग्नोस्टिक आउटपुट में एसएडी को कैसे लॉग कर सकें, इसकी खामियों को दूर किया जा सके।
लक्षित जोखिम विश्लेषण (टीआरए)
v4.0 लक्षित जोखिम विश्लेषण की अवधारणा का परिचय देता है - व्यापारी कुछ आवश्यकताओं के लिए वैकल्पिक दृष्टिकोण प्रदर्शित कर सकते हैं यदि वे समकक्ष सुरक्षा दिखाते हुए एक दस्तावेजी जोखिम विश्लेषण करते हैं। यह बड़े, अधिक जटिल वातावरण के लिए लचीलापन प्रदान करता है।
चरण 4 - नेटवर्क सुरक्षा वास्तुकला
SAQ A से परे दायरे वाले सिस्टम वाले व्यापारियों के लिए, नेटवर्क सुरक्षा एक मुख्य अनुपालन डोमेन है।
आवश्यकता 1 - नेटवर्क सुरक्षा नियंत्रण स्थापित करें और बनाए रखें:
- अविश्वसनीय नेटवर्क (इंटरनेट) और सीडीई के बीच फ़ायरवॉल लागू करें
- सीडीई और अन्य आंतरिक नेटवर्क (विभाजन) के बीच फ़ायरवॉल लागू करें
- व्यावसायिक औचित्य के साथ सभी फ़ायरवॉल नियमों का दस्तावेज़ीकरण करें
- कम से कम हर 6 महीने में फ़ायरवॉल नियमों की समीक्षा करें
- स्पष्ट रूप से आवश्यक न होने वाले सभी ट्रैफ़िक को अस्वीकार करें (डिफ़ॉल्ट-अस्वीकार मुद्रा)
- ईकॉमर्स के लिए: वेब सर्वर के सामने WAF (वेब एप्लिकेशन फ़ायरवॉल) लागू करें
नेटवर्क विभाजन परीक्षण:
एक आम ग़लतफ़हमी यह है कि नेटवर्क विभाजन स्वचालित रूप से दायरा कम कर देता है। पीसीआई एसएससी के लिए आपको यह परीक्षण करने की आवश्यकता है कि विभाजन प्रभावी है - प्रवेश परीक्षणों में विभाजन सीमा को पार करने के प्रयास शामिल होने चाहिए। यदि कोई प्रवेश परीक्षक आउट-ऑफ़-स्कोप नेटवर्क से सीडीई सिस्टम तक पहुंच सकता है, तो विभाजन प्रभावी नहीं होता है और व्यापक वातावरण दायरे में आता है।
ईकॉमर्स के लिए DMZ आर्किटेक्चर:
Internet → WAF/Load Balancer → DMZ (Web Servers) → Internal Firewall → CDE (Payment Servers, DB) → Internal Network
DMZ में वेब सर्वर आपके स्टोरफ्रंट की सेवा करते हैं। केवल विशिष्ट, प्रलेखित ट्रैफ़िक (HTTPS से भुगतान API, विशिष्ट पोर्ट पर SQL से विशिष्ट DB तक) ही DMZ से CDE तक जाता है। अन्य सभी यातायात अवरुद्ध है.
