Lograr y mantener los requisitos de cumplimiento de PCI

Publicado: 2022-06-30

Si su empresa Magento 1 maneja información de tarjetas de crédito, es posible que ya conozca los más de 300 requisitos de seguridad en PCI DSS. Si no está familiarizado, este artículo cubrirá algunos de los conceptos básicos y ofrecerá recursos para certificar el cumplimiento.

Fundado en 2006 por American Express, Discover, JCB International, Mastercard y Visa, los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) establecen el estándar mínimo para la seguridad de los datos en el procesamiento de transacciones con tarjetas de crédito. Ayuda a reducir el fraude y las filtraciones de datos en todo el ecosistema de pagos y se aplica a cualquier organización que acepte o procese pagos mediante tarjetas de crédito.

Cumplimiento de PCI DSS

El cumplimiento de PCI DSS implica tres reglas principales:

  1. Los datos confidenciales de las tarjetas de crédito de los consumidores deben recopilarse y transmitirse de forma segura
  2. Esos datos deben almacenarse de forma segura mediante el uso de encriptación, monitoreo continuo y pruebas de seguridad de acceso a los datos de la tarjeta.
  3. Anualmente, validar que se tienen los controles de seguridad requeridos

Datos sensibles de los consumidores

Es posible que las empresas que manejan datos de tarjetas deban cumplir con cada uno de los más de 300 controles de seguridad en PCI DSS. Incluso si los datos de la tarjeta solo viajan por la infraestructura de una empresa por un momento, la empresa necesitaría comprar, implementar y mantener software y hardware de seguridad.

Si una empresa no necesita manejar datos confidenciales de tarjetas de crédito, no debería hacerlo. Las soluciones de terceros (como Stripe) aceptan y almacenan datos de tarjetas de crédito de forma segura, lo que elimina una complejidad, un costo y un riesgo considerables. Si los datos de la tarjeta nunca tocan los servidores de su empresa, solo necesitaría confirmar 22 controles de seguridad relativamente sencillos, como usar contraseñas seguras.

Almacenar datos de forma segura

Si una organización maneja o almacena datos de tarjetas de crédito, debe definir el alcance de su entorno de datos de titulares de tarjetas (CDE). PCI DSS define CDE como las personas, los procesos y las tecnologías que almacenan, procesan o transmiten datos de tarjetas de crédito, o cualquier sistema conectado a ellos.

Dado que los más de 300 requisitos de seguridad de PCI DSS se aplican a CDE, es importante segmentar correctamente el entorno de pago del resto de la empresa para limitar el alcance de la validación de PCI. Si una organización no puede contener el alcance del CDE, los controles de seguridad PCI se aplicarían a todos los sistemas, portátiles y dispositivos de su red corporativa. Nadie tiene tiempo para eso.

Una revisión anual de los controles de seguridad requeridos

Independientemente de cómo se acepten los datos de la tarjeta, las organizaciones que manejan pagos con tarjeta de crédito deben completar un formulario de validación de PCI anualmente para mantener el cumplimiento.

12 Requisitos principales para PCI DSS

Los estándares de seguridad más recientes, PCI DSS versión 3.2.1, incluyen 12 requisitos principales con más de 300 requisitos secundarios que reflejan las mejores prácticas de seguridad.

Esos 12 requisitos principales son:

  1. Instale y mantenga una configuración de firewall para proteger la información del titular de la tarjeta
  2. Nunca utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  3. Proteja los datos almacenados del titular de la tarjeta
  4. Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas o abiertas
  5. Proteja todos los sistemas contra malware y actualice regularmente el software antivirus
  6. Desarrollar y mantener sistemas y aplicaciones seguras.
  7. Restringir el acceso a los datos del titular de la tarjeta
  8. Identificar y autenticar el acceso a los componentes del sistema
  9. Restringir el acceso físico a los datos del titular de la tarjeta
  10. Rastree y controle todos los accesos a los recursos de la red y los datos del titular de la tarjeta
  11. Probar periódicamente los sistemas y procesos de seguridad.
  12. Mantener una política que aborde la seguridad de la información para todos los empleados.

