
¿Mi sitio web debe ser compatible con PCI DSS?
HowToPay
Respuesta corta ... Si no acepta tarjetas de crédito, NO ... Si
lo hace, SÍ ...
Si
usted es un minorista o comerciante en línea que acepta pagos con tarjeta en
línea o almacena información de pago con tarjeta de crédito del cliente, debe
tener en cuenta la importancia del Estándar de seguridad de datos de la
industria de tarjetas de pago (PCI DSS). La seguridad se aplica a todas las
empresas que almacenan, procesan o transmiten datos de titulares de tarjetas de
pago. En este caso, estamos buscando comerciantes específicamente en línea. El
mismo cumplimiento existe para aquellos que aceptan pagos por teléfono o
mediante una máquina de tarjeta/PDQ. Analizaremos qué es el PCI DSS, por qué es
un requisito de los sitios web de comercio electrónico, cómo garantizar que su
sitio web sea compatible y el posible impacto del incumplimiento.
Presentado
por primera vez hace más de diez años, el PCI DSS se introdujo para proteger
los datos del titular de la tarjeta utilizados durante los pagos y las
transacciones, algo que se considera particularmente vulnerable durante el
inicio de las compras en línea. Implica una serie de criterios de seguridad
necesarios para garantizar que las empresas que manejan datos mantengan un
entorno seguro. El incumplimiento no solo puede resultar en multas costosas,
sino también en la falta de confianza de los posibles clientes.
Para
un sitio de comercio electrónico, una de las primeras cosas de las que debe
estar seguro es que puede cobrar pagos seguros en línea. De lo contrario, su
modelo de negocio se vuelve muy complicado y no puede aprovechar el poder y el
tamaño de Internet. PCI DDS no es solo un estándar establecido para garantizar
que sea capaz de manejar datos confidenciales, sino también un requisito para
competir en el mundo digital en el que vivimos.
¿Qué es el Estándar de seguridad de datos de la industria de
tarjetas de pago (PCI DSS)?
En
términos de seguridad, cumplir con este cumplimiento significa que su empresa
cumple con los requisitos de PCI DSS para la gestión de seguridad, políticas,
procedimientos, arquitectura de red y otras medidas de protección críticas. En
términos simples, su sitio es seguro y está protegido.
Al
evaluar desde una perspectiva operativa, significa que mantiene un entorno
seguro para sus clientes y que los datos de la tarjeta de pago se mantienen
seguros en cada paso de una transacción. Los clientes pueden estar seguros de estar
protegidos contra las infracciones de datos.
En
resumen, el Estándar de seguridad de datos PCI representa un conjunto común de
medidas de la industria que deben cumplirse para ayudar a garantizar el manejo
seguro de la información confidencial. Está para garantizar que la seguridad de
los datos del titular de la tarjeta no sea violada o vulnerable en ningún
momento durante una transacción. Incluso si está utilizando una solución de
pago de terceros, es su responsabilidad como minorista asegurarse de que los
datos de sus clientes estén protegidos.
¿Todos los sitios web deben ser compatibles con PCI DSS?
Desde
grandes corporaciones globales hasta pequeños minoristas de Internet, el
cumplimiento del Estándar de seguridad de datos PCI (PCI DSS) es vital para
todos los comerciantes que aceptan pagos con tarjeta, en línea o sin conexión.
Hay varios niveles de cumplimiento diferentes y el tamaño de su negocio
determinará los requisitos de cumplimiento específicos que deben cumplirse. PCI
DSS está destinado a todas las entidades involucradas en el procesamiento de
pagos, independientemente de su tamaño o volumen de transacción.
Cumplimiento de PCI e internet
Para
las empresas de cualquier tamaño que desean vender productos o servicios en
línea, las regulaciones y los requisitos que necesita para tomar tarjetas de
pago pueden ser algo desalentadores. Sin embargo, si no cumple, corre el riesgo
