¿Qué es el cumplimiento PCI de Magento y por qué su tienda Magento lo necesita?
Publicado: 2022-06-01El comercio electrónico se ha desarrollado cada vez más rápidamente recientemente. Por lo tanto, muchas empresas abren su tienda en línea en diferentes plataformas como Woocommerce, Shopify,... especialmente Magento debido a las funciones brillantes. Sin embargo, junto con los enormes beneficios, la seguridad también es la principal preocupación tanto de los clientes como de los propietarios. Los compradores no quieren que su información personal se revele a un tercero que pueda dañarlos y las empresas quieren mantener una imagen profesional para ganarse la confianza de los clientes. Por lo tanto, en este artículo le presentaremos una excelente solución para ayudarlo a resolver el difícil problema: el cumplimiento de Magento PCI.
Para empezar, debe estar familiarizado con el cumplimiento de PCI
Entonces, ¿qué es el cumplimiento de PCI?
PCI es la abreviatura de Industria de tarjetas de pago. El cumplimiento de PCI es una colección de normas y leyes básicas con el objetivo de mejorar la seguridad de los datos de pago en todo el mundo. Entre ellas se encuentran las políticas, la gestión de seguridad, la arquitectura de red, el diseño de software y otras restricciones. PCI DSS establece las mejores prácticas para que las empresas de comercio electrónico brinden un entorno seguro para los datos confidenciales. Otro conocimiento es que el PCI Security Standards Council desarrolla y distribuye todos los estándares de cumplimiento de PCI. El PCI Security Standards Council se estableció en 2006 para desarrollar estas regulaciones y supervisar el cumplimiento de PCI en la industria del comercio electrónico. Visa, Mastercard, JCB International, Discover Financial Services y American Express se encuentran entre las redes de tarjetas de pago globales más grandes representadas en el consejo.
El cumplimiento de PCI es obligatorio para cualquier empresa que opere una tienda en línea. Las empresas que se adhieren y logran el cumplimiento de PCI DSS (Estándares de seguridad de datos de la industria de tarjetas de pago) se denominan compatibles con PCI.
Hay diferentes niveles de cumplimiento de PCI DSS que debe conocer
El cumplimiento de PCI tiene cuatro etapas diversas, cada una de las cuales se refiere a una evaluación anual por parte de un asesor de seguridad calificado y un escaneo trimestral por parte de un proveedor de escaneo aprobado de alcance variable.
Cumplimiento PCI DSS Nivel 1
Este es el nivel inicial de cumplimiento de PCI para comercio electrónico y se usa para organizaciones que procesan millones de transacciones. Los siguientes tipos de negocios están sujetos a estas reglas:
- Las empresas de comercio electrónico que manejan más de 6 millones de transacciones con Visa o Mastercard cada año, consisten en transacciones en línea y fuera de línea (si una empresa tiene presencia fuera de línea)
- Cada año, los facilitadores de pagos ejecutan unas 300.000 transacciones.
- Todas las tiendas en línea que Visa considera de Nivel 1
- Cada año, un auditor autorizado de PCI realiza una auditoría para verificar su cumplimiento. Cada trimestre, las organizaciones de nivel 1 deben tener un escaneo PCI realizado por un proveedor de escaneo aprobado, o ASV.
Cumplimiento PCI DSS Nivel 2
Esta forma de regulación suele ser adecuada para grandes empresas con un volumen de transacciones de menos de 6 millones:
- Los comerciantes realizan entre 1 y 6 millones de transacciones Visa anualmente, con pagos en línea y físicos.
- Con más de 300 000 transacciones anuales, los facilitadores de pago tienen una gran demanda.
- Cada año, estas empresas deben completar un Cuestionario de autoevaluación, o SAQ, así como un escaneo PCI cada trimestre.
Cumplimiento PCI DSS Nivel 3
Este nivel de cumplimiento de PCI para comercio electrónico es para comerciantes que realizan de 20 000 a 1 millón de transacciones de comercio electrónico de Visa por año.
Estas empresas, al igual que el nivel 2, deben completar un SAQ anual, pero solo tienen la obligación de realizar escaneos trimestrales en ciertas condiciones.
