Cómo Nexcess ayuda a su tienda a cumplir con PCI

Publicado: 2022-06-30

Tener una tienda compatible con PCI requiere los esfuerzos sostenidos tanto de usted como de su proveedor de alojamiento. Aunque no hay atajos, elegir un proveedor de alojamiento web confiable es un lugar efectivo para comenzar. Aun así, la mayoría de los requisitos de PCI solo puede cumplirlos usted, el comerciante. Siga leyendo para obtener más información sobre la línea divisoria entre host y comerciante, y por qué puede valer la pena ir más allá de PCI para sus clientes.

¿Está buscando alojamiento compatible con PCI? Visite nuestra página de cumplimiento de PCI para obtener más información.

¿Qué es PCI?

Necesario caja fuerte cerrada En el comercio electrónico, PCI es la abreviatura de Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Creado en 2004, PCI DSS tiene como objetivo ayudar a proteger a los consumidores y prevenir el fraude con tarjetas de crédito. Se requiere para cualquier organización que reciba, procese o almacene datos de tarjetas de crédito de cualquiera de los cinco miembros del PCI Security Council : VISA, MasterCard, American Express, Discover y JCB.

La lista de requisitos es extensa, por decirlo suavemente. Los requisitos abarcan seis categorías, y cada categoría se divide en varios cientos de requisitos específicos. Algunos caen exclusivamente bajo el dominio de comerciantes o proveedores de alojamiento, mientras que otros se extienden a ambos. El cumplimiento de PCI tampoco es un requisito único, ya que el Consejo de Seguridad realiza ajustes periódicos para abordar las nuevas amenazas a los consumidores.

El cumplimiento no es un evento de "una sola vez". Requiere tareas diarias, semanales, mensuales y anuales para mantener el cumplimiento. Hay 12 requisitos generales divididos en seis categorías. Con fines ilustrativos, enumeramos estas mismas categorías, pero también incluimos requisitos más específicos dentro de PCI DSS.

6 categorías clave para el cumplimiento de PCI

Cree y mantenga una red segura. Instalar y mantener un cortafuegos. Utilice contraseñas únicas de alta seguridad con especial cuidado para reemplazar las contraseñas predeterminadas.

Proteja los datos del titular de la tarjeta. Siempre que sea posible, no almacene datos del titular de la tarjeta. Si existe una necesidad comercial de almacenar datos del titular de la tarjeta, debe proteger estos datos. Cifre cualquier dato que se transmita a través de redes públicas, incluidos los datos que se transmiten entre su carrito de compras, su proveedor de alojamiento web y sus clientes.

Mantener un programa de gestión de vulnerabilidades. Utilice software antivirus y manténgalo actualizado. Desarrollar y mantener sistemas operativos seguros y aplicaciones de pago. Asegúrese de que sus aplicaciones de software antivirus cumplan con las compañías de tarjetas elegidas.

Implementar fuertes medidas de control de acceso. El acceso a los datos del titular de la tarjeta, tanto electrónicos como físicos, debe ser según la necesidad. Asegúrese de que las personas con acceso electrónico tengan una identificación y una contraseña únicas. No permita que las personas compartan las credenciales de inicio de sesión. Infórmese a sí mismo y a sus empleados sobre la seguridad de los datos y, específicamente, sobre el estándar de seguridad de datos PCI (DSS).

Monitoree y pruebe regularmente las redes. Realice un seguimiento y controle todos los accesos a las redes y los datos de los titulares de tarjetas. Mantenga un cronograma de prueba regular para los sistemas y procesos de seguridad, incluidos: firewalls, parches, servidores web, servidores de correo electrónico y antivirus.

Mantener una política de seguridad de la información. Establecer una política clara y exhaustiva de seguridad de datos de la organización. Difundir y actualizar periódicamente esta política.

El incumplimiento de PCI puede generar multas que oscilan entre $ 5000 y $ 100 000 por mes, según el tamaño de la organización infractora, su gravedad y otros factores. El incumplimiento también puede dar lugar a acciones legales, infracciones de seguridad y pérdida de ingresos.

Requisitos de PCI para proveedores de alojamiento

monitoreo necesario Es prácticamente imposible que el comerciante típico cumpla con PCI sin contratar los servicios de un proveedor de alojamiento compatible. Los comerciantes que alojan sus propios sitios web deben cumplir con los requisitos del proveedor de alojamiento además de cumplir con los de los comerciantes. Tal modelo funciona para empresas masivas como Amazon y Walmart, pero pocas más.