de multas y el potencial de no poder aceptar pagos con tarjeta en línea. Algo
que puede ser potencialmente devastador para las empresas que dependen del
comercio de las ventas en línea.
Internet
a menudo ha suscitado la preocupación de los consumidores sobre los datos
confidenciales y la seguridad de la información proporcionada para realizar una
compra. A medida que la tecnología evoluciona, es esencial ahora más que nunca,
no solo para generar ingresos en línea, sino también para garantizar que sus
diferentes fuentes de ingresos cumplan y ofrezcan tranquilidad al cliente. Por
ejemplo, las compras en la aplicación que generan ingresos y otras fuentes de
ingresos diferentes deben ofrecer un entorno seguro. Para muchos consumidores,
la idea de ingresar los detalles de pago a través de Internet es un ejercicio
preocupante, pero gracias al cumplimiento de PCI DSS, los sitios ahora son más
confiables que nunca para manejar los pagos.
Un
error común es que si no almacena los detalles de pago con tarjeta, no tiene
que cumplir con PCI. Desafortunadamente, el estándar PCI DSS no solo se aplica
al almacenamiento de datos de tarjetas de crédito, sino también al manejo de
datos mientras se procesan o transmiten a través de redes abiertas, incluida
Internet. Dicho esto, hay muchos niveles diferentes de cumplimiento y si elige
no almacenar los datos de la tarjeta, eliminará algunos de los requisitos de
cumplimiento más complejos.
Elegir un servidor compatible con PCI DSS
La
mayoría de las empresas alojan sus sitios web con un proveedor de alojamiento
externo, lo cual es perfectamente normal. Se debe tener cuidado y atención al
elegir un servidor, ya que puede dificultar la realización de auditorías de
acceso físico a menos que el proveedor cumpla con PCI DSS como proveedor de
servicios.
¿Soy compatible con PCI si tengo un certificado SSL?
No.
Aunque recomendamos tener un certificado “Secure Sockets Layer” (SSL),este no
protege de un servidor de ataques maliciosos o intrusiones. Los certificados
SSL proporcionan el primer nivel de seguridad y tranquilidad del cliente, pero
esto no es suficiente. SSL solo cifra los datos enviados entre su navegador web
y el servidor de terminación, mientras que el cumplimiento de PCI DSS garantiza
tanto las vulnerabilidades dentro del navegador como en el servidor físico
mismo. Esto proporciona una transmisión mucho más segura entre el servidor y el
proveedor de pagos.
¿Por qué mi sitio necesita ser compatible con PCI DSS
Además
de las posibles multas e infracciones de seguridad relacionadas con el mal uso
de la información de pago con tarjeta, existen varias razones por las que un
sitio siempre debe cumplir con PCI DSS. Sin no cumple con todas las normas de
seguridad, está dejando a su empresa abierta a vulnerabilidades que podrían
generar grandes multas y sanciones por parte de los proveedores de tarjetas. Su
empresa puede ser responsable bajo la ley de protección de datos. Al cumplir
con esto, su negocio está de alguna manera asegurado contra el fraude y las
violaciones de la seguridad de los datos, ya que sigue todas las pautas
establecidas en el proceso de auditoría.
Una
funcionalidad clave de un sitio web de comercio electrónico es mantener a sus
clientes seguros mientras compran. Ganar la confianza del cliente es una cosa,
pero retenerla es importante. Si se descubre que su empresa está manejando mal
los datos, es probable que pierda cualquier afiliación que tenía anteriormente.
Su relación con sus clientes y una de las razones por la que pueden haber
visitado su sitio se basa en la confianza. Una violación del servidor que
comprometa su información privada puede arruinar esa relación y cortar el
potencial de cualquier negocio futuro.
¿Cómo me hago compatible con PCI DSS?
Los pagos con tarjeta en línea están
regulados por el PCI DSS y existen 12 requisitos de cumplimiento que se
clasifican en los siguientes subtítulos:
- Construir
y mantener una red comercial segura.
