持續遵守 PCI 規範
支付卡產業安全標準理事會 (Payment Card Industry Security Standards Council) 有針對安全設立標準,以便保護信用卡資料,此標準即稱為「支付卡產業資料安全標準」(Payment Card Industry Data Security Standards,簡稱 PCI-DSS 或 PCI)。所有傳輸、處理或儲存信用卡資訊的實體都應該遵守 PCI 規範。
您可以使用主機服務設定線上形象及產品目錄。您可以和第三方服務提供商合作,讓對方代表您處理付款,即可防止您的伺服器含有任何信用卡資訊 (如:PayPal Checkout、Square Online Checkout 及 Stripe Checkout)。請確定您瞭解所有其他規範,以便讓企業遵守 PCI 規範。
如果您想直接透過網站收取付款,我們也有提供 PCI 認可的產品,如 GoDaddy Payments、WordPress 託管電子商務主機服務、網路商店以及線上預約。遵守 PCI 規範需要多方合作努力,您使用我們的 PCI 認可解決方案時,我們會設計本公司的程序和系統,藉此保護您客戶的信用卡資訊,也需要您保護您自己的帳戶。
GoDaddy Payments、網路商店及線上預約
透過網路商店及線上預約支付的款項將會和處理信用卡資訊的第三方廠商整合,並在對方的安全環境中處理。這些產品會使用您網站內的部份程式碼,藉此讓您的客戶直接在網站上輸入信用卡資訊。這樣您就能透過進行幾個步驟保護您自己的帳戶,並藉此遵守 PCI 規範:
- 使用者管理
- 請教導使用者設定專用的 ID,並建立高強度的密碼。
- 別使用團體、共享或一般常見的 ID 及密碼。
- 如果有使用者已無存取權,請移除該使用者。
- 紙本 (非數位) 記錄
- 如果您會透過紙本收取信用卡資訊,請確認您有控管該資訊的存取權,並在該資訊無用處時加以摧毀。
- 服務提供商循規
- 如果您透過服務管理紙本記錄或您的帳戶,請確定該服務提供商瞭解自己需要安全處理信用卡資料的責任,您也要確定對方有盡應盡之義務。
- 事件回應計畫
- 確保您有建立在發生資料洩漏事件時應聯絡對象的清單,以及處理客戶通訊內容的措施。
- 將 PCI 自我評估問卷 A (PCI SAQ_A) 送交給處理商 (Stripe、Square、PayPal 等)。
請注意:如果您會透過電話接收付款,則可能需要遵守其他規範,以便保護您的電話系統,以及由您的客服中心專員所使用的電腦。
WordPress 託管搭配 WooCommerce
使用 WooCommerce 外掛程式即可透過 WordPress 託管接收付款,此外掛程式可以整合第三方廠商,由該廠商在他們的安全環境內處理信用卡。本外掛程式會使用您網站內的部份程式碼,藉此讓您的客戶直接在網站上輸入信用卡資訊。由於您可以控管帳戶內安裝的外掛程式,因此您需要進行幾個額外步驟,以便遵守 PCI 規範:
- 付款實施
- 僅安裝 WooCommerce 付款用外掛程式。雖然您有其他的付款外掛程式選擇,但是我們只認可 WooCommerce 外掛程式。
- 請勿新增其他會處理信用卡資訊的功能或程式碼。我們無法驗證任何加到伺服器內的自訂付款程序。
- 讓外掛程式保持為最新狀態 (每 30 天以內進行一次更新)。
- 使用者管理
- 請教導使用者設定專用的 ID,並建立高強度的密碼。
- 別使用團體、共享或一般常見的 ID 及密碼。
- 如果有使用者已無存取權,請移除該使用者。
- 紙本 (非數位) 記錄
- 如果您會透過紙本收取信用卡資訊,請確認您有控管該資訊的存取權,並在該資訊無用處時加以摧毀。
- 服務提供商循規
- 如果您透過服務管理紙本記錄或您的帳戶,請確定該服務提供商瞭解自己需要安全處理信用卡資料的責任,您也要確定對方有盡應盡之義務。
- 事件回應計畫
- 確保您有建立在發生資料洩漏事件時應聯絡對象的清單,以及處理客戶通訊內容的措施。
- 將 PCI 自我評估問卷 A (PCI SAQ_A) 送交給處理商 (WooCommerce Payments、Stripe、PayPal、Square、Klarna、PayFast 等)。
請注意:如果您會透過電話接收付款,則可能需要遵守其他規範,以便保護您的電話系統,以及由您的客服中心專員所使用的電腦。
如果您有其他疑問,請洽詢您的銀行,或任一間合格安全評估機構 (QSA)。
更多資訊
- 線上預約說明:設定付款方式
- 網路商店說明:設定付款方式
- WordPress 說明:更新 WooCommerce 付款方式
