<img alt="" src="https://secure.meet3monk.com/215363.png" style="display:none;">

Según The Enterprise Guide to Global E-commerce de Shopify, se prevé un aumento del 246,15% en las ventas mundiales de comercio electrónico entre 2014 y 2021. Esto no sólo significa que una gran parte de las compras y ventas se realizan en línea, sino que también es un campo muy atractivo y rentable para que los ciberdelincuentes se aprovechen de él.

Es vital que las empresas de comercio electrónico desplieguen las mejores prácticas para proteger los datos de los usuarios de tarjeta.

Las soluciones de comercio electrónico consisten en hardware, software, procesos, servicios y metodologías que facilitan transacciones en línea. Los comerciantes pueden considerar diferentes métodos para implementar pagos en línea en su plataforma, tales como el desarrollo de su propia comprobación de pago de comercio electrónico o el uso de un redireccionamiento de URL, inline frames (iFrame), método de envío directo (Direct Post Method (DPM)), formulario de JavaScript, Interfaz de Programación de Aplicaciones (Application Programming Interface (API)), o soluciones de comercio electrónico totalmente externalizadas. Aunque estos métodos difieren en la tecnología utilizada y en la implementación aplicada, ninguno de ellos elimina completamente la responsabilidad del cumplimiento por parte del comerciante.

Estos son los puntos clave a tener en cuenta, independientemente de cómo implemente los pagos en línea en su plataforma de comercio electrónico:

  • Ninguna opción elimina completamente la responsabilidad del comerciante de proteger los datos del titular de la tarjeta (CHD). No importa hasta qué punto los pagos se subcontratan, el comerciante es responsable de garantizar la seguridad de los datos del titular de la tarjeta. El comerciante debe realizar la debida diligencia para asegurarse de que el proveedor de servicios protege a los CHD de acuerdo con los requisitos del PCI DSS.
  • Si se contratan terceros, el comerciante debe tener un contrato que describa las responsabilidades precisas de PCI DSS para asegurarse de que cada una de las partes entienda e implemente las mejores prácticas de PCI DSS. Puede encontrar más información sobre la garantía de seguridad de terceros en este suplemento de información del PCI Council . Es vital que sus socios comerciales tengan los mismos niveles de seguridad. Tenemos un artículo dedicado a esto aquí.
  • El comerciante debe supervisar las conexiones y redirigirlas al proveedor de servicios, ya que pueden verse comprometidas. Es responsabilidad del comerciante garantizar la integridad de la solución de comercio electrónico.

Mejores prácticas

Garantizar el cumplimiento de PCI DSS por parte de los comerciantes de comercio electrónico que se ocupan de las transacciones de pago en línea es necesario y primordial para establecer una base de referencia importante para la seguridad, protegiendo la reputación de los usuarios de tarjeta y de los comerciantes.

Aquí le presentamos las 6 mejores prácticas de la industria que cualquier comerciante debe seguir:

  1. Conozca la ubicación de todos los datos del usuario de tarjeta. Puede crear un diagrama de flujo de datos para trazar el flujo de la información del usuario de tarjeta (CHD) y la forma en que se transmite a través de varias redes y sistemas. Para asegurarse de que está actualizado y es pertinente, debe comprometerse a revisarlo periódicamente.
  2. No almacene información que no necesite. Los comerciantes que no almacenan ningún CHD proporcionan automáticamente una mayor protección al haber eliminado un objetivo clave para los ladrones de datos. Así que recuerde, si su negocio no tiene una razón legítima para almacenar CHD, no lo haga.
  3. Nunca almacene datos de autenticación sensibles (SAD). Aunque las empresas pueden tener una necesidad legítima de almacenar CHD, es imperativo asegurarse de que SAD nunca se almacena en sus sistemas.
  4. Evaluar los riesgos asociados con el método elegido para implementar los pagos en línea. Debe evaluar los riesgos de cada opción antes de ponerla en práctica. Tanto si los pagos se gestionan internamente como si se externalizan parcial o totalmente, esto conlleva a un nivel de riesgo diferente para su empresa.
  5. Considere la posibilidad de utilizar tecnologías de integración de pagos que minimicen el impacto de la seguridad en su comercio electrónico, por ejemplo, optando por la redirección completa de los pagos a terceros compatibles con PCI DSS.
  6. Capacite a su personal para que utilice todos los sistemas de manera segura y para que sea consciente de las posibles consecuencias de no hacerlo.

Ofrecemos varios servicios de cumplimiento de PCI DSS impulsados por nuestras propias tecnologías sobre las que puede obtener más información aquí.

Marco Borza

Written by Marco Borza

I am the Founder of Advantio.
Technology has been my passion since I was a kid; when I first heard the handshake of an old 300bps modem I realised security would be key in an interconnected world. Since then it has become my passion and primary focus.
The reason why I've started my own business is to make IT Security simple.

Certifications: CISSP / CCSA (Checkpoint) / ITIL Foundations / ACSA (ArcSight)/ Linux+/ PCI-QSA / PA-QSA