- Proteger
los datos del titular de la tarjeta.
- Mantener
un programa de gestión de vulnerabilidades.
- Implementar
medidas fuertes de control de acceso.
- Monitoree
y pruebe regularmente las redes comerciales.
- Mantener
una política que aborde la seguridad de la información.
Como
se mencionó anteriormente, el proceso de cumplimiento puede simplificarse
significativamente eliminando el almacenamiento de los datos de los titulares
de tarjetas. Esto significa que, en cambio, debe usar un lector de tarjetas o
un procesador de punto de venta (POS) que no retenga datos en un sistema
comercial. También puede usar una pasarela de pago o un carrito de compras como
los que proporciona PayPal. Esto no elimina la responsabilidad que tiene de los
datos de su cliente, pero sí reduce el nivel de cumplimiento requerido. La
integración del software de pago de terceros afectará el cumplimiento que se
aplique. Puede conocer sus requisitos de cumplimiento exactos de su marca de pago
o adquirente.
Cuando se trata de aceptar pagos en línea, en términos
generales, tiene 2 opciones para elegir:
Todavía puede tomar pagos con tarjeta y
almacenar datos de la cuenta utilizando un software de terceros, conocido como
pasarela de pago. Almacenarán, procesarán y/o transmitirán datos de la cuenta
para recolectar el dinero y usted simplificará su cumplimiento de PCI DSS. Hay
muchos tipos diferentes de pasarela de pago alojada de la siguiente manera:
- Redirigir
a los clientes que realizan una compra a otra página web, regresarán a su
sitio una vez que han completado el pago.
- El
uso de un método de marco flotante coloca un formulario de pago alojado
por su proveedor de servicios de pago dentro de una página en su sitio
web. El cliente no abandona su sitio web, pero su cumplimiento de PCI DSS
sigue simplificado, ya que todavía no está almacenando, procesando y/o
transmitiendo datos de la cuenta en su propio servidor.
- El
método de publicación directa utiliza un formulario en su sitio web, pero
envía los datos directamente al proveedor de servicios de pago, por lo que
no almacena ningún dato en su servidor.
Alternativamente,
puede aceptar pagos directamente en su sitio web almacenando, procesando y/o
transmitiendo datos de la cuenta en su propio servidor. Deberá cumplir con un
nivel superior de PCI DSS. El almacenamiento de datos de la cuenta en su
servidor ciertamente tiene implicaciones de costos y consideraciones de los
requisitos legales para la protección de datos. Le recomendamos evaluar todos
los costos involucrados y asegurarse de que las soluciones de pago que elija
sean apropiadas para el nivel de negocio que anticipa.
Pasos para seguir cumpliendo con PCI DSS
Hay tres pasos principales para garantizar
que continúe adhiriéndose a las PCI DSS de forma continua. Simplemente cumplir
no es el final, ya que no es un evento único, sino un proceso continuo. Son:
- Evaluar:
identifique los datos del titular de la tarjeta, haga un inventario de sus
activos de TI y procesos comerciales para el procesamiento de la tarjeta
de pago y analícelos en busca de vulnerabilidades que puedan exponer los
datos del titular de la tarjeta.
- Solución:
corrija las vulnerabilidades y no almacene los datos del titular de la
tarjeta a menos que lo necesite.
- Informe:
reúna y envíe los registros de validación y de corrección necesarios (si
corresponde), envíe informes de cumplimiento al banco adquirente y a las
marcas de tarjetas con las que hace negocios.
Muchas empresas se aseguran de cumplir en primera instancia y luego se olvidan hasta el momento de la auditoría. Asegúrese de seguir estas regulaciones en todo momento para eliminar el riesgo de una multa o algo más grave.
For English:
-
01/20/2021 41
-
01/16/2021 10
-
01/16/2021 20
-
01/14/2021 56
-
11/01/2020 73
-
01/13/2018 882
-
07/02/2018 643
-
05/10/2018 438
-
12/28/2017 423
-
12/15/2017 297
FEATURED NEWS

ENGLISH

ENGLISH

ENGLISH

ENGLISH

LEAVE A COMMENT