ईकॉमर्स के लिए पीसीआई डीएसएस अनुपालन: भुगतान सुरक्षा गाइड

प्रत्येक ईकॉमर्स लेनदेन जिसमें भुगतान कार्ड शामिल होता है, पीसीआई डीएसएस - भुगतान कार्ड उद्योग डेटा सुरक्षा मानक के तहत एक अनुपालन दायित्व बनाता है। गैर-अनुपालन सैद्धांतिक जोखिम नहीं है: कार्ड ब्रांड (वीज़ा, मास्टरकार्ड, एमेक्स) अधिग्रहण करने वाले बैंकों पर $5,000-$100,000 प्रति माह का जुर्माना लगा सकते हैं, जो अपने भुगतान प्रसंस्करण समझौतों के माध्यम से सीधे व्यापारियों को दायित्व हस्तांतरित करते हैं। उल्लंघन के बाद, गैर-अनुपालन करने वाले व्यापारियों को प्रति कार्ड समझौता किए गए $50-$90 का जुर्माना, कार्ड ब्रांड फोरेंसिक जांच लागत, और - सबसे गंभीर मामलों में - उनके व्यापारी खाते की समाप्ति का सामना करना पड़ता है।

मार्च 2025 से अनिवार्य अनुपालन के साथ मार्च 2022 को जारी पीसीआई डीएसएस v4.0 ने क्रिप्टोग्राफ़िक आवश्यकताओं, प्रमाणीकरण मानकों और भुगतान पृष्ठों पर स्क्रिप्ट के प्रबंधन में महत्वपूर्ण बदलाव पेश किए। यह मार्गदर्शिका ईकॉमर्स टीमों को संपूर्ण कार्यान्वयन रोडमैप देती है।

मुख्य बातें

• PCI DSS v4.0 31 मार्च, 2025 तक अनिवार्य है - सभी ईकॉमर्स व्यापारियों को नए संस्करण के अनुरूप होना चाहिए
• स्कोपिंग सबसे महत्वपूर्ण पहला कदम है: जितना संभव हो सके अपने कार्डधारक डेटा वातावरण (सीडीई) को कम करें
• भुगतान प्रोसेसर के होस्ट किए गए भुगतान पृष्ठ (स्ट्राइप, ब्रेनट्री, एडयेन) का उपयोग करने से दायरा नाटकीय रूप से कम हो जाता है
• SAQ A अधिकांश होस्टेड-भुगतान-पेज व्यापारियों पर लागू होता है - लेकिन केवल तभी जब कोई कार्डधारक डेटा आपके सर्वर को नहीं छूता है
• नई v4.0 आवश्यकताओं में सभी सीडीई एक्सेस के लिए एमएफए, भुगतान पृष्ठों पर स्क्रिप्ट अखंडता नियंत्रण और लक्षित जोखिम विश्लेषण शामिल हैं
• वेब स्किमिंग (मेजकार्ट हमले) को भुगतान पृष्ठ स्क्रिप्ट इन्वेंट्री पर नई आवश्यकता 6.4.3 द्वारा संबोधित किया गया है
• वार्षिक प्रवेश परीक्षण और त्रैमासिक भेद्यता स्कैन अनिवार्य रहेंगे
• गैर-अनुपालन दंड कार्ड ब्रांडों → अधिग्रहण करने वाले बैंकों → व्यापारियों से पारित किया जाता है

---

पीसीआई डीएसएस फ्रेमवर्क बुनियादी बातें

पीसीआई डीएसएस का रखरखाव भुगतान कार्ड उद्योग सुरक्षा मानक परिषद (पीसीआई एसएससी) द्वारा किया जाता है, जो अमेरिकन एक्सप्रेस, डिस्कवर, जेसीबी, मास्टरकार्ड और वीज़ा द्वारा स्थापित एक निकाय है। वर्तमान मानक PCI DSS v4.0 है।

मानक को 6 लक्ष्यों में 12 आवश्यकताओं में व्यवस्थित किया गया है:

अनुपालन किसी भी इकाई पर लागू होता है जो कार्डधारक डेटा को संग्रहीत, संसाधित या प्रसारित करता है - या कार्डधारक डेटा की सुरक्षा को प्रभावित कर सकता है। इसमें व्यापारी, भुगतान प्रोसेसर, अधिग्रहणकर्ता, जारीकर्ता और सेवा प्रदाता शामिल हैं।

---

चरण 1 - अपना दायरा परिभाषित करें और कम करें

कार्डधारक डेटा वातावरण (सीडीई) कोई भी प्रणाली है जो कार्डधारक डेटा (सीएचडी) या संवेदनशील प्रमाणीकरण डेटा (एसएडी) को संग्रहीत, संसाधित या प्रसारित करती है। दायरा कम करना सबसे प्रभावशाली कदम है जो आप उठा सकते हैं।

कार्डधारक डेटा बनाम संवेदनशील प्रमाणीकरण डेटा:

ईकॉमर्स के लिए दायरा कम करने की रणनीतियाँ:

1. होस्ट किए गए भुगतान पृष्ठ का उपयोग करें: ग्राहकों को अपने भुगतान प्रोसेसर के होस्टेड भुगतान पृष्ठ (स्ट्राइप चेकआउट, ब्रेनट्री होस्टेड फील्ड्स, एडयेन ड्रॉप-इन) पर रीडायरेक्ट करें। कोई भी कार्डधारक डेटा आपके सर्वर को नहीं छूता है, और आप SAQ A के लिए अर्हता प्राप्त करते हैं - सबसे सरल स्व-मूल्यांकन प्रश्नावली।

2. टोकनीकरण: प्राधिकरण के तुरंत बाद कार्ड नंबरों को प्रोसेसर-जनरेटेड टोकन से बदलें। केवल टोकन संग्रहीत करें, जो प्रोसेसर के टोकननाइजेशन वॉल्ट तक पहुंच के बिना हमलावरों के लिए बेकार है।

3. iFrame-आधारित भुगतान फॉर्म: भुगतान प्रोसेसर के जावास्क्रिप्ट-रेंडर फॉर्म को अपने चेकआउट पेज के भीतर एम्बेड करें। कार्ड डेटा सीधे प्रोसेसर के डोमेन पर होस्ट किए गए फॉर्म में दर्ज किया जाता है, आपके नहीं।

4. नेटवर्क विभाजन: फ़ायरवॉल का उपयोग करके सीडीई सिस्टम (भुगतान प्रसंस्करण सर्वर, डेटाबेस) को आउट-ऑफ़-स्कोप सिस्टम से अलग करें। उचित रूप से विभाजित नेटवर्क ऑडिट के दायरे को नाटकीय रूप से कम कर देते हैं।

---

चरण 2 - अपना SAQ प्रकार पहचानें

स्व-मूल्यांकन प्रश्नावली (एसएक्यू) व्यापारियों और सेवा प्रदाताओं के लिए एक सत्यापन उपकरण है, जिन्हें साइट पर मूल्यांकन के लिए योग्य सुरक्षा मूल्यांकनकर्ता (क्यूएसए) की आवश्यकता नहीं होती है। SAQ प्रकार इस बात से निर्धारित होता है कि आप भुगतान कैसे स्वीकार करते हैं:

SAQ A - कार्ड-नॉट-प्रेजेंट (ई-कॉमर्स) व्यापारियों पर लागू होता है जो पीसीआई डीएसएस-अनुपालक तीसरे पक्ष को भुगतान प्रसंस्करण को पूरी तरह से आउटसोर्स करते हैं। आपके सिस्टम या परिसर में कोई भी इलेक्ट्रॉनिक कार्डधारक डेटा संग्रहीत, संसाधित या प्रसारित नहीं किया जाता है। आपका भुगतान पृष्ठ पूरी तरह से आपके भुगतान प्रोसेसर द्वारा वितरित किया जाता है। लगभग 22 आवश्यकताएँ।