Los siguientes son algunos de los aspectos más destacados de nuestros sistemas y políticas que mantienen nuestro estatus como proveedor de alojamiento compatible con PCI. El término “entorno de datos de titulares de tarjetas” se refiere a cualquier sistema que almacene, procese o transmita datos de tarjetas de crédito, así como a cualquier sistema que tenga acceso al propio entorno de datos de titulares de tarjetas.

Mantenemos un firewall de aplicaciones web (WAF), que supervisa todas las conexiones entre el entorno de datos del titular de la tarjeta y otras redes. ModSec prohíbe el acceso público a áreas confidenciales, identifica conexiones no confiables y oculta las direcciones IP y la información de enrutamiento de partes no autorizadas.

Aplicamos estándares de configuración aceptados por la industria para todos los componentes del sistema que abordan todas las vulnerabilidades de seguridad conocidas . Esto se extiende a nuestra red interna y externa, nuestros sistemas operativos y el hardware necesario para alojar servicios web.

Aplicamos criptografía y protocolos de seguridad que cifran y protegen los datos del titular de la tarjeta incluso cuando se transmiten a través de redes públicas. Los certificados SSL y otras claves de seguridad de confianza se aplican de forma unilateral. Solo se permiten cifrados TLS modernos.

Restringimos el acceso físico a nuestro centro de datos con políticas de seguridad las 24 horas y un equipo capacitado para implementarlas. Esto incluye, pero no se limita a:

  • Videovigilancia con historial de imágenes de 90 días
  • Entrada segura con autenticación de al menos dos factores (PIN, tarjeta de acceso) en la mayoría de las áreas y autenticación de tres factores (PIN, tarjeta de acceso, huella digital) en áreas que albergan el entorno de datos del titular de la tarjeta
  • Identificación visible en todos los miembros del equipo
  • Política de visitantes que impide el acceso público no autorizado; las personas externas autorizadas tienen acceso solo a las áreas requeridas y están escoltadas en todo momento
  • Los miembros del equipo tienen acceso al entorno de datos del titular de la tarjeta solo si su rol lo requiere
  • Acceso restringido a tomas de red, puntos de acceso inalámbrico, puertas de enlace, redes y otras líneas de comunicación

Hacemos un seguimiento y controlamos el acceso a los recursos de la red y los datos del titular de la tarjeta , aunque corresponde a los clientes mantener registros y controlar los inicios de sesión para sus propias aplicaciones (Magento, WordPress, etc.).

Probamos regularmente nuestros sistemas y procesos de seguridad , y realizamos pruebas de penetración internas a intervalos regulares, así como después de cualquier actualización importante de la infraestructura.

Requisitos de PCI para comerciantes

Tienda segura con Nexcess Si se implementa correctamente, el cumplimiento de PCI ayuda a los comerciantes a adherirse a las mejores prácticas de seguridad de datos comúnmente aceptadas. Hospedar con un proveedor compatible con PCI es un primer paso sólido, pero volverse compatible aún requiere acción de su parte.

Si su tienda acepta tarjetas de crédito como pago, debe cumplir con PCI, ya sea que almacene esos datos o no. Elegir un servidor web compatible con PCI es solo el primer paso. La mayoría de los servidores web confiables pueden proporcionar a los comerciantes materiales que describen sus respectivas responsabilidades a pedido, pero en última instancia, depende de los comerciantes comprender y cumplir con estos requisitos.

Lamentablemente, no existe una lista de verificación de "talla única". Sus responsabilidades específicas variarán según su nivel de comerciante (1 a 4, siendo 1 el más alto), que generalmente se determina por la cantidad de transacciones con tarjeta de crédito que su tienda procesa anualmente.

El proceso general para la mayoría de los comerciantes es:

  1. Identificar, comprender e implementar los requisitos adecuados de PCI DSS.
  2. Completar un Cuestionario de Autoevaluación (SAQ). El SAQ es una lista de verificación que describe los requisitos. Dependiendo de tu nivel, se te aplicarán algunas o todas. Los comerciantes de nivel 1 tienen la mayoría de los requisitos; nivel 4, el mínimo.
    Resista la tentación de simplemente "marcar cada casilla" en el SAQ. Si lo hace, pone en peligro a sus clientes y expone su negocio a la responsabilidad. La PCI puede perder dinero por las infracciones y, en respuesta, puede investigar su SAQ y AOC.
  3. Envíe un análisis trimestral por parte de un proveedor de análisis aprobado (ASV) , una autoridad calificada e independiente que realiza análisis de vulnerabilidades externas en sus sistemas.
  4. Complete la Declaración de Cumplimiento (AOC), un documento que afirma que es elegible para realizar y, de hecho, ha realizado el SAQ lo mejor que pudo.
  5. Si está clasificado como comerciante de nivel 1, debe tomar medidas adicionales, incluida una evaluación en el sitio.

Si superar el considerable obstáculo del cumplimiento de PCI no le atrae, no está solo. Su proveedor de alojamiento puede responder preguntas relacionadas con la superposición de responsabilidades, y los asesores de seguridad calificados (QSA) de terceros pueden ayudar a las empresas a enfrentar el desafío de PCI (por un precio).

Incluso las empresas que ofrecen solo PayPal, Auth.net y otros servicios de pago como opciones de pago deben cumplir con PCI porque esas empresas aún deben transmitir datos de tarjetas de crédito.

Un componente universal es la necesidad de confirmar que todos sus proveedores de servicios cumplen con PCI. Esto incluye a su proveedor de alojamiento, pero también se extiende a los procesadores de pago, las pasarelas de pago, los proveedores de POS y cualquier otra entidad que toque los datos del titular de la tarjeta de sus clientes.

Algunos aspectos esenciales de PCI para comerciantes

  • Mantener el cumplimiento de PCI. El cumplimiento requiere una conciencia constante y una aplicación diaria. Las tareas varían entre diarias y anuales, pero todas son recurrentes.
  • No marque simplemente “Sí” en todas las preguntas del SAQ . La debida diligencia protege su negocio y sus clientes.
  • Conozca su código o use un desarrollador que lo haga . Implemente las mejores prácticas de implementación utilizando sitios de ensayo y desarrollo sin excepción.
  • Establezca una política de contraseñas seguras. Use contraseñas únicas y complejas y nunca permita que su personal comparta las credenciales de inicio de sesión o use contraseñas predeterminadas.
  • Habilite la autenticación de dos factores para todos sus usuarios internos y considere proporcionarla como una opción para los clientes que inician sesión en su sitio.
  • Utilice un cortafuegos de aplicaciones web (WAF) . En Nexcess, proporcionamos uno para todos los clientes y está habilitado de forma predeterminada.
  • No confíe únicamente en la palabra de su proveedor de alojamiento. Confirme que cumplen con PCI y son competentes solicitando (y obteniendo) su Atestación de Cumplimiento (AOC).
  • Mantenga sus aplicaciones y extensiones actualizadas con la última versión estable y controle activamente las nuevas amenazas y versiones .

Más allá de PCI

Si el cumplimiento de PCI fuera suficiente, las infracciones de organizaciones de alto perfil serían mucho menos comunes. Complaciente no debe significar complaciente.

En realidad, el cumplimiento de PCI es "Seguridad de datos del titular de la tarjeta 101". Es el estándar mínimo aceptable y una introducción razonable, pero PCI está lejos de ser infalible. Las compañías de tarjetas de crédito requieren cumplimiento. Los comerciantes que se adhieren a los estándares de PCI serán más efectivos para proteger a los consumidores que las empresas que solo les pagan de boquilla, pero el cumplimiento de PCI es solo el primer paso.

La naturaleza misma de PCI, un documento grande y curado que se actualiza solo periódicamente, lo hace vulnerable. Los estándares considerados suficientes en la versión “actual” a menudo se exponen como inadecuados. PCI puede tardar meses o incluso años en "ponerse al día", y los malos actores son muy conscientes de sus limitaciones.

La mejor protección es el conocimiento. En Nexcess, contamos con miembros del equipo que se especializan en seguridad web y están bien informados sobre las amenazas, infracciones y contramedidas más recientes. Muchos comerciantes pueden ser reacios a contratar los servicios de un experto en seguridad. Como mínimo, recomendamos suscribirse a las notificaciones de seguridad para su aplicación de comercio electrónico y seguir al menos una fuente confiable de noticias sobre seguridad web. Ambas fuentes reaccionan mucho más rápido que el PCI, y seguirlas te ayudará a “detectar el humo” antes de que se convierta en un incendio.

¡Estamos en la Lista!

No olvide que estamos "en la lista" de proveedores compatibles con PCI reconocidos oficialmente por Visa Global Registry. Eso significa que hemos demostrado un compromiso continuo para revisar y mejorar nuestras políticas de seguridad para igualar y superar los requisitos de cumplimiento de PCI. Si está buscando un proveedor compatible con PCI, hospedar con Nexcess significa que está hospedando con un proveedor aprobado y reconocido. Obtenga más información sobre el alojamiento compatible con PCI con Nexcess.

Para obtener orientación sobre el cumplimiento de PCI, comuníquese con nuestro equipo de ventas entre las 9 a. m. y las 5 p. m., hora del este, de lunes a viernes.