Todos los sitios web de comercio electrónico deben seguir los requisitos descritos por los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).
Estos requisitos se rigen por las principales compañías de tarjetas de crédito para garantizar la transmisión, el almacenamiento y el manejo seguros de la información del titular de la tarjeta.
Los clientes de tu tienda online dependen de ti para proteger sus datos.
Esta guía explicará los objetivos y requisitos del cumplimiento de PCI DSS, las mejores prácticas para proteger los sitios web de comercio electrónico y las tácticas para combatir las amenazas contra los e-commerce.
Indice
¿Qué es el estándar PCI DSS?
Los estándares de seguridad de datos PCI (PCI DSS) incluyen prácticas generales, como restringir la información del titular de la tarjeta y la necesidad de crear contraseñas seguras y no predeterminadas, así como prácticas más detalladas como el cifrado y el uso de un firewall.
El PCI Security Standards Council es una organización global formada por las principales compañías de tarjetas de crédito, incluidas Visa, Mastercard, Discover y American Express.
Si tienes un sitio de comercio electrónico, el cumplimiento de PCI es obligatorio. No está dictado por el volumen de transacciones ni está restringido únicamente al almacenamiento, transmisión y procesamiento. Se aplica a cualquier negocio que permita pagos con tarjeta de crédito.
Con PCI, se pretende reducir la superficie de ataque. Para un sitio de comercio electrónico, esto implica específicamente el entorno de datos de tarjeta (CDE), la forma en que maneja las tarjetas de crédito en su sitio.
Incluso si aprovecha los servicios de terceros como Stripe, Recurly, PayPal u otra opción de pago seguro, tiene la obligación de seguir los requisitos establecidos por PCI DSS.
Los pequeños comerciantes no están excluidos de estos requisitos. Los sitios web de comercio electrónico desprotegidos son objetivos principales para los ladrones de datos.
Si se roban datos confidenciales del cliente o información del titular de la tarjeta de un sitio web del que usted es responsable, podría incurrir en multas, multas importantes e incluso perder la capacidad de aceptar tarjetas de pago.
Antecedentes al PCI-DSS. Los anteriores códigos de seguridad
Cuando la industria de las tarjetas de crédito se mudó al espacio digital, rápidamente se dio cuenta de la necesidad de protegerse del fraude digital. Los comerciantes y los responsables de manejar los datos necesarios debían protegerlos de la misma manera que protegerían la moneda física.
Entonces, como ahora, faltaba experiencia en ciberseguridad. Quienes manejaban tarjetas de crédito sabían que tenían que proteger los datos, pero no necesariamente sabían cómo hacerlo.
Las principales compañías de tarjetas de crédito tenían un interés personal en ayudar a las compañías a proteger los datos, por lo que cada una desarrolló sus propios estándares de seguridad.
Al principio, las compañías de tarjetas de crédito crearon sus propios programas internos de seguridad de la información. La introducción de un requisito centralizado ayudó a unir estos programas dispares bajo un mismo paraguas. La versión 1.0 se introdujo por primera vez en 2004.
Su versión actual, 3.2.1, se lanzó en 2018. El PCI Security Standards Council, fundado en 2006, ahora es una organización global con un amplio alcance sobre cómo se hacen los negocios en la era digital. Además de ayudar a que los datos de los titulares de tarjetas permanezcan en las manos correctas, PCI también ayuda a los emisores de tarjetas y a los bancos a limitar su responsabilidad en caso de que un comerciante sufra pérdidas por un incumplimiento.
Antes de introducirse PCI DSS, cada entidad de tarjetas de pago tenía su propio código de seguridad.
DSOP
Data Security Operating Policy (DSOP) es el código de seguridad establecido por American Express. Esta compañía establecía que mantener segura la información de los usuarios de las tarjetas es una parte importante del acuerdo al aceptar tarjetas American Express.
Los datos comprometidos tienen un impacto negativo en todos los involucrados, pero con esa política de seguridad se minimizará esta amenaza y se mantendrá la confianza del cliente.
La protección de datos puede ayudar a:
- Mejorar las relaciones con los clientes
- Incrementar la rentabilidad general
- Prevenir el daño a la reputación del negocio.
DISC
Discover Information Security Compliance (DISC) es el código de seguridad establecido por la empresa Discover.
Mantener la seguridad de sus datos de transacción es de suma importancia. Es por eso que todos los comerciantes, adquirentes, revendedores y proveedores de servicios que procesan, almacenan o transmiten datos de titulares de tarjetas en la red Discover debían cumplir con este código.
El programa Discover Information Security & Compliance (DISC) ayuda a promover el cumplimiento y cumplir con los estándares de seguridad de la Industria de tarjetas de pago (PCI), lo que ayuda a proteger los datos de los titulares de tarjetas y limitar los compromisos de datos.
DSP
Data Security Program (DSP) es el programa de seguridad creado por JCB International para garantizar la seguridad de las transacciones realizadas con sus tarjetas de pago.