SAQ A-EP - उन ई-कॉमर्स व्यापारियों के लिए जो भुगतान प्रसंस्करण को आंशिक रूप से आउटसोर्स करते हैं लेकिन फिर भी उनके पास अपने सर्वर पर एक भुगतान पृष्ठ होस्ट किया गया है, जो एक तृतीय-पक्ष भुगतान आईफ्रेम को एम्बेड करता है। आपका वेब सर्वर अप्रत्यक्ष रूप से भुगतान प्रसंस्करण की सुरक्षा को प्रभावित करता है। SAQ A से अधिक आवश्यकताएँ। नई v4.0 आवश्यकता 6.4.3 से गंभीर रूप से प्रभावित।

SAQ D - उन व्यापारियों के लिए जो किसी अन्य SAQ प्रकार के मानदंडों को पूरा नहीं करते हैं, या जो कार्डधारक डेटा संग्रहीत करते हैं। सभी 12 आवश्यकताओं को शामिल करता है। अपना स्वयं का भुगतान प्रसंस्करण बुनियादी ढांचा चलाने वाले व्यापारियों के लिए आवश्यक है। आमतौर पर ~300+ उप-आवश्यकताएँ।

स्तर स्तर (मास्टरकार्ड/वीज़ा मानक):

---

चरण 3 - पीसीआई डीएसएस v4.0 ईकॉमर्स के लिए मुख्य परिवर्तन

PCI DSS v4.0 ने कई आवश्यकताएँ पेश कीं जो विशेष रूप से ईकॉमर्स व्यापारियों को प्रभावित करती हैं। 31 मार्च, 2025 से सभी अनिवार्य थे।

आवश्यकता 6.4.3 — भुगतान पृष्ठ स्क्रिप्ट प्रबंधन

यह आवश्यकता सीधे मैजकार्ट/वेब स्किमिंग हमलों को लक्षित करती है - जहां हमलावर वास्तविक समय में कार्डधारक डेटा चुराने के लिए ईकॉमर्स भुगतान पृष्ठों में दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्ट करते हैं। 6.4.3 के तहत, SAQ A-EP या उच्चतर का उपयोग करने वाले व्यापारियों को यह करना होगा:

• भुगतान पृष्ठों पर निष्पादित करने के लिए अधिकृत सभी स्क्रिप्ट की एक सूची बनाए रखें
• प्रत्येक स्क्रिप्ट की व्यावसायिक या तकनीकी आवश्यकता को उचित ठहराएँ
• प्रत्येक स्क्रिप्ट की अखंडता की पुष्टि करने के लिए एक विधि लागू करें (तीसरे पक्ष की स्क्रिप्ट के लिए सब्रेसोर्स इंटीग्रिटी हैश, या सामग्री सुरक्षा नीति निर्देश)

SAQ A के लिए पूरी तरह से आउटसोर्स किए गए भुगतान पृष्ठ वाले व्यापारियों के लिए, यह आवश्यकता आपके भुगतान प्रोसेसर के पृष्ठों पर लागू होती है - उन्हें आपकी ओर से अनुपालन प्रदर्शित करना होगा।

आवश्यकता 11.6.1 - भुगतान पृष्ठों के लिए परिवर्तन और छेड़छाड़ का पता लगाना

भुगतान पृष्ठों पर HTTP हेडर और स्क्रिप्ट सामग्री में अनधिकृत संशोधनों का पता लगाने के लिए व्यापारियों को एक तंत्र (उदाहरण के लिए, सामग्री सुरक्षा नीति, स्क्रिप्ट निगरानी सेवा) तैनात करना होगा। किसी भी अस्वीकृत परिवर्तन के 7 दिनों के भीतर अलर्ट उत्पन्न होना चाहिए।

आवश्यकता 8.4.2 - सीडीई तक सभी पहुंच के लिए एमएफए

मल्टी-फैक्टर प्रमाणीकरण अब सीडीई तक पहुंच वाले सभी उपयोगकर्ता खातों के लिए आवश्यक है - न कि केवल रिमोट एक्सेस के लिए। इसमें कॉर्पोरेट नेटवर्क के भीतर से उत्पादन भुगतान प्रणालियों तक पहुंचने वाले आंतरिक उपयोगकर्ता शामिल हैं।

