Cómo crear una pasarela de pago segura
Publicado: 2021-10-07Es mejor prevenir que lamentar. Y esa afirmación es aún más cierta para las tiendas en línea. Asegurar su proceso de pago es fundamental para mantener la confianza del cliente y mantener su flujo de negocios e ingresos.
¿Su sistema de pago está bajo llave? Obtenga más información sobre los ataques y asegúrese de estar protegido con nuestra lista de verificación de seguridad.
¿Cómo son los ataques a la pasarela de pago?
Cuando un ciberdelincuente se dirige a su pasarela de pago, su objetivo es descubrir o robar información de tarjetas de crédito que luego pueden vender en línea.
Los ataques a la pasarela de pago pueden adoptar la forma de:
- Ataques de enumeración, que prueban la validez de las combinaciones de tarjetas de crédito para encontrar las que funcionan. En su sitio, esto podría parecer varios intentos fallidos de pago con un pedido pequeño.
- Credenciales de administrador robadas. Los delincuentes utilizan técnicas de phishing u otros métodos para acceder a su cuenta de administrador y pasarela de pago con el objetivo de robar la información de la tarjeta de crédito del cliente.
- Dispositivos POS clonados. Los delincuentes copian sus dispositivos de punto de venta (que utilizan las credenciales de su pasarela de pago) para generar pedidos falsos.
¿Por qué preocuparse por la seguridad de la pasarela de pago?
Una vez que su tienda esté en funcionamiento, puede sentirse tentado a pensar que está lo suficientemente seguro, especialmente si aún no ha sido el foco de los piratas informáticos. Pero cuando los delincuentes apuntan a su pasarela de pago, es posible que se enfrente a consecuencias como:
- Tiempo necesario para resolver y tratar las infracciones, lo que le impide dedicar tiempo a las partes de su negocio que generan ingresos.
- Problemas con el rendimiento del sitio web, debido al tráfico de ataques de fuerza bruta.
- Pérdida de confianza con su proveedor de pasarela de pago, lo que posiblemente resulte en tarifas más altas o cancelación del servicio.
Cómo bloquear su sitio
Con suerte, nunca tendrá que preocuparse por los ataques reales. Pero errar por el lado seguro y pensar un poco, dedicar tiempo e invertir a cada uno de estos problemas para asegurarse de que su sitio esté bloqueado.
Use CAPTCHA para las cuentas de usuario y el proceso de pago
Asegúrese de que los bots no puedan ingresar a su sistema agregando un CAPTCHA a sus páginas de registro y pago. Aunque es un paso adicional para los clientes, vale la pena por la forma simple y efectiva que evita que los bots ataquen su sitio.
Hay una variedad de métodos que puede usar para agilizar el proceso para sus clientes legítimos, al mismo tiempo que agrega seguridad. Considere las funciones avanzadas de la extensión ReCaptcha para WooCommerce para encontrar el equilibrio adecuado entre facilidad y seguridad.
Invierte en hosting de calidad
Su host es su socio en rendimiento y seguridad. Un proveedor de calidad incluirá características de seguridad críticas como:
- Un certificado SSL, que cifra la información del cliente, como los datos de la tarjeta de crédito y las direcciones.
- Servidores compatibles con PCI que siguen todas las pautas de la compañía de tarjetas de crédito.
- Escaneos regulares del sitio, copias de seguridad y monitoreo de ataques de fuerza bruta.
Pero no confíe sólo en su anfitrión. Considere agregar un firewall a su sitio, que actúa como una barrera entre su tienda y los piratas informáticos, evitando que ingresen.
Y herramientas como Jetpack Security brindan escaneos de malware, alertas de tiempo de inactividad y copias de seguridad fuera del sitio.
Use un complemento antifraude
Proteja su pasarela de pago directamente con un software antifraude que monitorea sus pedidos y vigila cualquier actividad sospechosa.
Las extensiones como WooCommerce Anti-Fraud buscarán transacciones que caigan en patrones de ataque típicos y bloquearán pedidos sospechosos y usuarios cuestionables.
Puedes bloquear actividades como:
- Muchos pedidos pequeños realizados en rápida sucesión
- Una afluencia repentina de pedidos desde una ubicación geográfica fuera de su zona típica de pedidos
- Pedidos realizados desde una lista de bloqueo de direcciones de correo electrónico y direcciones IP
- Diferencias sospechosas entre las direcciones de facturación y envío
- Pagos realizados por cuentas de PayPal nuevas y no verificadas
- Uso de servidores proxy y otras actividades de enmascaramiento
Puede establecer el nivel de sensibilidad para que se marquen los pedidos para encontrar el nivel de riesgo adecuado para su tienda.
Asegúrese de que las contraseñas sean seguras
Todos conocemos los conceptos básicos en lo que respecta a la seguridad de las contraseñas: use una variedad de caracteres, no use un nombre personal o una fecha, y no reutilice las contraseñas en los sitios web. Pero puede agregar seguridad adicional al:
- Hacer que sus contraseñas de administrador sean más complicadas con caracteres especiales, etc.
- Agregar software de bloqueo de contraseña, que limitará la cantidad de intentos fallidos de inicio de sesión
- Garantizar que los usuarios solo tengan los permisos mínimos necesarios para realizar su trabajo o tareas
- Ser consciente de las estafas de phishing y nunca compartir la información de su contraseña con empresas o personas sospechosas
Las contraseñas también se pueden usar para asegurar ciertas partes de su sitio. Use la extensión Categorías protegidas con contraseña para limitar el acceso a áreas comúnmente explotadas. Los compradores deberán tener una cuenta para verificar su identidad, o tendrán que acceder a la contraseña directamente de usted a través de canales seguros.
Limite el almacenamiento de información de la tarjeta de pago
Una gran característica de WooCommerce es que no necesita almacenar información de la tarjeta de crédito en absoluto: su pasarela de pago manejará la información de seguridad más vulnerable e importante.
Sugerencia clave: asegúrese de que su pasarela de pago seleccionada use la tokenización para pasar la información de la tarjeta de crédito de un lado a otro. Para máxima seguridad, considere WooCommerce Payments .
Pero si desea permitir que sus clientes configuren suscripciones o se registren para pedidos anticipados, entonces su sistema puede almacenar cierta información sobre las opciones de pago, ya sea en su sitio o a través de su pasarela de pago. Limite la cantidad de veces que los clientes pueden actualizar la información de su tarjeta de crédito. Varias actualizaciones por día son una bandera roja de los ataques de fuerza bruta.
Desactivar dispositivos POS de forma segura
Cuando los dispositivos POS hayan dejado de ser útiles, asegúrese de retirarlos de manera segura. Eso significa borrar toda la memoria y la configuración para garantizar que los códigos de acceso o las contraseñas almacenadas se eliminen y no se puedan clonar ni copiar. También significa devolver estos dispositivos a la empresa de origen para que puedan desecharse de forma segura; no dejes que acumulen polvo en la parte trasera de tu tienda.
Con todas las partes del sistema de pago completamente protegidas, sabrá que ha hecho todo lo posible para mantener su activo comercial más importante sano y salvo. Mantenga a raya a los atacantes y asegúrese de gastar su energía en la generación de ingresos y el crecimiento, en lugar de lidiar con brechas de seguridad.