¿Mi sitio web debe ser compatible con PCI DSS?

¿Mi sitio web debe ser compatible con PCI DSS?

05/28/2020
¿Mi sitio web debe ser compatible con PCI DSS?
HowToPay HowToPay

HowToPay HowToPay

 

Respuesta corta ... Si no acepta tarjetas de crédito, NO ... Si lo hace, SÍ ...

Si usted es un minorista o comerciante en línea que acepta pagos con tarjeta en línea o almacena información de pago con tarjeta de crédito del cliente, debe tener en cuenta la importancia del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). La seguridad se aplica a todas las empresas que almacenan, procesan o transmiten datos de titulares de tarjetas de pago. En este caso, estamos buscando comerciantes específicamente en línea. El mismo cumplimiento existe para aquellos que aceptan pagos por teléfono o mediante una máquina de tarjeta/PDQ. Analizaremos qué es el PCI DSS, por qué es un requisito de los sitios web de comercio electrónico, cómo garantizar que su sitio web sea compatible y el posible impacto del incumplimiento.

 

Presentado por primera vez hace más de diez años, el PCI DSS se introdujo para proteger los datos del titular de la tarjeta utilizados durante los pagos y las transacciones, algo que se considera particularmente vulnerable durante el inicio de las compras en línea. Implica una serie de criterios de seguridad necesarios para garantizar que las empresas que manejan datos mantengan un entorno seguro. El incumplimiento no solo puede resultar en multas costosas, sino también en la falta de confianza de los posibles clientes.

 

Para un sitio de comercio electrónico, una de las primeras cosas de las que debe estar seguro es que puede cobrar pagos seguros en línea. De lo contrario, su modelo de negocio se vuelve muy complicado y no puede aprovechar el poder y el tamaño de Internet. PCI DDS no es solo un estándar establecido para garantizar que sea capaz de manejar datos confidenciales, sino también un requisito para competir en el mundo digital en el que vivimos.

¿Qué es el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)?

En términos de seguridad, cumplir con este cumplimiento significa que su empresa cumple con los requisitos de PCI DSS para la gestión de seguridad, políticas, procedimientos, arquitectura de red y otras medidas de protección críticas. En términos simples, su sitio es seguro y está protegido.

 

Al evaluar desde una perspectiva operativa, significa que mantiene un entorno seguro para sus clientes y que los datos de la tarjeta de pago se mantienen seguros en cada paso de una transacción. Los clientes pueden estar seguros de estar protegidos contra las infracciones de datos.

 

En resumen, el Estándar de seguridad de datos PCI representa un conjunto común de medidas de la industria que deben cumplirse para ayudar a garantizar el manejo seguro de la información confidencial. Está para garantizar que la seguridad de los datos del titular de la tarjeta no sea violada o vulnerable en ningún momento durante una transacción. Incluso si está utilizando una solución de pago de terceros, es su responsabilidad como minorista asegurarse de que los datos de sus clientes estén protegidos.

¿Todos los sitios web deben ser compatibles con PCI DSS?

Desde grandes corporaciones globales hasta pequeños minoristas de Internet, el cumplimiento del Estándar de seguridad de datos PCI (PCI DSS) es vital para todos los comerciantes que aceptan pagos con tarjeta, en línea o sin conexión. Hay varios niveles de cumplimiento diferentes y el tamaño de su negocio determinará los requisitos de cumplimiento específicos que deben cumplirse. PCI DSS está destinado a todas las entidades involucradas en el procesamiento de pagos, independientemente de su tamaño o volumen de transacción.

Cumplimiento de PCI e internet

Para las empresas de cualquier tamaño que desean vender productos o servicios en línea, las regulaciones y los requisitos que necesita para tomar tarjetas de pago pueden ser algo desalentadores. Sin embargo, si no cumple, corre el riesgo de multas y el potencial de no poder aceptar pagos con tarjeta en línea. Algo que puede ser potencialmente devastador para las empresas que dependen del comercio de las ventas en línea.

 

Internet a menudo ha suscitado la preocupación de los consumidores sobre los datos confidenciales y la seguridad de la información proporcionada para realizar una compra. A medida que la tecnología evoluciona, es esencial ahora más que nunca, no solo para generar ingresos en línea, sino también para garantizar que sus diferentes fuentes de ingresos cumplan y ofrezcan tranquilidad al cliente. Por ejemplo, las compras en la aplicación que generan ingresos y otras fuentes de ingresos diferentes deben ofrecer un entorno seguro. Para muchos consumidores, la idea de ingresar los detalles de pago a través de Internet es un ejercicio preocupante, pero gracias al cumplimiento de PCI DSS, los sitios ahora son más confiables que nunca para manejar los pagos.

 

Un error común es que si no almacena los detalles de pago con tarjeta, no tiene que cumplir con PCI. Desafortunadamente, el estándar PCI DSS no solo se aplica al almacenamiento de datos de tarjetas de crédito, sino también al manejo de datos mientras se procesan o transmiten a través de redes abiertas, incluida Internet. Dicho esto, hay muchos niveles diferentes de cumplimiento y si elige no almacenar los datos de la tarjeta, eliminará algunos de los requisitos de cumplimiento más complejos.

Elegir un servidor compatible con PCI DSS

La mayoría de las empresas alojan sus sitios web con un proveedor de alojamiento externo, lo cual es perfectamente normal. Se debe tener cuidado y atención al elegir un servidor, ya que puede dificultar la realización de auditorías de acceso físico a menos que el proveedor cumpla con PCI DSS como proveedor de servicios.

¿Soy compatible con PCI si tengo un certificado SSL?