SDP
Site Data Protection (SDP) es el código de seguridad creado por Mastercard para proteger, tanto a usuarios como a comerciantes, de usos ilegales y fraudes a través de sus tarjetas de crédito.
CISP
El programa de seguridad para los pagos a través de tarjetas Visa USA se denominó Cardholder Information Security Program (CISP). Con él se pretende igualmente proteger los datos en transacciones realizadas mediante tarjetas de crédito.
AIS
Account Information Security Program (AIS) es el código de seguridad para pagos a través de tarjeta elaborado por Visa International.
¿Quién debe cumplirlo?
En general, las compañías de tarjetas de crédito requieren el cumplimiento de PCI para asegurar las transacciones en línea y protegerlas contra el robo de identidad. Cualquier comerciante que desee procesar, almacenar o transmitir datos de tarjetas de crédito debe cumplir con PCI, de acuerdo con el PCI Compliance Security Standard Council.
Importancia del cumplimiento de PCI DSS
La confianza es la clave de los negocios en línea. Si ocurre un incidente de seguridad, puede causar estragos en el tráfico, los ingresos y la reputación de la marca.
Las compras online están creciendo en popularidad, y los sitios web de comercio electrónico son objetivos para los ciberdelincuentes que buscan robar datos confidenciales de clientes e información de tarjetas de crédito.
Con scripts automáticos, los hackers pueden encontrar sitios web con una tienda online, buscar vulnerabilidades y obtener acceso no autorizado.
Las pequeñas tiendas web con pocas ventas no están exentas: los delincuentes son oportunistas y se centrarán en cualquier sitio web accesible o recursos del servidor. A menudo es más fácil hackear miles de pequeños sitios web de comercio electrónico que piratear una gran empresa online.
Las tiendas online son susceptibles a una serie de riesgos y amenazas:
- Los ladrones de tarjetas de crédito ponen a sus clientes en riesgo de robo de identidad o fraude de tarjetas de crédito.
- El secuestro provoca la pérdida de ventas cuando los clientes son redirigidos a un carrito de compras falso.
- El contenido inyectado del sitio web puede propagar spam, malware y publicidad maliciosa.
- Los recursos del servidor pueden ser robados y utilizados en campañas de malware, ataques DDoS , etc.
- Los sitios pirateados pueden ser bloqueados por motores de búsqueda, programas antivirus y navegadores.
Debido a que siempre habrá algún nivel de riesgo, la seguridad es un proceso continuo. Una estrategia de seguridad de comercio electrónico adecuada requiere evaluación y diligencia frecuentes.
Pasos para adaptarse al PCI DSS
Los requisitos se dividen en múltiples requisitos secundarios y cientos de acciones. A primera vista, cumplir con todos estos requisitos puede parecer una tarea desalentadora para un propietario de un sitio web pequeño.
Explicamos cada requisito de PCI en términos prácticos para pequeñas y medianas empresas con infraestructura limitada (es decir, un pequeño número de servidores, aprovechando servidores basados en la nube y proveedores externos para el procesamiento de pagos).
1. Construir y mantener una red segura
Este primer requisito se relaciona directamente con la seguridad y la documentación de tu red. Dependiendo de tu nivel de habilidad, puedes hacerlo tú mismo o encontrar un proveedor de servicios asequible que pueda ayudarte.
Si estás pasando por el proceso de evaluación de PCI, te recomendamos que sigas estos pasos:
- Identifica tu entorno de datos de tarjeta (CDE). Si alojas tu sitio web internamente y manejas los datos del titular de la tarjeta, es probable que tu red local forme parte del CDE.
- Escribe un documento de «Proceso de firewall» que enumere todos tus servidores, su propósito, quién tiene acceso a ellos, qué es accesible externamente y qué servicios se están ejecutando allí.
- Basado en ese documento, crea una regla de firewall que bloquee todo y solo permita lo que se necesita para las funciones comerciales requeridas. Esto debería aplicarse tanto al tráfico entrante como al saliente.
- Escribe estas reglas en su nuevo documento «Proceso de firewall» y aplica las reglas y restricciones a todos sus servidores.
Completar estos pasos te ayudará a cumplir con los requisitos para conocer tus activos web, así como a restringir y separar el acceso entre entornos a través de un firewall.
Consecuencias de inclumplir el estándar PCI DSS
Si se determina que un comerciante no cumple con las PCI-DSS, puede haber una variedad de sanciones y consecuencias que van desde multas, pérdida de tiempo y daños a la reputación.
Multas
Los sitios web que no cumplen con PCI pueden sufrir fuertes sanciones por parte de los reguladores de la industria de pagos si los clientes experimentan transacciones fraudulentas. El coste promedio de una violación de datos para una pequeña empresa es de 90.000 euros, y para grandes empresas puede ser de hasta 4 millones de euros.