आवश्यकता 3.3.1.1 - प्राधिकरण के बाद एसएडी को बरकरार नहीं रखा जा सकता

प्राधिकरण के बाद संवेदनशील प्रमाणीकरण डेटा (पूर्ण ट्रैक डेटा, सीवीवी, पिन) को संग्रहीत करने पर स्पष्ट रूप से प्रतिबंध लगाता है। इसे हमेशा प्रतिबंधित किया गया था, लेकिन अब इसे और अधिक सटीक शब्दों में परिभाषित किया गया है ताकि कुछ सिस्टम डिबग/डायग्नोस्टिक आउटपुट में एसएडी को कैसे लॉग कर सकें, इसकी खामियों को दूर किया जा सके।

लक्षित जोखिम विश्लेषण (टीआरए)

v4.0 लक्षित जोखिम विश्लेषण की अवधारणा का परिचय देता है - व्यापारी कुछ आवश्यकताओं के लिए वैकल्पिक दृष्टिकोण प्रदर्शित कर सकते हैं यदि वे समकक्ष सुरक्षा दिखाते हुए एक दस्तावेजी जोखिम विश्लेषण करते हैं। यह बड़े, अधिक जटिल वातावरण के लिए लचीलापन प्रदान करता है।

---

चरण 4 - नेटवर्क सुरक्षा वास्तुकला

SAQ A से परे दायरे वाले सिस्टम वाले व्यापारियों के लिए, नेटवर्क सुरक्षा एक मुख्य अनुपालन डोमेन है।

आवश्यकता 1 - नेटवर्क सुरक्षा नियंत्रण स्थापित करें और बनाए रखें:

• अविश्वसनीय नेटवर्क (इंटरनेट) और सीडीई के बीच फ़ायरवॉल लागू करें
• सीडीई और अन्य आंतरिक नेटवर्क (विभाजन) के बीच फ़ायरवॉल लागू करें
• व्यावसायिक औचित्य के साथ सभी फ़ायरवॉल नियमों का दस्तावेज़ीकरण करें
• कम से कम हर 6 महीने में फ़ायरवॉल नियमों की समीक्षा करें
• स्पष्ट रूप से आवश्यक न होने वाले सभी ट्रैफ़िक को अस्वीकार करें (डिफ़ॉल्ट-अस्वीकार मुद्रा)
• ईकॉमर्स के लिए: वेब सर्वर के सामने WAF (वेब एप्लिकेशन फ़ायरवॉल) लागू करें

नेटवर्क विभाजन परीक्षण:

एक आम ग़लतफ़हमी यह है कि नेटवर्क विभाजन स्वचालित रूप से दायरा कम कर देता है। पीसीआई एसएससी के लिए आपको यह परीक्षण करने की आवश्यकता है कि विभाजन प्रभावी है - प्रवेश परीक्षणों में विभाजन सीमा को पार करने के प्रयास शामिल होने चाहिए। यदि कोई प्रवेश परीक्षक आउट-ऑफ़-स्कोप नेटवर्क से सीडीई सिस्टम तक पहुंच सकता है, तो विभाजन प्रभावी नहीं होता है और व्यापक वातावरण दायरे में आता है।

ईकॉमर्स के लिए DMZ आर्किटेक्चर:

Internet → WAF/Load Balancer → DMZ (Web Servers) → Internal Firewall → CDE (Payment Servers, DB) → Internal Network

DMZ में वेब सर्वर आपके स्टोरफ्रंट की सेवा करते हैं। केवल विशिष्ट, प्रलेखित ट्रैफ़िक (HTTPS से भुगतान API, विशिष्ट पोर्ट पर SQL से विशिष्ट DB तक) ही DMZ से CDE तक जाता है। अन्य सभी यातायात अवरुद्ध है.