No. Aunque recomendamos tener un certificado “Secure Sockets Layer” (SSL),este no protege de un servidor de ataques maliciosos o intrusiones. Los certificados SSL proporcionan el primer nivel de seguridad y tranquilidad del cliente, pero esto no es suficiente. SSL solo cifra los datos enviados entre su navegador web y el servidor de terminación, mientras que el cumplimiento de PCI DSS garantiza tanto las vulnerabilidades dentro del navegador como en el servidor físico mismo. Esto proporciona una transmisión mucho más segura entre el servidor y el proveedor de pagos.

¿Por qué mi sitio necesita ser compatible con PCI DSS

Además de las posibles multas e infracciones de seguridad relacionadas con el mal uso de la información de pago con tarjeta, existen varias razones por las que un sitio siempre debe cumplir con PCI DSS. Sin no cumple con todas las normas de seguridad, está dejando a su empresa abierta a vulnerabilidades que podrían generar grandes multas y sanciones por parte de los proveedores de tarjetas. Su empresa puede ser responsable bajo la ley de protección de datos. Al cumplir con esto, su negocio está de alguna manera asegurado contra el fraude y las violaciones de la seguridad de los datos, ya que sigue todas las pautas establecidas en el proceso de auditoría.

 

Una funcionalidad clave de un sitio web de comercio electrónico es mantener a sus clientes seguros mientras compran. Ganar la confianza del cliente es una cosa, pero retenerla es importante. Si se descubre que su empresa está manejando mal los datos, es probable que pierda cualquier afiliación que tenía anteriormente. Su relación con sus clientes y una de las razones por la que pueden haber visitado su sitio se basa en la confianza. Una violación del servidor que comprometa su información privada puede arruinar esa relación y cortar el potencial de cualquier negocio futuro.

¿Cómo me hago compatible con PCI DSS?

Los pagos con tarjeta en línea están regulados por el PCI DSS y existen 12 requisitos de cumplimiento que se clasifican en los siguientes subtítulos:

  • Construir y mantener una red comercial segura.
  • Proteger los datos del titular de la tarjeta.
  • Mantener un programa de gestión de vulnerabilidades.
  • Implementar medidas fuertes de control de acceso.
  • Monitoree y pruebe regularmente las redes comerciales.
  • Mantener una política que aborde la seguridad de la información.

 

Como se mencionó anteriormente, el proceso de cumplimiento puede simplificarse significativamente eliminando el almacenamiento de los datos de los titulares de tarjetas. Esto significa que, en cambio, debe usar un lector de tarjetas o un procesador de punto de venta (POS) que no retenga datos en un sistema comercial. También puede usar una pasarela de pago o un carrito de compras como los que proporciona PayPal. Esto no elimina la responsabilidad que tiene de los datos de su cliente, pero sí reduce el nivel de cumplimiento requerido. La integración del software de pago de terceros afectará el cumplimiento que se aplique. Puede conocer sus requisitos de cumplimiento exactos de su marca de pago o adquirente.

Cuando se trata de aceptar pagos en línea, en términos generales, tiene 2 opciones para elegir:

Todavía puede tomar pagos con tarjeta y almacenar datos de la cuenta utilizando un software de terceros, conocido como pasarela de pago. Almacenarán, procesarán y/o transmitirán datos de la cuenta para recolectar el dinero y usted simplificará su cumplimiento de PCI DSS. Hay muchos tipos diferentes de pasarela de pago alojada de la siguiente manera:

  • Redirigir a los clientes que realizan una compra a otra página web, regresarán a su sitio una vez que han completado el pago.
  • El uso de un método de marco flotante coloca un formulario de pago alojado por su proveedor de servicios de pago dentro de una página en su sitio web. El cliente no abandona su sitio web, pero su cumplimiento de PCI DSS sigue simplificado, ya que todavía no está almacenando, procesando y/o transmitiendo datos de la cuenta en su propio servidor.
  • El método de publicación directa utiliza un formulario en su sitio web, pero envía los datos directamente al proveedor de servicios de pago, por lo que no almacena ningún dato en su servidor.

Alternativamente, puede aceptar pagos directamente en su sitio web almacenando, procesando y/o transmitiendo datos de la cuenta en su propio servidor. Deberá cumplir con un nivel superior de PCI DSS. El almacenamiento de datos de la cuenta en su servidor ciertamente tiene implicaciones de costos y consideraciones de los requisitos legales para la protección de datos. Le recomendamos evaluar todos los costos involucrados y asegurarse de que las soluciones de pago que elija sean apropiadas para el nivel de negocio que anticipa.

Pasos para seguir cumpliendo con PCI DSS

Hay tres pasos principales para garantizar que continúe adhiriéndose a las PCI DSS de forma continua. Simplemente cumplir no es el final, ya que no es un evento único, sino un proceso continuo. Son:

  • Evaluar: identifique los datos del titular de la tarjeta, haga un inventario de sus activos de TI y procesos comerciales para el procesamiento de la tarjeta de pago y analícelos en busca de vulnerabilidades que puedan exponer los datos del titular de la tarjeta.
  • Solución: corrija las vulnerabilidades y no almacene los datos del titular de la tarjeta a menos que lo necesite.
  • Informe: reúna y envíe los registros de validación y de corrección necesarios (si corresponde), envíe informes de cumplimiento al banco adquirente y a las marcas de tarjetas con las que hace negocios.

 

Muchas empresas se aseguran de cumplir en primera instancia y luego se olvidan hasta el momento de la auditoría. Asegúrese de seguir estas regulaciones en todo momento para eliminar el riesgo de una multa o algo más grave.


For English: https://support.howtopay.com/news/pcidss


  • VIA
  • HowToPay
  • TAGS



LEAVE A COMMENT