चरण 5 - एप्लिकेशन सुरक्षा आवश्यकताएँ
आवश्यकता 6 - सुरक्षित सिस्टम और सॉफ्टवेयर का विकास और रखरखाव:
- दायरे में आने वाले सभी कस्टम और तृतीय-पक्ष सॉफ़्टवेयर की एक सूची बनाए रखें
- औपचारिक भेद्यता प्रबंधन प्रक्रिया के भाग के रूप में कमजोरियों को संबोधित करें
- वेब-फेसिंग एप्लिकेशन को ज्ञात हमलों से सुरक्षित रखें (OWASP टॉप 10)
- महत्वपूर्ण परिवर्तनों के उत्पादन परिनियोजन से पहले सुरक्षा कोड समीक्षा या एप्लिकेशन प्रवेश परीक्षण आयोजित करें
- प्रतिबद्ध सुरक्षा पैच प्रक्रियाओं वाले प्रतिष्ठित विक्रेताओं के सॉफ़्टवेयर का ही उपयोग करें
वेब एप्लिकेशन फ़ायरवॉल (WAF) - आवश्यकता 6.3.2 और 6.4.2:
WAF सभी सार्वजनिक-सामना वाले वेब अनुप्रयोगों के लिए अनिवार्य है, जो या तो हमलों को रोकने या अलर्ट उत्पन्न करने और 1 घंटे के भीतर समीक्षा करने के लिए कॉन्फ़िगर किया गया है। ईकॉमर्स के लिए, WAF को इसमें शामिल होना चाहिए:
- एसक्यूएल इंजेक्शन रोकथाम
- क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा
- क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) सुरक्षा
- दुर्भावनापूर्ण बॉट का पता लगाना
- क्रूर बल की रोकथाम के लिए दर सीमित करना
निर्भरता और तृतीय-पक्ष सॉफ़्टवेयर प्रबंधन:
ईकॉमर्स प्लेटफ़ॉर्म (WooCommerce, Magento, Shopify अनुकूलन) प्लगइन्स और एक्सटेंशन पर बहुत अधिक निर्भर करते हैं। दायरे में आने वाले प्रत्येक प्लगइन का सुरक्षा के लिए मूल्यांकन किया जाना चाहिए। एक इन्वेंट्री बनाए रखें और अपने पैचिंग एसएलए के भीतर पैच लागू करें (महत्वपूर्ण: विक्रेता पैच रिलीज से 7 दिन)।
चरण 6 - अभिगम नियंत्रण और प्रमाणीकरण
आवश्यकता 7 - सिस्टम घटकों और कार्डधारक डेटा तक पहुंच प्रतिबंधित करें:
- न्यूनतम विशेषाधिकार के आधार पर भूमिका-आधारित अभिगम नियंत्रण लागू करें
- दस्तावेज़ में स्पष्ट अनुदान के साथ "सभी को अस्वीकार करें" के लिए डिफ़ॉल्ट सभी पहुंच
- कम से कम हर 6 महीने में उपयोगकर्ता पहुंच अधिकारों की समीक्षा करें
आवश्यकता 8 - उपयोगकर्ताओं की पहचान करें और पहुंच प्रमाणित करें:
- सीडीई तक पहुंच रखने वाले प्रत्येक व्यक्ति को एक अद्वितीय आईडी निर्दिष्ट करें
- पासवर्ड न्यूनतम 12 अक्षर (v3.2.1 में 7 से v4.0 वृद्धि), जटिलता आवश्यकताएँ
- अधिकतम 10 अमान्य प्रयासों के बाद खाते लॉक करें (v4.0 डिफ़ॉल्ट, या प्रति टीआरए)
- सीडीई सत्रों के लिए अधिकतम 15 मिनट की निष्क्रियता के बाद सत्र का समय समाप्त
- सभी सीडीई एक्सेस के लिए एमएफए आवश्यक (केवल रिमोट से v4.0 विस्तार)
- सेवा खातों और सिस्टम खातों को उपयोगकर्ता खातों से अलग से प्रबंधित किया जाना चाहिए
चरण 7 - भेद्यता प्रबंधन और परीक्षण
आवश्यकता 11 - सिस्टम और नेटवर्क की सुरक्षा का परीक्षण करें:
त्रैमासिक आंतरिक भेद्यता स्कैन: सभी इन-स्कोप सिस्टम को स्कैन करें। अगले स्कैन से पहले सभी उच्च-गंभीरता और गंभीर कमजोरियों को दूर करें। अनुमोदित उपकरणों (नेसस, क्वालिस, ओपनवीएएस) का उपयोग करके आंतरिक कर्मचारियों द्वारा स्कैन किए जा सकते हैं।
अनुमोदित स्कैनिंग विक्रेता (एएसवी) द्वारा त्रैमासिक बाहरी भेद्यता स्कैन: सभी बाह्य रूप से सुलभ प्रणालियों के बाहरी स्कैन पीसीआई एसएससी-अनुमोदित एएसवी द्वारा आयोजित किए जाने चाहिए। इससे पहले कि आप अनुपालन प्रमाणित कर सकें, स्कैन पास होना चाहिए (कोई खुली उच्च/गंभीर भेद्यता नहीं)।
वार्षिक प्रवेश परीक्षण: एक योग्य आंतरिक संसाधन या प्रतिष्ठित बाहरी फर्म द्वारा संचालित। अवश्य कवर करें:
- सभी इन-स्कोप सिस्टम और नेटवर्क
- विभाजन नियंत्रण (सत्यापित करें कि सीडीई ठीक से पृथक है)
- वेब-फेसिंग अनुप्रयोगों के लिए OWASP शीर्ष 10
- सोशल इंजीनियरिंग (उच्च जोखिम वाले वातावरण के लिए)
सभी प्रवेश परीक्षण निष्कर्षों का समाधान करें और सुधार की पुष्टि के लिए सत्यापन परीक्षण करें।
फ़ाइल इंटीग्रिटी मॉनिटरिंग (FIM): सभी महत्वपूर्ण सिस्टम फ़ाइलों, कॉन्फ़िगरेशन फ़ाइलों और सामग्री फ़ाइलों पर FIM तैनात करें। किसी भी अनधिकृत परिवर्तन के बारे में 1 घंटे (v4.0) के भीतर अलर्ट करें।
ईकॉमर्स के लिए पीसीआई डीएसएस अनुपालन चेकलिस्ट
- भुगतान प्रसंस्करण का दायरा परिभाषित और कम किया गया (होस्ट किया गया भुगतान पृष्ठ या जहां संभव हो वहां टोकन का उपयोग किया गया)
- भुगतान स्वीकृति पद्धति के आधार पर SAQ प्रकार की पहचान की गई
- नेटवर्क विभाजन कार्यान्वित और प्रलेखित
- कार्डधारक डेटा इन्वेंट्री पूरी हो गई - कहीं भी कोई एसएडी संग्रहीत नहीं है
- सभी कार्डधारक डेटा भंडारण एन्क्रिप्टेड (एईएस-256 या समकक्ष)
- सभी भुगतान डेटा ट्रांसमिशन के लिए टीएलएस 1.2+ लागू किया गया
- भुगतान पृष्ठ स्क्रिप्ट सूची प्रलेखित (आवश्यकता 6.4.3)
- भुगतान पृष्ठों पर परिवर्तन/छेड़छाड़ का पता लगाया गया (आवश्यकता 11.6.1)
- WAF को सभी सार्वजनिक-सामना वाले वेब अनुप्रयोगों के सामने तैनात किया गया है
- सभी सीडीई एक्सेस के लिए एमएफए लागू (आवश्यकता 8.4.2)
- अद्वितीय उपयोगकर्ता आईडी, मजबूत पासवर्ड, खाता लॉकआउट कॉन्फ़िगर किया गया
- त्रैमासिक भेद्यता स्कैन (आंतरिक + एएसवी बाहरी) पूरा हो गया
- वार्षिक प्रवेश परीक्षण पूरा हुआ, निष्कर्षों का समाधान किया गया
- सीडीई सिस्टम पर फ़ाइल अखंडता निगरानी तैनात की गई
- पिछले 6 महीनों के भीतर फ़ायरवॉल नियमों की समीक्षा की गई
- सभी सीडीई-टचिंग स्टाफ के लिए सुरक्षा जागरूकता प्रशिक्षण पूरा हो गया
- घटना प्रतिक्रिया योजना भुगतान कार्ड उल्लंघन परिदृश्यों को कवर करती है
- विक्रेता/सेवा प्रदाता पीसीआई डीएसएस अनुपालन सत्यापित
अक्सर पूछे जाने वाले प्रश्न
हम अपने स्टोर के लिए Shopify का उपयोग करते हैं - क्या हमें अभी भी PCI DSS अनुपालन की आवश्यकता है?