---

चरण 5 - एप्लिकेशन सुरक्षा आवश्यकताएँ

आवश्यकता 6 - सुरक्षित सिस्टम और सॉफ्टवेयर का विकास और रखरखाव:

• दायरे में आने वाले सभी कस्टम और तृतीय-पक्ष सॉफ़्टवेयर की एक सूची बनाए रखें
• औपचारिक भेद्यता प्रबंधन प्रक्रिया के भाग के रूप में कमजोरियों को संबोधित करें
• वेब-फेसिंग एप्लिकेशन को ज्ञात हमलों से सुरक्षित रखें (OWASP टॉप 10)
• महत्वपूर्ण परिवर्तनों के उत्पादन परिनियोजन से पहले सुरक्षा कोड समीक्षा या एप्लिकेशन प्रवेश परीक्षण आयोजित करें
• प्रतिबद्ध सुरक्षा पैच प्रक्रियाओं वाले प्रतिष्ठित विक्रेताओं के सॉफ़्टवेयर का ही उपयोग करें

वेब एप्लिकेशन फ़ायरवॉल (WAF) - आवश्यकता 6.3.2 और 6.4.2:

WAF सभी सार्वजनिक-सामना वाले वेब अनुप्रयोगों के लिए अनिवार्य है, जो या तो हमलों को रोकने या अलर्ट उत्पन्न करने और 1 घंटे के भीतर समीक्षा करने के लिए कॉन्फ़िगर किया गया है। ईकॉमर्स के लिए, WAF को इसमें शामिल होना चाहिए:

• एसक्यूएल इंजेक्शन रोकथाम
• क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा
• क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) सुरक्षा
• दुर्भावनापूर्ण बॉट का पता लगाना
• क्रूर बल की रोकथाम के लिए दर सीमित करना

निर्भरता और तृतीय-पक्ष सॉफ़्टवेयर प्रबंधन:

ईकॉमर्स प्लेटफ़ॉर्म (WooCommerce, Magento, Shopify अनुकूलन) प्लगइन्स और एक्सटेंशन पर बहुत अधिक निर्भर करते हैं। दायरे में आने वाले प्रत्येक प्लगइन का सुरक्षा के लिए मूल्यांकन किया जाना चाहिए। एक इन्वेंट्री बनाए रखें और अपने पैचिंग एसएलए के भीतर पैच लागू करें (महत्वपूर्ण: विक्रेता पैच रिलीज से 7 दिन)।

---

चरण 6 - अभिगम नियंत्रण और प्रमाणीकरण

आवश्यकता 7 - सिस्टम घटकों और कार्डधारक डेटा तक पहुंच प्रतिबंधित करें:

• न्यूनतम विशेषाधिकार के आधार पर भूमिका-आधारित अभिगम नियंत्रण लागू करें
• दस्तावेज़ में स्पष्ट अनुदान के साथ "सभी को अस्वीकार करें" के लिए डिफ़ॉल्ट सभी पहुंच
• कम से कम हर 6 महीने में उपयोगकर्ता पहुंच अधिकारों की समीक्षा करें

आवश्यकता 8 - उपयोगकर्ताओं की पहचान करें और पहुंच प्रमाणित करें:

• सीडीई तक पहुंच रखने वाले प्रत्येक व्यक्ति को एक अद्वितीय आईडी निर्दिष्ट करें
• पासवर्ड न्यूनतम 12 अक्षर (v3.2.1 में 7 से v4.0 वृद्धि), जटिलता आवश्यकताएँ
• अधिकतम 10 अमान्य प्रयासों के बाद खाते लॉक करें (v4.0 डिफ़ॉल्ट, या प्रति टीआरए)
• सीडीई सत्रों के लिए अधिकतम 15 मिनट की निष्क्रियता के बाद सत्र का समय समाप्त
• सभी सीडीई एक्सेस के लिए एमएफए आवश्यक (केवल रिमोट से v4.0 विस्तार)
• सेवा खातों और सिस्टम खातों को उपयोगकर्ता खातों से अलग से प्रबंधित किया जाना चाहिए

---

चरण 7 - भेद्यता प्रबंधन और परीक्षण

आवश्यकता 11 - सिस्टम और नेटवर्क की सुरक्षा का परीक्षण करें:

त्रैमासिक आंतरिक भेद्यता स्कैन: सभी इन-स्कोप सिस्टम को स्कैन करें। अगले स्कैन से पहले सभी उच्च-गंभीरता और गंभीर कमजोरियों को दूर करें। अनुमोदित उपकरणों (नेसस, क्वालिस, ओपनवीएएस) का उपयोग करके आंतरिक कर्मचारियों द्वारा स्कैन किए जा सकते हैं।

अनुमोदित स्कैनिंग विक्रेता (एएसवी) द्वारा त्रैमासिक बाहरी भेद्यता स्कैन: सभी बाह्य रूप से सुलभ प्रणालियों के बाहरी स्कैन पीसीआई एसएससी-अनुमोदित एएसवी द्वारा आयोजित किए जाने चाहिए। इससे पहले कि आप अनुपालन प्रमाणित कर सकें, स्कैन पास होना चाहिए (कोई खुली उच्च/गंभीर भेद्यता नहीं)।

वार्षिक प्रवेश परीक्षण: एक योग्य आंतरिक संसाधन या प्रतिष्ठित बाहरी फर्म द्वारा संचालित। अवश्य कवर करें:

• सभी इन-स्कोप सिस्टम और नेटवर्क
• विभाजन नियंत्रण (सत्यापित करें कि सीडीई ठीक से पृथक है)
• वेब-फेसिंग अनुप्रयोगों के लिए OWASP शीर्ष 10
• सोशल इंजीनियरिंग (उच्च जोखिम वाले वातावरण के लिए)

सभी प्रवेश परीक्षण निष्कर्षों का समाधान करें और सुधार की पुष्टि के लिए सत्यापन परीक्षण करें।

फ़ाइल इंटीग्रिटी मॉनिटरिंग (FIM): सभी महत्वपूर्ण सिस्टम फ़ाइलों, कॉन्फ़िगरेशन फ़ाइलों और सामग्री फ़ाइलों पर FIM तैनात करें। किसी भी अनधिकृत परिवर्तन के बारे में 1 घंटे (v4.0) के भीतर अलर्ट करें।

---

ईकॉमर्स के लिए पीसीआई डीएसएस अनुपालन चेकलिस्ट

• भुगतान प्रसंस्करण का दायरा परिभाषित और कम किया गया (होस्ट किया गया भुगतान पृष्ठ या जहां संभव हो वहां टोकन का उपयोग किया गया)
• भुगतान स्वीकृति पद्धति के आधार पर SAQ प्रकार की पहचान की गई
• नेटवर्क विभाजन कार्यान्वित और प्रलेखित
• कार्डधारक डेटा इन्वेंट्री पूरी हो गई - कहीं भी कोई एसएडी संग्रहीत नहीं है
• सभी कार्डधारक डेटा भंडारण एन्क्रिप्टेड (एईएस-256 या समकक्ष)
• सभी भुगतान डेटा ट्रांसमिशन के लिए टीएलएस 1.2+ लागू किया गया
• भुगतान पृष्ठ स्क्रिप्ट सूची प्रलेखित (आवश्यकता 6.4.3)
• भुगतान पृष्ठों पर परिवर्तन/छेड़छाड़ का पता लगाया गया (आवश्यकता 11.6.1)
• WAF को सभी सार्वजनिक-सामना वाले वेब अनुप्रयोगों के सामने तैनात किया गया है
• सभी सीडीई एक्सेस के लिए एमएफए लागू (आवश्यकता 8.4.2)
• अद्वितीय उपयोगकर्ता आईडी, मजबूत पासवर्ड, खाता लॉकआउट कॉन्फ़िगर किया गया
• त्रैमासिक भेद्यता स्कैन (आंतरिक + एएसवी बाहरी) पूरा हो गया
• वार्षिक प्रवेश परीक्षण पूरा हुआ, निष्कर्षों का समाधान किया गया
• सीडीई सिस्टम पर फ़ाइल अखंडता निगरानी तैनात की गई
• पिछले 6 महीनों के भीतर फ़ायरवॉल नियमों की समीक्षा की गई
• सभी सीडीई-टचिंग स्टाफ के लिए सुरक्षा जागरूकता प्रशिक्षण पूरा हो गया
• घटना प्रतिक्रिया योजना भुगतान कार्ड उल्लंघन परिदृश्यों को कवर करती है
• विक्रेता/सेवा प्रदाता पीसीआई डीएसएस अनुपालन सत्यापित

---

अक्सर पूछे जाने वाले प्रश्न

हम अपने स्टोर के लिए Shopify का उपयोग करते हैं - क्या हमें अभी भी PCI DSS अनुपालन की आवश्यकता है?

Shopify एक PCI DSS लेवल 1 प्रमाणित सेवा प्रदाता है। यदि आप Shopify के मानक भुगतान प्रसंस्करण (Shopify Payments या Shopify-होस्टेड चेकआउट) का उपयोग करते हैं, तो आपका अनुपालन दायरा नाटकीय रूप से कम हो जाता है। आपके पास अभी भी दायित्व हैं - मुख्य रूप से SAQ A - Shopify की सेवाओं के आपके उपयोग को कवर करना। यदि आप अपने Shopify चेकआउट में कस्टम जावास्क्रिप्ट जोड़ते हैं या तीसरे पक्ष के भुगतान ऐप्स का उपयोग करते हैं जो Shopify के वातावरण के बाहर कार्ड डेटा संसाधित करते हैं, तो दायरा बढ़ता है।

पीसीआई डीएसएस अनुपालन और पीसीआई डीएसएस प्रमाणन के बीच क्या अंतर है?

व्यापारियों के लिए कोई औपचारिक "पीसीआई डीएसएस प्रमाणीकरण" नहीं है। व्यापारी स्व-मूल्यांकन प्रश्नावली के माध्यम से या (स्तर 1 व्यापारी) क्यूएसए द्वारा आयोजित अनुपालन रिपोर्ट (आरओसी) के माध्यम से अनुपालन को प्रमाणित करते हैं। सेवा प्रदाताओं को वीज़ा की सेवा प्रदाताओं की वैश्विक रजिस्ट्री पर सूचीबद्ध किया जा सकता है। "प्रमाणित" और "अनुपालक" शब्द अक्सर बाज़ार संचार में एक दूसरे के स्थान पर उपयोग किए जाते हैं, लेकिन तकनीकी रूप से व्यापारी स्व-सत्यापित होते हैं या उनके पास QSA-प्रमाणित अनुपालन होता है।

अनुपालन न करने पर व्यापारियों को क्या दंड भुगतना पड़ता है?

जुर्माना सीधे पीसीआई एसएससी से नहीं लगता है - वे अधिग्रहण करने वाले बैंकों के माध्यम से कार्ड ब्रांडों से आते हैं। व्यापारी स्तर और गैर-अनुपालन की अवधि के आधार पर मासिक जुर्माना आम तौर पर $5,000-$100,000 तक होता है। उल्लंघन के बाद, कार्ड ब्रांड प्रति-कार्ड जुर्माना ($50-$90 प्रति वीज़ा कार्ड, मास्टरकार्ड के समान), फोरेंसिक जांच लागत ($20,000-$200,000+), और अनिवार्य कार्ड पुनः जारी करने की लागत लगा सकते हैं। गंभीर मामलों में, व्यापारी पूरी तरह से कार्ड से भुगतान स्वीकार करने की क्षमता खो देते हैं। बार-बार उल्लंघन करने वाले या बड़े उल्लंघन प्रभाव वाले व्यापारियों को उच्चतम दंड का सामना करना पड़ता है।

मैजकार्ट हमला क्या है और पीसीआई डीएसएस v4.0 इसे कैसे संबोधित करता है?

मैजकार्ट उन हमलों को संदर्भित करता है जहां दुर्भावनापूर्ण जावास्क्रिप्ट को ग्राहकों द्वारा टाइप किए जाने पर वास्तविक समय में कार्डधारक डेटा को इंटरसेप्ट करने के लिए ईकॉमर्स चेकआउट पेजों में इंजेक्ट किया जाता है। ये हमले तृतीय-पक्ष स्क्रिप्ट (एनालिटिक्स, चैट विजेट, टैग मैनेजर) का शोषण करते हैं जिन्हें व्यापारी भुगतान पृष्ठों पर शामिल करते हैं। PCI DSS v4.0 आवश्यकताएँ 6.4.3 और 11.6.1 सीधे इसे संबोधित करते हैं: व्यापारियों को भुगतान पृष्ठों पर सभी स्क्रिप्ट की अखंडता को सूचीबद्ध और सत्यापित करना होगा, और भुगतान पृष्ठ कोड में अनधिकृत परिवर्तनों का पता लगाने के लिए निगरानी तैनात करनी होगी।

हम हेडलेस ईकॉमर्स आर्किटेक्चर के लिए पीसीआई डीएसएस को कैसे संभाल सकते हैं?

