Cómo hacer que su sitio web cumpla con PCI DSS

Cómo hacer que su sitio web cumpla con PCI DSS

Para las pequeñas empresas que desean vender productos en línea, los aros reglamentarios que debe superar si necesita aceptar tarjetas de pago pueden ser algo desalentadores. Sin embargo, si no cumple, se arriesga a una multa considerable e incluso a tener la capacidad de quitar tarjetas del negocio.

cómic de entrega de pagos con tarjeta de crédito

Los pagos con tarjeta en línea están regulados por los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y hay 12 requisitos de cumplimiento que se incluyen en los siguientes encabezados de resumen:

  • Crear y mantener una red empresarial segura
  • Proteger los datos del titular de la tarjeta
  • Mantener un programa de gestión de vulnerabilidades
  • Implementar medidas de control de acceso sólidas
  • Supervisar y probar regularmente las redes empresariales
  • Mantener una política que aborde la seguridad de la información

Vale la pena señalar que puede simplificar sustancialmente el proceso de cumplimiento asegurándose de no guardar ni almacenar datos de titulares de tarjetas. Esto significa que, en su lugar, debe usar un lector de tarjetas o un procesador de punto de venta (POS) que no retenga la información en los sistemas empresariales. También puede utilizar una pasarela de pago como las proporcionadas por PayPal y Stripe, pero debe tener en cuenta que la responsabilidad de los datos de sus clientes recae en usted. Cualquiera que sea la opción que elija, primero debe asegurarse de verificar que el uso de ellos significa que cumple con los requisitos.

cómic de lista de tareas

Por ejemplo, incluso si utiliza un procesador de pagos, su sitio aún debe ser seguro si y cuando los detalles de pago se ingresan y transmiten. Esto significa que, como tal, su servidor web debe ser compatible y su sitio debe usar encriptación Secure Socket Layer (SSL). Debe consultar con su proveedor si puede almacenar estos datos en sus sistemas seguros si necesita conservar la información de pago para pagos futuros.

1 Elegir un host Web seguro

Al elegir un host para su sitio web, debe asegurarse de que los servidores, el plan de alojamiento y las aplicaciones de comercio electrónico y carrito de compras cumplan. Puede encontrar una lista de aplicaciones de pago validadas en el sitio web del consejo PCI para ayudarlo a elegir y también le recomendaría visitar algunos foros de comercio electrónico para ver lo que otros dicen. Vale la pena señalar aquí que si es nuevo en el comercio electrónico, los servidores web baratos o gratuitos rara vez serán lo suficientemente buenos para garantizar el cumplimiento. También debe considerar el uso de alojamiento dedicado en lugar de compartido, ya que esto significa que usted y solo usted están utilizando esa máquina. Con el alojamiento compartido, a menudo comparte una máquina con varios sitios web y esto dificulta el cumplimiento. Sin embargo, si elige servidores privados dedicados o virtuales, es mucho más probable que sean compatibles, aunque un poco más caros.

imagen cómica del administrador perdiendo dinero

Asegúrese de que el host que elija le permita usar también bases de datos PHP y MySQL, la mayoría lo hace en estos días y si no está seguro, siempre puede llamar a la empresa de alojamiento para discutir sus necesidades con más detalle. Asegurarse de que las transacciones del servidor y del sitio estén seguras antes de construir su sitio le ahorrará dolor a largo plazo. Sin embargo, si realmente no necesita almacenar datos, le insto a que considere usar una pasarela de pago que lleve al cliente a un sitio externo y seguro antes de solicitar detalles.

2 Elegir un carrito de compras

Hay una gran cantidad de carritos de compras para elegir y, como tal, puede ser bastante confuso cuando se trata de elegir el mejor para usted. Para garantizar que está protegiendo tanto los datos de su negocio como los de sus clientes, debe elegir uno que cumpla con PA DSS (Estándar de Seguridad de Datos de Aplicaciones de Pago). Esto significa que el software cart ya se ha sometido a una serie de pruebas rigurosas para garantizar que cifra los datos lo suficiente como para protegerse contra ataques cibernéticos cuando está en tránsito.

¿Busca mejores relaciones con los clientes?

Pruebe Userlike de forma gratuita y chatee con sus clientes en su sitio web, Facebook Messenger y Telegram.

Una vez más, si no tiene una mentalidad tecnológica particular, puede elegir un carrito alojado que saque al comprador de su sitio y lo ponga en su propio, que está completamente seguro. Con un carrito alojado, todos los datos confidenciales se ingresan fuera de su sitio y los detalles se guardan en un servidor seguro.

3 Empleados y PCI DSS

La seguridad de los datos de sus clientes es su responsabilidad y esto significa que es importante que su personal entienda lo vital que es para su negocio que se mantenga seguro. Con esto en mente, todo el personal que se ocupa de los detalles de los clientes como parte de su trabajo debe asegurarse de seguir las reglas.

Debe asegurarse de que todo el personal que se ocupa de los datos:

  • Conoce los procesos utilizados para proteger datos confidenciales.
  • No almacene los datos de los clientes en ningún equipo no autorizado ni en papel.
  • Utilice contraseñas seguras en todas las cuentas de usuario.

Además, debe asegurarse de que todos los equipos, dispositivos y servidores de la red empresarial (o los que se conectan a ella) tengan lo siguiente:

  • Software AUDIOVISUAL y parches actualizados aplicados a software comúnmente explotado, como Windows / OS, Office, productos de Adobe y Java.
  • Están protegidos por un firewall en la red.
  • Están protegidos al tener una contraseña segura y cifrado en todos los enrutadores de red, incluidos los inalámbricos.

Para aquellas empresas que permiten a los empleados llevar sus propios dispositivos al trabajo, estos deben gestionarse con una sólida política BYOD que establezca lo que se requiere del empleado. Si usted o ellos todavía no están seguros de lo que implica el proceso, entonces puede tomar cursos de capacitación de concientización a través del consejo PCI.

imagen cómica de trabajadores mirando a través de un telescopio

La seguridad es algo que muchos profesionales de TI consideran un problema que no se puede resolver debido a la intervención humana. Con mucho, la mayoría de los problemas de seguridad que afectan a las empresas son causados por la falta de conocimiento en el usuario final. Esto significa que a menudo es difícil mitigar el riesgo porque el usuario final no sabe lo suficiente como para saber que no debe hacer clic en ese enlace de phishing, por ejemplo. En los últimos años, las amenazas a la seguridad se han vuelto cada vez más sofisticadas y hacen todo lo posible para evadir la detección. Esto se ve agravado por el hecho de que los intentos de phishing ahora son a menudo muy dirigidos a llegar a la persona más vulnerable al ataque, como el personal administrativo.

Las amenazas en estos días están respaldadas por la gran cantidad de información que se puede recopilar en las redes sociales sobre un individuo dentro de una organización antes de que se intente un ataque. Esto significa que los ciberdelincuentes tienen el antebrazo con suficiente información para sonar como si el correo electrónico que envían con un enlace malicioso pareciera ser de un amigo o proveedor conocido. Con esto en mente, la educación sobre los riesgos es esencial y también debe implementarse una política sólida sobre las redes sociales y lo que se puede descargar.

imagen cómica de un trabajador robado por un delito cibernético de Internet

Los escáneres de enlaces también se pueden instalar para garantizar que no se pueda hacer clic en ningún enlace malicioso físicamente, lo que elimina gran parte del riesgo del usuario final.

4 Niveles PCI DSS

Hay cuatro niveles de cumplimiento, que dependen de cuántas transacciones de tarjeta realice en el transcurso de un año.

  • Nivel 1: para comerciantes que procesan más de 6 millones de transacciones de Visa al año, requiere que tenga una evaluación de seguridad en el sitio anualmente y un análisis de vulnerabilidad de red trimestral.

  • Nivel 2: para los comerciantes que procesan entre 1 y 6 millones de transacciones de Visa al año, evaluación de seguridad en el sitio a su propia discreción, también debe proporcionar un cuestionario de autoevaluación anual y un análisis trimestral de vulnerabilidades de red.

  • Nivel 3: para los comerciantes que procesan de 20,000 a 1 millón de transacciones de comercio electrónico de Visa por año, se requiere un cuestionario de autoevaluación anual y un análisis de vulnerabilidad de red trimestral.

  • Nivel 4: para los comerciantes que procesan menos de 20,000 transacciones de comercio electrónico de Visa por año y todos los demás comerciantes que procesan hasta 1 millón de transacciones de Visa por año, se requiere un cuestionario de autoevaluación anual y un análisis de vulnerabilidad de red trimestral.

Recuerde: Es un Proceso continuo

Muchas empresas se aseguran de cumplir con las normas en primera instancia y luego se olvidan de ello hasta que llega el momento de la auditoría. Lamentablemente, esto conduce a multas y auditorías adicionales (que cuestan dinero) que se llevan a cabo con más frecuencia. Es importante recordar que el cumplimiento es un proceso continuo y debe verificarse con frecuencia, no justo antes de que el auditor esté a punto de aparecer.

imagen cómica de trabajador ahogado en archivos

Siempre debe:

  • Evaluar: realice un inventario de los activos de TI y los procesos de negocio existentes para el procesamiento de tarjetas, analice las vulnerabilidades a medida que lo hace e identifique los datos de los clientes y dónde se guardan.

  • Remediar: no almacenar datos a menos que sea absolutamente necesario y corregir cualquier exploit conocido. Informe

  • : compile y envíe informes a la adquisición de marcas de tarjetas y tarjetas con las que trabaja.

Hay muchas cosas a considerar cuando se trata de cumplimiento y, con diferencia, la forma más fácil para el propietario de un negocio de comercio electrónico más pequeño es usar una pasarela de pago o un carrito alojado. Esto elimina muchos de los pasos necesarios y elimina gran parte del riesgo cuando se trata de empleados que manejan pagos y la seguridad de su red empresarial.

Sin embargo, eso no quiere decir que sea la mejor solución para usted, por lo que debe apuntar a poner mucha planificación y trabajo de base si planea aceptar pagos a través de su sitio y retener los detalles de los clientes. Idealmente, debe evitar hacer lo último y hablar con su proveedor de procesamiento de tarjetas de pago para ver cuáles son sus opciones. No es tan desalentador como parece, pero vale la pena tener mucho cuidado, ya que muchas empresas que no protegen adecuadamente los datos de los clientes cierran después de una filtración de datos, gracias al costo de garantizar que no vuelva a ocurrir.

Para obtener los mejores resultados, lea la biblioteca de documentos PCI DSS 3.0 (y siguientes) en el sitio web del PCI council . Tampoco se desanime por toda la jerga, un Google rápido puede ayudarlo a comprender los aspectos técnicos o puede revisar los archivos de ayuda en el sitio web del consejo PCI.

Leave a Reply

Tu dirección de correo electrónico no será publicada.