Shopify एक PCI DSS लेवल 1 प्रमाणित सेवा प्रदाता है। यदि आप Shopify के मानक भुगतान प्रसंस्करण (Shopify Payments या Shopify-होस्टेड चेकआउट) का उपयोग करते हैं, तो आपका अनुपालन दायरा नाटकीय रूप से कम हो जाता है। आपके पास अभी भी दायित्व हैं - मुख्य रूप से SAQ A - Shopify की सेवाओं के आपके उपयोग को कवर करना। यदि आप अपने Shopify चेकआउट में कस्टम जावास्क्रिप्ट जोड़ते हैं या तीसरे पक्ष के भुगतान ऐप्स का उपयोग करते हैं जो Shopify के वातावरण के बाहर कार्ड डेटा संसाधित करते हैं, तो दायरा बढ़ता है।
पीसीआई डीएसएस अनुपालन और पीसीआई डीएसएस प्रमाणन के बीच क्या अंतर है?
व्यापारियों के लिए कोई औपचारिक "पीसीआई डीएसएस प्रमाणीकरण" नहीं है। व्यापारी स्व-मूल्यांकन प्रश्नावली के माध्यम से या (स्तर 1 व्यापारी) क्यूएसए द्वारा आयोजित अनुपालन रिपोर्ट (आरओसी) के माध्यम से अनुपालन को प्रमाणित करते हैं। सेवा प्रदाताओं को वीज़ा की सेवा प्रदाताओं की वैश्विक रजिस्ट्री पर सूचीबद्ध किया जा सकता है। "प्रमाणित" और "अनुपालक" शब्द अक्सर बाज़ार संचार में एक दूसरे के स्थान पर उपयोग किए जाते हैं, लेकिन तकनीकी रूप से व्यापारी स्व-सत्यापित होते हैं या उनके पास QSA-प्रमाणित अनुपालन होता है।
अनुपालन न करने पर व्यापारियों को क्या दंड भुगतना पड़ता है?
जुर्माना सीधे पीसीआई एसएससी से नहीं लगता है - वे अधिग्रहण करने वाले बैंकों के माध्यम से कार्ड ब्रांडों से आते हैं। व्यापारी स्तर और गैर-अनुपालन की अवधि के आधार पर मासिक जुर्माना आम तौर पर $5,000-$100,000 तक होता है। उल्लंघन के बाद, कार्ड ब्रांड प्रति-कार्ड जुर्माना ($50-$90 प्रति वीज़ा कार्ड, मास्टरकार्ड के समान), फोरेंसिक जांच लागत ($20,000-$200,000+), और अनिवार्य कार्ड पुनः जारी करने की लागत लगा सकते हैं। गंभीर मामलों में, व्यापारी पूरी तरह से कार्ड से भुगतान स्वीकार करने की क्षमता खो देते हैं। बार-बार उल्लंघन करने वाले या बड़े उल्लंघन प्रभाव वाले व्यापारियों को उच्चतम दंड का सामना करना पड़ता है।
मैजकार्ट हमला क्या है और पीसीआई डीएसएस v4.0 इसे कैसे संबोधित करता है?
मैजकार्ट उन हमलों को संदर्भित करता है जहां दुर्भावनापूर्ण जावास्क्रिप्ट को ग्राहकों द्वारा टाइप किए जाने पर वास्तविक समय में कार्डधारक डेटा को इंटरसेप्ट करने के लिए ईकॉमर्स चेकआउट पेजों में इंजेक्ट किया जाता है। ये हमले तृतीय-पक्ष स्क्रिप्ट (एनालिटिक्स, चैट विजेट, टैग मैनेजर) का शोषण करते हैं जिन्हें व्यापारी भुगतान पृष्ठों पर शामिल करते हैं। PCI DSS v4.0 आवश्यकताएँ 6.4.3 और 11.6.1 सीधे इसे संबोधित करते हैं: व्यापारियों को भुगतान पृष्ठों पर सभी स्क्रिप्ट की अखंडता को सूचीबद्ध और सत्यापित करना होगा, और भुगतान पृष्ठ कोड में अनधिकृत परिवर्तनों का पता लगाने के लिए निगरानी तैनात करनी होगी।
हम हेडलेस ईकॉमर्स आर्किटेक्चर के लिए पीसीआई डीएसएस को कैसे संभाल सकते हैं?
हेडलेस ईकॉमर्स फ्रंटएंड प्रेजेंटेशन लेयर को बैकएंड कॉमर्स इंजन से अलग करता है। पीसीआई डीएसएस उद्देश्यों के लिए, यह मायने रखता है कि कार्डधारक डेटा कहाँ प्रवाहित होता है। यदि आपका हेडलेस फ्रंटएंड स्ट्राइप एलिमेंट्स या समान आईफ्रेम-आधारित समाधान का उपयोग करता है, तो कार्ड डेटा आपके फ्रंटएंड सर्वर को छुए बिना ब्राउज़र से सीधे भुगतान प्रोसेसर तक जाता है - यह SAQ A क्षेत्र है। यदि आपके हेडलेस आर्किटेक्चर में कस्टम सर्वर-साइड भुगतान प्रसंस्करण शामिल है, तो दायरा काफी बढ़ जाता है और आपको दायरे के मार्गदर्शन के लिए क्यूएसए संलग्न करना चाहिए।
क्या हमें अपने पीसीआई डीएसएस मूल्यांकन के लिए क्यूएसए की आवश्यकता है?
केवल लेवल 1 व्यापारियों (वीज़ा/मास्टरकार्ड के लिए 6 मिलियन से अधिक लेनदेन/वर्ष) को अनुपालन पर वार्षिक रिपोर्ट (आरओसी) के लिए क्यूएसए संलग्न करने की आवश्यकता होती है। स्तर 2-4 के व्यापारी SAQ के माध्यम से स्व-सत्यापित कर सकते हैं। हालाँकि, कई व्यापारी आवश्यकता न होने पर भी मार्गदर्शन के लिए स्वेच्छा से QSA या क्वालिफाइड सिक्योरिटी एसेसर कंपनी (QSAC) को नियुक्त करते हैं, खासकर जब वे अपने दायरे के बारे में अनिश्चित होते हैं या उनके पास जटिल बुनियादी ढांचा होता है।
अगले चरण
पीसीआई डीएसएस अनुपालन आपके ग्राहकों के भुगतान डेटा की सुरक्षा करता है, आपके दायित्व जोखिम को सीमित करता है, और कार्ड स्वीकृति बनाए रखने के लिए एक शर्त है। शॉपिफाई या कस्टम प्लेटफॉर्म पर ईकॉमर्स व्यवसायों के लिए, पहला कदम हमेशा गुंजाइश कम करना होता है - होस्ट किए गए भुगतान पृष्ठों के उचित उपयोग के माध्यम से एसएक्यू ए तक पहुंचना सबसे तेज़ और सबसे अधिक लागत प्रभावी मार्ग है।
ECOSIRE की ईकॉमर्स कार्यान्वयन टीम के पास PCI DSS-अनुपालक Shopify स्टोर और कस्टम कॉमर्स प्लेटफ़ॉर्म बनाने का व्यापक अनुभव है, जिसमें CDE के दायरे को कम करने के लिए भुगतान वास्तुकला को जमीनी स्तर से डिज़ाइन किया गया है।
आरंभ करें: ECOSIRE Shopify Services
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और यह कानूनी या अनुपालन सलाह नहीं है। पीसीआई डीएसएस आवश्यकताएँ कार्ड ब्रांड और अधिग्रहणकर्ता के अनुसार बदल और भिन्न हो सकती हैं। अपने परिवेश के लिए विशिष्ट अनुपालन मार्गदर्शन के लिए एक QSA संलग्न करें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
अपने शॉपिफाई स्टोर को स्केल करें
उच्च विकास वाले ईकॉमर्स के लिए कस्टम विकास, अनुकूलन और माइग्रेशन सेवाएं।
संबंधित लेख
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
Power BI Row-Level Security: Dynamic vs Static Patterns
Power BI RLS deep dive: static vs dynamic roles, USERPRINCIPALNAME patterns, security tables, manager hierarchies, RLS testing, and embedded RLS for SaaS.
Shopify Payment Gateways by Country 2026: US, EU, India, MENA, LATAM
Complete guide to Shopify payment gateways by country: Shopify Payments, Stripe, Razorpay, Mercado Pago, Tap, PayMob, fees, eligibility, payout timelines.
Compliance & Regulation से और अधिक
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.