हेडलेस ईकॉमर्स फ्रंटएंड प्रेजेंटेशन लेयर को बैकएंड कॉमर्स इंजन से अलग करता है। पीसीआई डीएसएस उद्देश्यों के लिए, यह मायने रखता है कि कार्डधारक डेटा कहाँ प्रवाहित होता है। यदि आपका हेडलेस फ्रंटएंड स्ट्राइप एलिमेंट्स या समान आईफ्रेम-आधारित समाधान का उपयोग करता है, तो कार्ड डेटा आपके फ्रंटएंड सर्वर को छुए बिना ब्राउज़र से सीधे भुगतान प्रोसेसर तक जाता है - यह SAQ A क्षेत्र है। यदि आपके हेडलेस आर्किटेक्चर में कस्टम सर्वर-साइड भुगतान प्रसंस्करण शामिल है, तो दायरा काफी बढ़ जाता है और आपको दायरे के मार्गदर्शन के लिए क्यूएसए संलग्न करना चाहिए।

क्या हमें अपने पीसीआई डीएसएस मूल्यांकन के लिए क्यूएसए की आवश्यकता है?

केवल लेवल 1 व्यापारियों (वीज़ा/मास्टरकार्ड के लिए 6 मिलियन से अधिक लेनदेन/वर्ष) को अनुपालन पर वार्षिक रिपोर्ट (आरओसी) के लिए क्यूएसए संलग्न करने की आवश्यकता होती है। स्तर 2-4 के व्यापारी SAQ के माध्यम से स्व-सत्यापित कर सकते हैं। हालाँकि, कई व्यापारी आवश्यकता न होने पर भी मार्गदर्शन के लिए स्वेच्छा से QSA या क्वालिफाइड सिक्योरिटी एसेसर कंपनी (QSAC) को नियुक्त करते हैं, खासकर जब वे अपने दायरे के बारे में अनिश्चित होते हैं या उनके पास जटिल बुनियादी ढांचा होता है।

---

अगले चरण

पीसीआई डीएसएस अनुपालन आपके ग्राहकों के भुगतान डेटा की सुरक्षा करता है, आपके दायित्व जोखिम को सीमित करता है, और कार्ड स्वीकृति बनाए रखने के लिए एक शर्त है। शॉपिफाई या कस्टम प्लेटफॉर्म पर ईकॉमर्स व्यवसायों के लिए, पहला कदम हमेशा गुंजाइश कम करना होता है - होस्ट किए गए भुगतान पृष्ठों के उचित उपयोग के माध्यम से एसएक्यू ए तक पहुंचना सबसे तेज़ और सबसे अधिक लागत प्रभावी मार्ग है।

ECOSIRE की ईकॉमर्स कार्यान्वयन टीम के पास PCI DSS-अनुपालक Shopify स्टोर और कस्टम कॉमर्स प्लेटफ़ॉर्म बनाने का व्यापक अनुभव है, जिसमें CDE के दायरे को कम करने के लिए भुगतान वास्तुकला को जमीनी स्तर से डिज़ाइन किया गया है।

आरंभ करें: ECOSIRE Shopify Services

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और यह कानूनी या अनुपालन सलाह नहीं है। पीसीआई डीएसएस आवश्यकताएँ कार्ड ब्रांड और अधिग्रहणकर्ता के अनुसार बदल और भिन्न हो सकती हैं। अपने परिवेश के लिए विशिष्ट अनुपालन मार्गदर्शन के लिए एक QSA संलग्न करें।