Las nuevas empresas pueden validar el cumplimiento de PCI a través de nueve cuestionarios de autoevaluación, cada uno de los cuales es un subconjunto del requisito completo de PCI DSS. La dificultad proviene de tratar de averiguar qué requisitos son necesarios para su negocio. Algunas empresas contratarán a un auditor aprobado por el PCI Council para garantizar que se cumplan todos los requisitos de las PCI DSS. Y como si eso no fuera lo suficientemente complicado, el PCI Council revisa las reglas cada tres años y publica actualizaciones a lo largo de cada año. ¿Cómo pueden las empresas proteger los datos de sus tarjetas de crédito y mantener el cumplimiento de PCI teniendo en cuenta estos factores?

Maneras de asegurar

Hay varias formas aceptadas de proteger su sitio web con los requisitos de PCI DSS, desde contratar a una empresa de asesores de seguridad calificados (QSA), hasta utilizar el proceso de 3 pasos de PCI y a través de Nexcess Safe Harbor en asociación con Stripe.

1. Un asesor de seguridad calificado

Un asesor de seguridad calificado es una empresa de seguridad de datos que está calificada por el PCI Council para realizar evaluaciones del estándar de seguridad de datos de PCI en el sitio. Un evaluador verificará toda la información técnica proporcionada por el comerciante o proveedor de servicios y utilizará un juicio independiente para confirmar que se ha cumplido con el estándar. Puede encontrar una lista de empresas de asesores de seguridad calificados (QSA) aquí.

2. El proceso de 3 pasos de PCI

  1. Evaluaciones Identificación de datos de titulares de tarjetas, realización de un inventario de activos de TI y procesos comerciales para el procesamiento de tarjetas de pago y análisis de vulnerabilidades.
  2. Remediar Solucionar vulnerabilidades y eliminar el almacenamiento de datos de titulares de tarjetas a menos que sea absolutamente necesario.
  3. Informe Recopilar y enviar los informes requeridos al banco adquirente y las marcas de tarjetas correspondientes.

3. Puerto seguro

Magento 1 llegó al final de su vida útil en junio de 2020, lo que colocó a miles de sitios de comercio electrónico en un área gris de cumplimiento cuando Adobe dejó de publicar actualizaciones de seguridad oficiales.

Si bien la aplicación de comercio electrónico en sí representa solo una pequeña parte de lo que realmente implica el cumplimiento de PCI, para los comerciantes que aún ejecutan sus sitios de comercio electrónico en Magento 1, lo importante a tener en cuenta es que ya no se emitirán parches de seguridad ni actualizaciones para la plataforma. Están solos a menos que hayan invertido en una solución como Nexcess Safe Harbor. Le recomendamos encarecidamente que consulte a Stripe, que tiene el compromiso de mantener su módulo Magento 1 en funcionamiento para sus clientes.

Raya

Stripe mantiene su compromiso de permitir que los usuarios utilicen de forma segura los productos de Stripe dentro de Magento 1. Con ese fin, Nexcess lo alienta a instalar el módulo Magento 1 oficial de Stripe, que utiliza Stripe.js y Elements para simplificar el cumplimiento de PCI de su sitio. Stripe continuará lanzando correcciones de errores y actualizaciones de seguridad para el módulo Stripe Magento 1 para garantizar que esta solución cumpla con los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

Conclusión

Como puede ver, lograr y mantener el cumplimiento de PCI no es poca cosa. Pero con la información correcta, la asistencia de un profesional de cumplimiento y Nexcess Safe Harbor, las empresas que todavía operan en Magento 1 pueden mantener los datos de la tarjeta de crédito de sus clientes seguros y protegidos.