Las reglas de cumplimiento de PCI fueron establecidas por la Industria de Tarjetas de Pago (PCI) para ayudar a mejorar la seguridad de los datos y reducir el fraude. Aunque estas pautas no son técnicamente obligatorias, las empresas que aceptan tarjetas pueden estar sujetas a multas, litigios o cancelación de sus cuentas comerciales si el fraude ocurre dentro de sus entornos de pago. En otras palabras, los bancos y los procesadores de pagos pueden proporcionar la tecnología para aceptar pagos, pero los comerciantes siguen siendo responsables de la forma en que procesan y almacenan datos confidenciales de tarjetas de crédito, y cualquier actividad fraudulenta que pueda surgir de eso. Incluso en ausencia de normas de responsabilidad, el cumplimiento de PCI es una buena idea, ya que estas directrices de seguridad de datos ayudan a proteger a su empresa y a sus clientes de ataques fraudulentos. Una analogía útil es el cinturón de seguridad. En New Hampshire, por ejemplo, los conductores adultos no están técnicamente «obligados» a usarlos. Pero como los cinturones de seguridad salvan vidas, deberías abrocharte el cinturón cada vez que estés en un auto.
Cumplimiento de PCI en el mundo en línea
La protección contra el fraude conforme a PCI es esencial para todas las empresas. Es particularmente importante en el comercio electrónico, ya que los compradores y vendedores nunca se encuentran cara a cara. Sin forma de verificar de forma independiente las identidades de los compradores anónimos, el fraude con tarjetas de crédito en línea es ahora una industria de criminals 6.4 mil millones para delincuentes. Los mayores objetivos de los ataques fraudulentos suelen ser los jugadores más pequeños. Según algunas estimaciones, el 60 por ciento de todos los ciberataques se dirigen a pequeñas y medianas empresas porque estos comerciantes a menudo carecen de los conocimientos técnicos y los recursos para protegerse. Afortunadamente, un número creciente de herramientas de comercio electrónico ha comenzado a poner mayor énfasis en la gestión del fraude, desde carritos de compras hasta complementos y suites de sistemas de gestión de contenido (CMS). Si actualmente utiliza plataformas como WordPress o WooCommerce, convertirse en compatible con PCI es más fácil que nunca. Pero no es automático. Hay pasos que debe seguir para que su sitio web cumpla con las pautas de seguridad de datos de la Industria de tarjetas de pago. Estos pasos se aplican a cualquier comerciante que acepte transacciones con tarjeta de crédito, ya sea que dependa de Drupal, Joomla! o Magento para dirigir su negocio. Como WordPress es la suite CMS más utilizada, y el complemento WooCommerce es posiblemente la plataforma de comercio electrónico más popular, usaremos estas herramientas en los ejemplos a continuación.
Cumplimiento de PCI de WordPress: Tomar medidas para protegerse
El punto de partida más importante consiste en elegir un procesador de pagos compatible con PCI. Si su proveedor no sigue las prácticas recomendadas de seguridad más recientes, ninguno de los otros pasos de esta lista importa. Elija un procesador que pueda proporcionarle una pasarela de pago segura. Una vez hecho esto, puede pasar a los siguientes pasos.
Determine su nivel de comerciante
Las reglas de cumplimiento de PCI cambian en función del volumen transaccional de su negocio. Para saber qué pautas debe seguir, debe determinar su tipo de nivel de comerciante. Si eres como la mayoría de las pequeñas empresas, probablemente califiques para el Nivel 4, que tiene el proceso de cumplimiento más fácil. Para estar seguro, primero debe verificar su estado.
Cuestionario de autoevaluación
El siguiente paso consiste en tomar un cuestionario de autoevaluación (SAQ) para determinar su exposición actual al riesgo. Estas pruebas pueden parecer abrumadoras al principio, pero la mayoría de las preguntas requieren respuestas simples de sí/no.
Proveedor de escaneo aprobado
Aunque no siempre es necesario, es una buena idea incluir un proveedor de escaneo aprobado (ASV) que pueda usar herramientas automatizadas para detectar posibles vulnerabilidades en el software y hardware que administra los datos de pago.
4. Políticas de seguridad y capacitación
Los pasos anteriores lo empujarán hacia el cumplimiento de PCI, pero para seguir cumpliendo, también debe estar al tanto de:
- Actualizaciones de software
- Parches de seguridad
- Protección antivirus
- Análisis de malware
Además, debe capacitar a sus empleados para administrar correctamente la información de pago, preferiblemente cuando sea necesario. También es útil que todos seleccionen contraseñas largas y alfanuméricas para todos los inicios de sesión.
COMPRUEBE SU PUNTUACIÓN DE SEGURIDAD DE SITIOS PARA EL CUMPLIMIENTO DE PCI
• Buscar vulnerabilidades en el Código
Certificado de capa de sockets seguros
Un certificado de capa de sockets seguros (SSL) es una credencial adicional que permite a los compradores en línea saber que tienen una conexión directa y encriptada con su sitio web (en lugar de una copia). Una vez instalado este certificado SSL, el dominio de su sitio tendrá una «s» adicional al final del prefijo «http» (es decir, https).
Más detalles de verificación
Para realizar una venta en línea, la mayoría de los carritos de compras electrónicos requieren el nombre, el número de cuenta y la fecha de vencimiento del titular de la tarjeta. Estos representan el mínimo en seguridad, especialmente dado que el fraude en línea conduce a miles de millones en pérdidas anuales. Por lo tanto, debe considerar también requerir detalles de autenticación adicionales, como direcciones de facturación y valores de verificación de tarjetas (CVV).
Los complementos y herramientas adecuados
Técnicamente hablando, WordPress no está certificado por PCI. Tampoco lo es WooCommerce, para el caso. Sin embargo, ambos fueron diseñados desde cero, con la seguridad en mente. Por ejemplo, WordPress viene con controles de administración que le permiten restringir el acceso para cada usuario individual. WooCommerce nunca almacena datos de tarjetas de crédito, por lo que es imposible que los ladrones tengan en sus manos los datos de pago. Obtenga más información en nuestro artículo complementario; Cumplimiento de WooCommerce y PCI. No tienes que elegir estas herramientas específicas, pero cualquier plataforma y complemento que utilices debe tener niveles comparables de compartimentación y control.
Cumplimiento de PCI de WordPress: Un paso final
Hay una última pieza del rompecabezas: Debe compartir todo lo anterior con su procesador de pagos y banco para obtener el estado de «Cumplimiento de PCI» (y debe enviar informes trimestrales para mantenerse al día). Verdadero cumplimiento no es una solución. A medida que evolucionan las estrategias fraudulentas, los pasos utilizados para prevenir ataques futuros también deben cambiar con el tiempo. Si tiene preguntas sobre el cumplimiento de PCI, o si no está seguro de cómo comenzar, puede consultar la infografía adjunta. Cubre muchos de los mitos y conceptos erróneos más populares que tienen las pequeñas empresas en línea sobre la seguridad de los pagos.
Biografía del autor: Kristen Gramigna es Directora de Marketing de BluePay, proveedor de soluciones de procesamiento de pagos rápidas, fáciles y seguras. Aporta más de 20 años de experiencia en la industria de las tarjetas bancarias en ventas directas, gestión de ventas y marketing.