Cumplimiento PCI DSS Nivel 4
El nivel 4 se refiere a negocios de comercio electrónico más pequeños con menos transacciones:
- Los vendedores que realizan menos de 20,000 transacciones con Visa por año no son elegibles.
- Comerciantes que ejecutan un millón o más de transacciones Visa por año (en línea y fuera de línea)
Aunque se requiere una SAW anual, la exploración PCI trimestral se realiza "según sea necesario".
La descripción general de los principales niveles de cumplimiento de PCI DSS proporcionada anteriormente lo ayudará a determinar qué nivel de cumplimiento debe alcanzar su empresa.
Cumplimiento PCI de Magento
Edición comercial de Magento
Magento 2 Commerce (Cloud) Edition, especialmente la última versión Magento 2.4.4 está certificado por PCI como proveedor de soluciones de nivel 1, continuando con el legado de su predecesor. El cumplimiento de PCI es cada vez más accesible para las empresas. Pueden confiar en la Declaración de cumplimiento PCI de Magento para ayudarlos a demostrar que han cumplido con los criterios.
Debido a que la mayoría de las personas que usan Commerce Edition son empresas medianas y grandes que manejan más de 6 millones de transacciones por año, esto es fundamental.
Además, las tiendas de Magento están vinculadas a pasarelas de pago, que envían datos directamente a la pasarela de pago en lugar de almacenarlos en el servidor de Magento. Tanto las ediciones Magento Open Source como Commerce tienen esta capacidad.
Edición de código abierto de Magento
La Open Source Edition no incluye el cumplimiento de PCI como característica. Sin embargo, hay algunas opciones para hacer que su sitio web de Magento sea compatible con PCI:
1. Realice un pago a través de un servicio de terceros (por ejemplo, PayPal express)
Así lo dijimos en la sección de la edición Commerce.
No necesitará cumplir con PCI si elige esta opción porque la información de la tarjeta de crédito no se almacenará en su servidor. El uso de una pasarela de pago de terceros en el pasado podría haber interrumpido el proceso de pago de su cliente. Sin embargo, esto ya no es un problema.
Con una pasarela de pago de terceros, por ejemplo, la integración de Magento Stripe, los comerciantes ahora pueden proporcionar una experiencia de pago sin inconvenientes. Puede realizar cambios en la aplicación principal de comercio electrónico Magento sin tener que pasar por una nueva evaluación para cumplir con PCI si los datos confidenciales no están almacenados en el servidor Magento.
2. Use una aplicación de pago SaaS que cumpla con PCI.
Puede utilizar CRE Secure, que cumple con PCI, como ejemplo. Se dirige al cliente a un sitio web diferente (la URL cambia), pero el formulario se puede ajustar para que coincida con el diseño de su tienda.
Y la pregunta es ¿por qué necesita ser compatible con PCI?
No es una exageración afirmar que el comercio electrónico ha dominado el mercado durante los últimos años. Junto con este desarrollo, existe una creciente preocupación por la seguridad de los datos de los clientes cuando se relaciona con las transacciones financieras en línea. A pesar de que la ley no exige el cumplimiento de PCI, así lo considera un precedente. Esto ocurre porque, al aceptar pagos con tarjeta, es su responsabilidad proteger la información financiera confidencial de sus clientes.
Las empresas de comercio electrónico se benefician de cumplir con PCI de varias maneras, que incluyen:
Violaciones de datos
- Sin el cumplimiento de PCI, su empresa corre el riesgo de sufrir violaciones de datos, filtraciones y piratas informáticos, lo que puede provocar una grave pérdida de ingresos.
- El cumplimiento de PCI fortalece sus defensas contra el ciberdelito y ayuda en la prevención de violaciones de datos.
- Además, su empresa puede enfrentar demandas judiciales, cargos por reemplazo de tarjetas y costos de compensación de clientes.
- Si se descubre una filtración de datos y su empresa cumple con PCI, los costos de la filtración se reducen.
- Reducir el número de filtraciones de datos. Lo más esencial es proteger los datos de los titulares de tarjetas (nuestros clientes) de los ataques cibernéticos.
