¿Qué es el cumplimiento de PCI? Encuentre el mejor alojamiento web compatible con PCI

01.06.2020
Artículos y más ... '¿Qué es el cumplimiento de PCI? Encuentre el mejor alojamiento web compatible con PCI
0 8 мин.

mejor alojamiento web compatible con pci


Industria de tarjetas de pago: los estándares de seguridad de datos (PCI-DSS) son un vasto conjunto de requisitos adoptados por el Consejo de estándares de seguridad PCI, y están destinados a garantizar medidas consistentes de seguridad de datos en todos los comerciantes en línea. los Consejo de Normas de Seguridad PCI (PCI SSC) incluye JCB International, American Express, Discover Financial Services, VISA y MasterCard Worldwide. Cualquier comerciante en línea que acepte pagos a través de las principales compañías de tarjetas de crédito está sujeto a los requisitos de PCI-DSS.

Lograr y mantener el cumplimiento puede ser una experiencia estresante incluso para las principales empresas en línea, y mucho menos para los pequeños comerciantes. Pero las costosas repercusiones de la violación de datos y el incumplimiento de los requisitos de cumplimiento hacen que sea imprescindible que los proveedores de servicios en línea se aseguren de que sus clientes realicen transacciones de forma segura..

En este artículo, estamos discutiendo algunos de los requisitos más importantes para el cumplimiento de PCI y cómo encontrar el mejor alojamiento web compatible con PCI para gestionar mejor su estrategia de cumplimiento de PCI.

¿Qué significa ser compatible con PCI??

El cumplimiento de PCI es imprescindible para todas las empresas de comercio electrónico que aceptan tarjetas de crédito, independientemente de los ingresos y el volumen de transacciones. Por lo tanto, estos dos factores no determinarán si tiene que cumplir o no con las reglas de seguridad de datos establecidas por el PCI SSC, dado que incluso las empresas más pequeñas de comercio electrónico que aceptan tarjetas de crédito están sujetas a los estándares PCI-DSS; sin embargo, la cantidad de transacciones con tarjeta de crédito / débito que su negocio procesa anualmente determinará cuál de los cuatro niveles de cumplimiento debe alcanzar. El Nivel 1 tiene la mayor dificultad de cumplimiento, y es un estándar de seguridad que deben alcanzar las empresas de comercio electrónico que procesan más de 6,000,000 de tarjetas de crédito o débito en un período de 12 meses. Por otro lado, el nivel 4 tiene la dificultad de cumplimiento más baja, y se refiere a negocios en línea que procesan menos de 20,000 transacciones de tarjetas de crédito anualmente..

Si bien los estándares PCI-DSS definidos por el PCI SSC no son una ley, el cumplimiento de estos estándares es impuesto por las propias compañías de crédito. Las empresas que se encuentren en incumplimiento pueden esperar multas sustanciales ($ 5,000 – $ 100,000 por mes) y sanciones (pérdida del derecho a procesar pagos con tarjeta de crédito, aumento en las tarifas de procesamiento por transacción, pago de tarjetas de crédito comprometidas debido a la infracción, mudanza hasta un nivel de cumplimiento, etc.). Estas multas y sanciones pueden resultar catastróficas para una empresa, sin mencionar la pérdida de reputación que una empresa puede sufrir como resultado de una violación..

Aunque los estándares definidos y mantenidos por el PCI SSC se reducen en última instancia a asegurar los datos del titular de la tarjeta, lograr el cumplimiento de PCI plantea muchos obstáculos para el comerciante en línea promedio.

Estos son, en pocas palabras, los requisitos para el cumplimiento de PCI cubiertos en los estándares completos de PCI DSS que los proveedores de servicios en línea deben cumplir:

  • Construir y mantener una red segura, que involucra configuraciones de firewall y enrutador, pruebas relacionadas con estos, frecuencia de pruebas y administración segura de contraseñas;
  • Proteger los datos del titular de la tarjeta definiendo los parámetros de almacenamiento, retención de datos y uso de datos y los requisitos de cifrado, así como establecer la implementación de protocolos de cifrado y seguridad (SSL / TLS, SSH o IPSec) para la protección de los datos del titular de la tarjeta cuando se transmiten en abierto. redes públicas;
  • Ejecutar un programa de gestión de vulnerabilidades, que implica el uso de un programa antivirus que se actualiza regularmente, está activo en todo momento y que genera registros de auditoría. Otra faceta del programa de gestión de vulnerabilidades es el desarrollo y mantenimiento de sistemas y aplicaciones seguros, que se logra mediante el cumplimiento de las pautas de codificación segura y la revisión de código de terceros o aplicaciones personalizadas con respecto a las vulnerabilidades;
  • Implementando medidas de control de acceso de usuario seguras al proteger los datos confidenciales del acceso no autorizado, limitando el acceso configurando un control de acceso basado en roles (RBAC) bien definido, asignando identificaciones de usuario únicas para la trazabilidad, utilizando procesos de autenticación de dos factores, restringiendo el acceso físico al titular de la tarjeta datos;
  • Usando mecanismos de registro para rastrear y monitorear el acceso a la red y los datos del titular de la tarjeta, creando una pista de auditoría que debe conservarse durante al menos un año;
  • Ejecución de análisis de seguridad de red internos regulares (trimestralmente y después de cada cambio, actualización o modificación significativa en la red o infraestructura), envío a análisis trimestrales de ASV (proveedor de análisis aprobado) después de la aprobación del análisis de cumplimiento inicial, implementación de sistemas (intrusión sistemas de detección y sistemas de monitoreo de archivos) para alertar sobre modificaciones no autorizadas de archivos críticos y el compromiso del sistema;
  • Crear y mantener una política de seguridad de la información que cubra aspectos relacionados con la evaluación del personal, la evaluación de riesgos, la evaluación de vulnerabilidades, el acceso remoto, etc..

Las empresas que carecen de la experiencia y / o los recursos internos para ejecutar un programa de cumplimiento eficiente deben buscar la ayuda de un socio externo y un asesor de seguridad calificado, que ofrecerá orientación con respecto al cuestionario de autoevaluación PCI-DSS que deben completar, los requisitos deben cumplir con su nivel de cumplimiento, las deficiencias de infraestructura que deben resolver, etc..

Parte de la carga de cumplir estos requisitos se puede compartir con socios de soluciones, como proveedores de alojamiento, que pueden ayudar con la implementación y el mantenimiento de controles físicos, de red y del sistema..

Cómo encontrar el mejor alojamiento web compatible con PCI

Elegir un buen alojamiento web puede ser una tarea complicada en sí misma. Agregar el cumplimiento de PCI-DSS a la lista de sus requisitos puede hacer que el proceso sea aún más complicado. Estas son las principales cosas que debe hacer al buscar un alojamiento web compatible con PCI:

Discuta los componentes de cumplimiento de PCI realizados por su host

Pregunte al proveedor de alojamiento web sobre los componentes del cumplimiento de PCI que pueden manejar por usted. Por ejemplo, HostGator establece claramente en su sitio web que su VSP y sus servidores dedicados se han actualizado para cumplir con los requisitos de cumplimiento de PCI del servidor. Sin embargo, HostGator no proporcionará soporte para garantizar que los carritos de compras, el software de pasarela de pago, los complementos de carritos de compra, etc. utilizados por su sitio web cumplan con PCI, por lo tanto, esta tarea lo agobia como usuario de estas soluciones.

Obtenga más detalles sobre cada componente

Dado que el incumplimiento de los requisitos de cumplimiento de PCI conlleva una serie de riesgos que potencialmente amenazan la existencia misma de su negocio, siempre lea la letra pequeña de los servicios adicionales realizados por su empresa de hosting en sus esfuerzos por cumplir con PCI, y solicite más detalles sobre los adoptados. soluciones para ver si estos servicios se alinean con sus requisitos de cumplimiento de PCI-DSS. Las empresas de alojamiento como Rackspace, van más allá de simplemente ofrecerle cumplimiento de PCI del servidor al proporcionar una serie de otros servicios (por ejemplo, firewall administrado, certificados SSL, soluciones antivirus administradas, servicios de evaluación de vulnerabilidad, firewall de aplicaciones web, etc.).

Ver sobre soporte

Navegar por el laberinto para cumplir con los estándares de la industria impuestos por las compañías de tarjetas de crédito es sin duda un proceso extenuante para cualquiera, ya sea una pequeña o gran empresa. El soporte ofrecido para analizar sus necesidades y la ayuda para explorar los servicios que necesita pueden ayudar a reducir la complejidad de sus esfuerzos para cumplir.

Conclusión

Es importante recordar que el cumplimiento de PCI es una responsabilidad compartida, y al optar por un Alojamiento compatible con PCI, uno no se vuelve automáticamente compatible con PCI. Obtener una visión clara desde el inicio de las responsabilidades asumidas por cada socio de soluciones es un paso importante para lograr y mantener el cumplimiento.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector