En un estudio de 2022 sobre la confianza del consumidor, TrustedSite descubrió que El robo de tarjetas de crédito sigue siendo la principal preocupación. para los clientes en línea, seguido de la legitimidad empresarial.
De hecho, el Instituto Baymard descubrió que 18% de los clientes Puede agregar un producto al carrito solo para abandonarlo debido a la falta de confianza en el sitio web.
Si tienes una tienda WooCommerce, ¿cómo desarrollas esa confianza?
Cumplimiento de PCI-DSS. Cumplir con los estándares de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) hace que sus clientes se sientan seguros y le permite hacer negocios sin preocupaciones. Sin mencionar que es un requisito si almacena, transfiere o procesa información de tarjetas de pago.
Continúe leyendo para saber por qué el cumplimiento de PCI-DSS es importante, qué requiere y cómo hacer que su tienda WooCommerce sea compatible con PCI.
Importancia del cumplimiento de PCI-DSS
El cumplimiento de PCI-DSS ofrece beneficios tanto para los clientes como para los propietarios de empresas. Los clientes pueden comprar libremente sin preocuparse por el robo de tarjetas de crédito. Por el contrario, los propietarios de empresas disfrutan de menos ataques de ciberseguridad debido a una mayor seguridad.
Además de los beneficios, normalmente es necesario cumplir con PCI-DSS para disfrutar del soporte de los métodos de pago. Por ejemplo, Mastercard establece que “todos los comerciantes que almacenen, procesen o transmitan datos de titulares de tarjetas deben cumplir con PCI”.
Profundicemos en los requisitos de PCI-DSS.
Requisitos PCI-DSS
Formado por Visa, Mastercard, JCB, American Express y Discover, el consejo de seguridad de estándares de la industria de tarjetas de pago (PCI SSC) describe los siguientes 12 requisitos en su guía de referencia rápida para PCI DSS:
- Configure un firewall potente para proteger la información de las tarjetas de pago.
- Utilice contraseñas únicas para todos los sistemas con acceso a los datos de la tarjeta de pago.
- Configure protocolos de seguridad para proteger los datos de las tarjetas de pago durante el almacenamiento.
- Utilice canales seguros y cifrados para transferir datos de tarjetas a través de redes.
- Realice análisis de seguridad periódicos para mantener su sistema libre de malware y virus.
- Opte por sistemas seguros y asegúrese de tapar todos los agujeros de seguridad.
- Limite el acceso a los datos solo a las personas y sistemas necesarios.
- Implementar medidas de autenticación para el acceso a datos dentro de los sistemas involucrados.
- Limite el acceso físico a los datos de la tarjeta de crédito.
- Realice un seguimiento de toda la actividad de la red relacionada con los datos de las tarjetas de crédito.
- Realice auditorías de seguridad periódicas.
- Mantenga a sus empleados actualizados sobre las mejores prácticas de seguridad de la información mediante una política establecida.
En otras palabras, el consejo de estándares de seguridad de PCI exige que usted implemente una actualización de seguridad integral para proteger los datos de los titulares de tarjetas.
Obtenga alojamiento compatible con PCI de Hostinger
Mantenga su tienda segura para que pueda procesar la información de su tarjeta de crédito de forma segura
Cómo hacer que su tienda WooCommerce sea compatible con PCI
Ahora que sabemos por qué el cumplimiento de PCI es importante y qué requisitos debe cumplir, veamos cómo hacer que su WooCommerce sea compatible a los ojos de PCI-SSC.
Determinar los niveles de cumplimiento requeridos
Antes que nada, debe determinar el nivel de cumplimiento que necesita, que depende de cuántas transacciones procese cada año.
Al momento de escribir este artículo, Visa y Mastercard definen los niveles de cumplimiento de los comerciantes como (siendo el Nivel 1 el más estricto):
- Nivel 1: Comerciantes con más de seis millones de transacciones anuales.
- Nivel 2: Comerciantes con transacciones anuales entre un millón y seis millones.
- Nivel 3: Comerciantes con transacciones anuales entre 20.000 y un millón.
- Nivel 4: Comerciantes con menos de 20.000 transacciones anuales.
Sin embargo, si acepta JCB o American Express, es posible que tenga que lidiar con requisitos más estrictos con incluso menos transacciones. Por ejemplo, American Express exige el cumplimiento del Nivel 1 en 2,5 millones de transacciones anuales, mientras que JCB exige lo mismo en un millón o más de transacciones.
El nivel de comerciante decide si enviará un cuestionario de autoevaluación (SAQ) o será evaluado por un asesor de seguridad calificado (QSA).
Auditar el proceso actual
El cumplimiento de PCI de WooCommerce depende de su proceso de pago, ya que WooCommerce no almacena ningún dato de la tarjeta de pago por sí mismo.
Por ejemplo, si usted dirigir a los clientes al sitio web de la pasarela de pagolos clientes no ingresan sus datos confidenciales en su sitio web y usted ni siquiera los toca.
Esto ocurre cuando utiliza el complemento de pagos de PayPal de WooCommerce como Nalgene.
Cuando los clientes hacen clic en el botón, se les dirige al servidor de PayPal.
Si bien esto puede salvarlo de las estrictas regulaciones PCI-DSS, no es una opción de pago personalizada. Y dado que 49% de los clientes podrían convertirse en compradores habituales con la personalización, será mejor que tenga una experiencia de pago personalizada.
Por ejemplo, si usa Stripe, puede personalizar la interfaz como mejor le parezca, como la belleza húmeda y salvaje, y aún así confiar en los servidores de Stripe al aceptar pagos fuera del sitio.
En este caso, raya recopila el número de tarjeta y otros datos a través de tokens secretos, y los datos nunca tocan sus servidores. Sin embargo, el malware puede impedir que el cliente se conecte al servidor Stripe y robar los datos de la tarjeta de pago, por lo que es posible que deba tomar medidas adicionales para que su tienda WooCommerce sea compatible con PCI.
Si bien Stripe es una excelente alternativa, cobra 2,9% + 30¢ por cada transacción exitosa. Estas tarifas pueden acumularse y afectar el resultado final de una empresa que maneja muchos pedidos.
Es por eso que las grandes tiendas WooCommerce suelen optar por una pasarela de pago personalizada para reducir las tarifas. Por ejemplo, consulte la página de donaciones de World Vision.
En este caso, el La tienda en línea procesa los datos de la tarjeta de pago y los almacena para uso futuro.que está sujeto a estrictos requisitos de cumplimiento de PCI.
Si su tienda WooCommerce hace lo mismo, debe cumplir con los estándares de seguridad que requiere PCI SSC. De lo contrario, podría estar sujeto a multas o a la suspensión del soporte del método de pago.
Configurar medidas de seguridad
Dependiendo de sus procesos actuales, es posible que necesite:
Una capa de conexión segura (SSL) cifra la transferencia de datos entre un navegador y su servidor web. Si solicita a los clientes que ingresen los datos de su tarjeta de pago en el formulario nativo de su sitio web, debe asegurarse de que los datos de la tarjeta de pago permanezcan cifrados durante la transferencia para cumplir con PCI-DSS.
De hecho, recomendamos agregar un certificado SSL a cada sitio web, ya sea que administre una tienda de comercio electrónico o no, ya que la mayoría de los navegadores marcan cualquier sitio web sin un certificado SSL como no seguro.
Al agregar un certificado SSL, genera confianza entre sus clientes. Si aloja su sitio web con otro host y no está listo para cambiar, puede comprar un certificado SSL de Hostinger. De lo contrario, obtienes un SSL gratis con todos los planes de hosting de Hostinger.
Como la mayoría de los requisitos de PCI-DSS tienen que ver con la seguridad de los datos, el cumplimiento de PCI depende en gran medida del proveedor de alojamiento. En otras palabras, debe buscar un proveedor de alojamiento web compatible con PCI.
Mientras busca un host compatible con PCI, asegúrese de que el proveedor de alojamiento web ofrezca:
- Fuerte cortafuegos: Un firewall robusto mantendrá a los agentes maliciosos alejados de los datos de pago con tarjeta para garantizar que permanezcan seguros. Asegúrese de que el host haya definido controles de seguridad de la red de acceso que solo permitan que el tráfico relevante esté en contacto con datos confidenciales.
