Cumplimiento de PCI y WooCommerce: todo lo que necesita saber

Ya sea que esté creando, manteniendo u operando un sitio web de comercio electrónico, debe conocer sus responsabilidades de seguridad. Afortunadamente, existen estándares y regulaciones que pueden ayudarlo a mantener las tiendas en línea, como las creadas con WooCommerce, seguras y protegidas. El más notable de ellos es el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS).

¿Todos los sitios de WooCommerce deben cumplir con PCI?

No, no todos los sitios que usan WooCommerce deben cumplir con PCI-DSS. Estas reglamentaciones se aplican a las empresas que aceptan pagos en línea con tarjetas de crédito y débito. PCI-DSS no se aplica si usa WooCommerce para mostrar un catálogo en línea, aceptar solicitudes de cotización o permitir que los compradores realicen pedidos que no involucran pagos en línea. pagos

¿Cuál es el propósito del cumplimiento de PCI?

PCI-DSS está aquí para ayudar a garantizar que cuando sus compradores de WooCommerce paguen con una tarjeta de pago como Visa, Mastercard, American Express o Discover, la información enviada no termine en manos de delincuentes. Obtenga más información sobre qué es el cumplimiento normativo y cómo afecta la seguridad de WordPress.

¿Quién es responsable de cumplir con PCI?

Estos estándares PCI se aplican a todas y cada una de las organizaciones que aceptan, transmiten y/o almacenan datos de titulares de tarjetas. Esto incluye comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. En esencia, cualquier organización que toque datos de titulares de tarjetas o datos confidenciales de autenticación debe cumplir con estas reglas.

Los comerciantes de WooCommerce, por supuesto, dependen de los proveedores para cumplir con estas regulaciones. Eso incluye todo, desde alojamiento compatible con PCI hasta pasarelas y procesadores de pago seguros. Dichos proveedores hacen posible que incluso las pequeñas empresas y las nuevas empresas cumplan con estos requisitos de seguridad.

¿Qué hace que un sitio web de WooCommerce sea compatible con PCI?

Al igual que con la mayoría de las medidas de seguridad, el cumplimiento de PCI requiere que los comerciantes tomen una variedad de pasos de manera continua. La última versión del documento PCI-DSS Requisitos y procedimientos de evaluación de seguridad tiene 139 páginas. Afortunadamente, gran parte de eso se aplicará a proveedores como procesadores de pago, y no a los propios propietarios de sitios web.

En última instancia, estos pasos a continuación ayudarán a garantizar que cuando complete un Cuestionario de autoevaluación (SAQ) de PCI y haga escanear su sitio web para determinar si cumple con los requisitos de PCI, le resultará mucho más fácil aprobar. También ayudarán a mantener su sitio web a salvo de la mayoría de los ataques.

Elementos importantes a tener en cuenta

• Mantenga su software de WordPress actualizado.
• Actualice WooCommerce y cualquier otro complemento y/o extensión de WordPress.
• Su entorno de alojamiento web debe ejecutar software actualizado, incluidos los parches de seguridad más recientes.
• Configure y mantenga un firewall, o seleccione un host que lo haga por usted. Los servidores web de WooCommerce suelen trabajar con proveedores de cortafuegos de aplicaciones web (WAF) como Cloudflare y Sucuri para ofrecer soluciones de cortafuegos que se supervisan las 24 horas del día, los 7 días de la semana.
• Transmita datos de forma segura a través de HTTPS aprovechando los certificados SSL.
• Ejecute escáneres de malware o seleccione un host que lo haga de forma continua. Asegúrese de que alguien vea los informes de seguridad todos los días, si no en tiempo real.
• Respete los principios de acceso con privilegios mínimos, compartiendo el acceso solo con aquellos que lo necesiten absolutamente. Esto puede incluir pasos básicos, como hacer que su administrador de WordPress solo sea accesible para las direcciones IP incluidas en la lista blanca.
• Utilice identificaciones de usuario únicas y contraseñas seguras. Almacénelos de forma segura y actualice las contraseñas al menos cada 90 días.
• Asegúrese de que cada administrador tenga sus propias credenciales de inicio de sesión; no comparta las credenciales.
• Mantenga seguros todos los sistemas que interactúan con su sitio web. Esto incluye ejecutar un software antivirus actualizado en las computadoras que usa para acceder a su administrador de WordPress.
• Aloja otras aplicaciones por separado. Eso incluye el alojamiento de otros sitios web por separado y el uso de alojamiento de correo electrónico por separado. Además, las copias antiguas de su sitio web, así como las copias de desarrollo o puesta en escena de su sitio, no deben estar en su entorno de alojamiento de producción (en vivo).
• Implemente sistemas de detección de intrusos (IDS) para detectar las infracciones de seguridad de manera temprana, minimizando las consecuencias.
• Continúe revisando su seguridad, teniendo en cuenta los cambios realizados en su sitio web, personal y proveedores.
• Siempre que sea posible, utilice la autenticación multifactor. Considere agregar una extensión de autenticación de dos factores (2FA) de WordPress para dificultar que los piratas informáticos accedan al backend de su tienda WooCommerce.
• Almacene correctamente los registros y las copias de seguridad. Esto es extremadamente importante en caso de que se necesiten como parte de una investigación de incumplimiento.

¿Cómo obtengo mi Certificación de Cumplimiento PCI?

Hay proveedores específicos que brindan este servicio. A menudo es una buena idea consultar con su procesador de pagos y proveedor de alojamiento web para ver si ofrecen, incluyen o recomiendan dichos servicios. Sin embargo, existe una larga lista de proveedores de escaneo aprobados disponibles en el PCI Security Standards Council. Recuerde que este no es un procedimiento de una sola vez, por lo que puede esperar trabajar con este proveedor durante muchos años.

¿Pasar un PCI Scan garantiza que mi sitio WooCommerce esté seguro y protegido?

Las evaluaciones de cumplimiento de PCI abordan las políticas y debilidades de seguridad observables y se enfocan en los esfuerzos de seguridad mínimos requeridos por los comerciantes. Es crucial mantener su seguridad después de que su sitio haya sido inicialmente certificado como compatible con PCI. Por ejemplo, aún debe instalar nuevos parches de seguridad dentro de los 30 días posteriores a su lanzamiento.

Además, es muy recomendable adoptar un enfoque proactivo de la seguridad. Siempre hay eventos de día cero: instancias en las que se explota una nueva vulnerabilidad de seguridad. En tales casos, los parches aún no existen. Su mejor apuesta es aprovechar las herramientas básicas de seguridad, como un sistema de detección de intrusos (IDS). Esto actúa como una alarma, brindándole la oportunidad de abordar una instancia de piratería rápidamente, minimizando lo que de otro modo podría ser un incidente mucho peor. En general, podemos decir que hay muchas razones por las que su solución de comercio electrónico de WordPress tiene que ser segura.

¿El uso de un proveedor de PA-DSS hace que un sitio cumpla con PCI?

Los procesadores de pago que se adhieren al Estándar de seguridad de datos de aplicaciones de pago (PA-DSS) no hacen que su sitio cumpla automáticamente con PCI. Tampoco los servidores web. Incluso si utiliza un procesador de pagos que lleva a los compradores fuera del sitio para completar sus transacciones, aún tiene responsabilidades. Por ejemplo, si no está parcheando su software y su sitio de WordPress está pirateado, los ladrones podrían cambiar su pago por su propio formulario para desviar los datos de la tarjeta de crédito. Si bien algunas pasarelas de pago pueden reducir sus riesgos de incumplimiento, no pueden absolverlo de todas sus responsabilidades de seguridad.

¿Cuáles son los riesgos de no mantener su sitio WooCommerce compatible con PCI?

Si su sitio WooCommerce acepta tarjetas de pago y no cumple con PCI, existen muchos riesgos. Podría verse obligado a pagar tarifas o multas o encontrar procesadores de pago que se niegan a atender su cuenta, lo que corta su capacidad para aceptar pagos en línea. Es por eso que el cumplimiento de PCI DSS para los sitios de comercio electrónico y negocios de WordPress es extremadamente importante.

Empeora si tiene una violación de datos sin cumplir con las regulaciones de PCI-DSS. Hay todo tipo de multas y costos, incluidas posibles acciones legales. Eso va más allá de su reputación dañada y los costos de investigar y mitigar una infracción, lo que también puede causar tiempo de inactividad y una pérdida de ingresos para su tienda WooCommerce.

Después de una infracción, puede que le resulte mucho más difícil y/o más costoso aceptar tarjetas de pago, si puede encontrar un proveedor que esté dispuesto a atenderlo. Realmente depende de los detalles, pero si se determina que usted es de alto riesgo porque no se ha adherido a los estándares básicos de seguridad, puede tener graves consecuencias para su negocio.

¿Hay proveedores que se especialicen en ayudar a los comerciantes de WooCommerce con el cumplimiento de PCI?

¡Sí! Por ejemplo, en lugar de que los compradores envíen la información de la tarjeta de pago que usted conserva, existe una amplia variedad de pasarelas de pago que pueden transmitir la información de la tarjeta de crédito de forma segura. ¡Estos incluyen proveedores de soluciones como Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe y más!

También hay pasarelas de pago más exclusivas que ofrecen opciones únicas a los compradores, como Affirm, Bread, Katapult, Klarna, Sezzle y ViaBill, que ofrecen opciones de compra ahora y pago posterior a los consumidores, y Bolt, que reemplaza el pago de WooCommerce con una experiencia de pago altamente optimizada. Incluso existen soluciones de pago B2B como PayStand y Apruve.

Del mismo modo, hay servidores web que se especializan en mantener seguro su entorno de alojamiento de comercio electrónico. Si bien muchas plataformas mencionan el cumplimiento de PCI, querrá estar atento al escaneo de malware, el firewall de aplicaciones web, la detección de intrusos, el monitoreo las 24 horas, los 7 días de la semana y otros factores que puede necesitar que un proveedor de confianza administre por usted.

Conclusión

Es relativamente fácil crear una tienda WooCommerce, pero sin las prácticas de seguridad continuas adecuadas, esa tienda no estará protegida contra los piratas informáticos. Si la tienda acepta tarjetas de pago, los propietarios del sitio web son responsables de cumplir con PCI y deben seleccionar proveedores que también cumplan. Afortunadamente, hay una gran cantidad de excelentes proveedores entre los que elegir para ayudar a que el cumplimiento de las normas PCI-DSS sea bastante sencillo.