Sanciones y fuertes multas
- El incumplimiento de las reglas de PCI puede resultar en una variedad de multas que pueden agotar por completo sus recursos financieros.
- Según el volumen de transacciones y la duración del incumplimiento, las sanciones pueden oscilar entre $ 5,000 y $ 100,000 por mes.
- Las fallas en el cumplimiento del gobierno podrían resultar en multas sustanciales además de las sanciones impuestas por los proveedores de pago.
- En caso de infracciones graves, las multas pueden alcanzar los 20 millones de euros.
- Se pueden imponer cargos por fraude, exámenes forenses y sanciones adicionales si la empresa vuelve a infringir la ley.
Pérdida de reputación e ingresos.
- Según una encuesta reciente de Verizon, el 69 % de los clientes evitaría hacer negocios con una empresa que haya sufrido una filtración de datos, incluso si ofrece mejores ofertas que sus rivales.
- Los consumidores ahora tienen altas expectativas de seguridad y una baja tolerancia a las vulnerabilidades de privacidad de datos, gracias a un mayor conocimiento de los problemas de privacidad de datos de los consumidores.
- Las filtraciones de datos pueden dañar la reputación de su marca y, al mismo tiempo, reducir la lealtad del cliente.
Suspender el uso de tarjetas de crédito en tu tienda Magento
- Después de una violación de datos, el incumplimiento del cumplimiento de PCI podría resultar en la revocación de su capacidad para aceptar pagos con tarjeta de crédito.
- La suspensión de su cuenta de tarjeta de crédito es una pérdida más grave para su negocio porque impide que su tienda procese tarjetas de crédito en el futuro.
- Necesitará una estricta política de seguridad que cumpla con las pautas de PCI para evitar tales pérdidas.
Ahora, pasamos a la lista de verificación de requisitos de cumplimiento de PCI DSS
Para las empresas que administran datos de titulares de tarjetas y mantienen una red de procesamiento de pagos, el PCI SSC ha establecido 12 estándares divididos en seis secciones. Todos estos requisitos deben ser cumplidos por cualquier empresa que quiera cumplirlos.
Construya y mantenga una red segura
El primer conjunto de requisitos se refiere al mantenimiento de una red segura y especifica que una empresa debe:
- Instala y mantiene un firewall actualizado.
- En los datos del cliente, utiliza contraseñas originales seleccionadas por el usuario en lugar de contraseñas proporcionadas por el proveedor.
Proteger los datos del titular de la tarjeta
Salvaguardar la información sobre los tarjetahabientes que ha sido almacenada.
- Se utilizan varios niveles de seguridad para cuidar los datos almacenados del titular de la tarjeta.
- Es fundamental cumplir con este requisito de cumplimiento de PCI al evitar retener los datos del titular de la tarjeta por más tiempo del necesario.
- Permita que los clientes ingresen la información de su tarjeta de crédito a través de una pasarela de pago y nunca envíe información de pago sin un cifrado sólido.
Cifre los datos sobre los titulares de tarjetas que se envían a través de Internet.
- Cifre la transmisión de datos del titular de la tarjeta a través de redes abiertas y públicas.
- Antes de transportar datos confidenciales de tarjetas a varios sistemas, es fundamental cifrarlos. Usando las tecnologías SSL y TLS, puede lograr esto.
- El cifrado de datos durante el tránsito es extremadamente importante, ya que protege los datos de los consumidores, incluso si se violan las redes durante la transferencia.
- Un certificado SSL aumenta la confianza del consumidor al mismo tiempo que aprueba el tránsito seguro de datos.
Gestión de la vulnerabilidad
La tercera categoría se refiere a cómo una empresa gestiona las vulnerabilidades de la red y requiere que una empresa:
- El software antivirus debe usarse y actualizarse periódicamente.
- Crea y mantiene software y sistemas seguros.
Implementar medidas sólidas de control de acceso
Restringir el acceso a los datos de la tarjeta
El acceso a los datos del titular de la tarjeta debe ser la limitación para aquellos que tienen una necesidad comercial de saber.
Al restringir el acceso a los datos del titular de la tarjeta a un pequeño número de personas, puede disminuir el fraude y el robo de datos.
Se puede otorgar acceso a los administradores con credenciales autorizadas.
También lo ayuda a realizar un seguimiento de todas las modificaciones del sistema al monitorear y documentar el control de acceso.
La entrada limitada le permite categorizar los procedimientos de seguridad en función de quién necesita saberlo, lo que le brinda una imagen clara de todas las tareas administrativas.
Identificaciones únicas para el acceso a datos
Cada persona que tenga acceso a la computadora debe recibir una identificación única.
Puede realizar un seguimiento de la actividad de cada individuo autorizado utilizando ID únicos.
Lleve a cabo una autorización de 2 factores para mayor protección, modifique las contraseñas de acceso periódicamente y conserve registros detallados.
Las identificaciones únicas también lo ayudan a controlar las cuentas de usuario y proteger el acceso de los usuarios en todos los niveles, lo que facilita la administración de identidades y accesos (IAM).
Restringir el acceso físico a los datos
El acceso físico a los datos del titular de la tarjeta debe ser una limitación
La seguridad de los datos se expande a los centros de datos y servidores en el mundo físico.
Los datos deben permanecer en un entorno seguro con acceso autorizado, ya sea en el sitio o fuera del sitio.
Los centros de datos internos deben vigilar a los trabajadores y visitantes ilegales. Antes de dar acceso al centro de datos, también puede actualizar los controles de seguridad periódicamente.
Si mantiene los datos fuera del sitio, consulte las precauciones de seguridad utilizadas por el proveedor de almacenamiento y elija un servicio de alojamiento de Magento de buena reputación.
Monitoree y pruebe las redes regularmente
El quinto conjunto de estándares se centra en cómo una empresa supervisa y examina su red, y exige que la empresa:
- Todo el acceso a los datos del titular de la tarjeta y los recursos de la red se rastrea y supervisa.
- Evalúa periódicamente los sistemas y protocolos de seguridad.
Mantener una Política de Seguridad de la Información
Y por último, todos los sistemas y procedimientos deben probarse periódicamente, según lo exige PCI DSS, para garantizar que se mantenga la seguridad.
Entonces, ¿cómo se obtiene el cumplimiento de PCI?
Cualquier empresa u organización que acepte pagos con tarjeta en línea o guarde datos de tarjetas de crédito debe cumplir con PCI, a través del PCI Compliance Security Standard Council.
Por lo general, las empresas deben verificar su cumplimiento de PCI cada año o trimestre empleando un asesor profesional o una empresa para establecer si están realizando transacciones correctamente.
Entonces, ¿cómo se cumple con PCI?
- Determine el nivel de PCI que desea utilizar. La cantidad de transacciones con tarjeta que procesa su organización cada año determina cuál de los cuatro niveles se le asignará. Influirán en su enfoque del cumplimiento de PCI DSS.
- Elija un cuestionario para su autoevaluación (SAQ). Induzca siete tipos diferentes según su nivel de comerciante y cómo procesa la información de la tarjeta de crédito. Cada clase indica un conjunto separado de estándares que deben cumplirse para cumplir con PCI.
- Cree una red segura para satisfacer los estándares de certificación PCI DSS. Desde el escaneo de vulnerabilidades hasta el mantenimiento y la reparación de la seguridad, este método puede manejarlo todo. Para hacer frente a todo el trabajo pesado, necesitará la ayuda de un contratista de tecnología de la información.
- Complete el formulario de Atestación de cumplimiento (AOC): un documento que verifica los resultados de una auditoría PCI DSS.
- El camino hacia el cumplimiento de PCI puede ser difícil de transitar. Sin embargo, si desea proteger las percepciones de sus clientes sobre usted y sus datos vitales de los piratas informáticos, vale la pena el viaje.
Le proponemos que, como propietario de una tienda Magento, configure un complemento SecurePay que cumpla con PCI DSS. Para los minoristas, esta será una forma más rentable de enviar información de transacciones a SecurePay para su procesamiento.
Además, puede estar preocupado por cuánto cuesta el cumplimiento de PCI.
Los costos de cumplimiento de PCI varían según el tamaño de su empresa, los procedimientos de procesamiento de tarjetas y otras consideraciones.
El cumplimiento de PCI DSS puede costar tan solo $ 300 por año para las pequeñas empresas, según los siguientes factores:
- $50 – $200 por un Cuestionario de Autoevaluación (SAQ).
- El escaneo de vulnerabilidades cuesta entre $100 y $200 por dirección IP.
- Alrededor de $70 por empleado para capacitación y formulación de políticas.
- De $100 a $10,000 para remediación (dependiendo de la cantidad de trabajo requerido para cumplir con el cumplimiento y la seguridad).
Se espera que el costo total de un examen PCI DSS para las principales empresas sea de alrededor de $ 70,000, incluidos
- Auditoría in situ: Aproximadamente $40,000
- El escaneo de vulnerabilidades cuesta alrededor de $1,000.
- Alrededor de $ 15,000 para pruebas de penetración
- $5.000 para formulación de políticas y capacitación.
- Remediación (actualizaciones de software y hardware, etc.): $10,000 – $500,000
El precio de cumplir con PCI a nivel empresarial no es económico. Aún así, cualquier tarifa de cumplimiento de PCI no vale la pena poner en peligro la información de sus clientes o la imagen a largo plazo de su empresa.
Por último, pero no menos importante, le daremos algunas de las mejores prácticas para el cumplimiento de Magento PCI
Formación de los empleados
El cumplimiento de Magento PCI es un requisito tecnológico que requiere un amplio conocimiento y capacitación antes de la implementación.
Asegúrese de que su plataforma Magento esté protegida por un equipo de expertos.
Dedíquese a la capacitación de los empleados o contrate a expertos de la industria para que lo ayuden con el cumplimiento y la seguridad de Magento.
Cuestionarios de autoevaluación (SAQ)
Con los pequeños minoristas, PCI DSS ha publicado nueve cuestionarios de autoevaluación.
SAQ es un examen básico de evaluación de seguridad sí/no que le permite evaluar su seguridad y realizar acciones de reparación efectivas.
Puede completar la evaluación y agregar una Declaración de cumplimiento una vez que haya determinado qué cuestionario es adecuado para su empresa.
El PCI SAQ sirve como verificación de cumplimiento y seguridad. Al colaborar con empresas de terceros, es ventajoso.
Documentar políticas e informes de cumplimiento
Mantenga un registro de las normas de seguridad documentando periódicamente los cambios y procesos operativos en su empresa.
El Informe PCI sobre Cumplimiento y Atestación de Cumplimiento (RoC/AoC) es una evaluación de cumplimiento de seguridad.
Lo realiza un asesor de seguridad calificado (QSA) o un asesor interno calificado para determinar si su tienda Magento es segura para procesar los datos del titular de la tarjeta.
Realice un mantenimiento regular
El cumplimiento de Magento PCI es un proceso de gestión continuo, no una evaluación única.
Los escaneos de vulnerabilidades deben realizarse de manera regular, la seguridad debe actualizarse y los procedimientos de cumplimiento deben documentarse minuciosamente.
Las configuraciones del sistema Magento cambian todo el tiempo y, si no se mantiene al día, perderá los controles de cumplimiento y pondrá en peligro la seguridad de los datos.
Conclusión
En el entorno de Internet, hacer frente al problema de la seguridad no es fácil ni para las empresas ni para los clientes. Por lo tanto, el cumplimiento de Magento PCI puede ser una ayuda para que las empresas reduzcan el riesgo proveniente del entorno en línea. No solo ayuda a los compradores a sentirse más seguros cuando compran en su tienda, sino que también puede generar confianza en los clientes, lo que puede mejorar la imagen de la marca y atraer a más clientes. Entonces, si es propietario de una tienda Magento, no dude en implementar el cumplimiento de Magento PCI. Si no sabe qué hacer, puede visitar nuestro servicio: desarrollo de Magento para encontrar la solución o contactarnos directamente para mayor comodidad.