- Escaneos de malware: Su plan de alojamiento debe incluir análisis automatizados de malware para proteger los datos del titular de la tarjeta. También debe tener protección contra bots maliciosos, actividades sospechosas y ataques de fuerza bruta.
- Red segura: asegúrese de poder confiar en que el proveedor de alojamiento se encargará de los procedimientos de seguridad, desde la actualización periódica del software hasta la revisión del código personalizado.
- Acceso físico limitado: Los proveedores de alojamiento deben seguir una política de seguridad estricta en la que los empleados solo puedan acceder a áreas sensibles si es necesario. Además de eso, debería tener registro de visitantes, vigilancia en todo el sitio y acceso restringido a los controles de la red.
Con Hostinger, disfruta de alojamiento compatible con PCI en todos los planes de alojamiento. Cumplimos con todos los requisitos del hosting para que puedas hacer negocios sin estrés.
Según Verizon, 82% de las filtraciones de datos involucraba el elemento humano. Para garantizar que su tienda WooCommerce no sufra violaciones de datos provocadas por errores humanos, debe implementar una política de seguridad del sitio web que la proteja de las fallas de seguridad más comunes.
Para empezar, implemente la autorización de dos factores (2FA). De esa manera, incluso si un pirata informático obtiene un nombre de usuario y contraseña a través de un ataque de phishing, no tendrá el segundo factor de autenticación para acceder a sus datos.
Además de eso, restrinja el acceso a datos sensibles según sea necesario mediante la implementación de un sistema de control de acceso. No todos los empleados deberían tener acceso a todos los datos.
Además de eso, También puede configurar su sitio web de WordPress para enviar a los usuarios un recordatorio de cambio de contraseña cada 90 días para garantizar su seguridad.
Presentar documentos de cumplimiento
Una vez que haya implementado los protocolos de seguridad, puede informar su cumplimiento a la autoridad de procesamiento de pagos correspondiente: su banco o pasarela de pago.
Normalmente, usted informa el cumplimiento mediante:
- Envío de un cuestionario de autoevaluación*: Los comerciantes de nivel 2 a 4 informan su cumplimiento completando cuestionarios de autoevaluación (SAQ).
- Si dirige a los clientes al sitio web del procesador de pagos, utilizará SAQ A.
- Si utiliza un servicio como Stripe para tokenizar los datos de la tarjeta de pago, utilizará SAQ A-EP.
- Si procesa y almacena los datos de la tarjeta de pago en sus servidores web, utilizará SAQ D Merchant.
- Obtener escaneos de red trimestrales por parte de proveedores de escaneo aprobados: Debe realizar análisis trimestrales por parte de un proveedor de análisis aprobado (ASV) para comprobar si hay vulnerabilidades externas. Los ASV generalmente escanean para buscar fallas, le informan sobre ellas, lo ayudan a solucionarlas y vuelven a escanear antes de informar los resultados de cumplimiento.
- Presentar una certificación de cumplimiento: Después de cumplir con todos los requisitos, normalmente debe enviar una certificación de cumplimiento (AOC) para declarar que cumple con los requisitos de PCI-DSS.
* Los comerciantes de nivel 1 requieren una evaluación externa a través de un asesor de seguridad calificado (QSA).
Además de eso, también deberá adjuntar una copia del SAQ-D del proveedor de alojamiento.
Reflexiones finales: guía para propietarios de empresas para hacer que WooCommerce sea compatible con PCI
PCI-DSS enumera varios requisitos que debe cumplir para ofrecer soporte para diferentes métodos de pago a sus clientes. Sin embargo, con un host compatible con PCI, puede marcar la mayoría de las casillas y asumir responsabilidades limitadas.
Consulte el alojamiento empresarial Hostinger para disfrutar del 100 % de cumplimiento con PCI. Y no termina con el cumplimiento. También obtienes un 100 % de tiempo de actividad de la red, copias de seguridad diarias y más.
Explore nuestros planes para comenzar hoy.