Cumplimiento de PCI DSS para WordPress – ¿Qué necesita saber?

Las regulaciones de cumplimiento de PCI fueron adoptadas por la industria de tarjetas de pago (PCI).Están destinados a aumentar la seguridad de los datos y minimizar el fraude.Desde un punto de vista técnico, estas pautas no son obligatorias.Sin embargo, cualquier compañía que acepte tarjetas debe respetar las pautas, de modo que no esté sujeta a disputas, la abolición de cuentas o multas si se producen fraude en los entornos de los titulares de tarjetas.Si ejecuta un negocio comercial electrónico o un sitio web de WordPress, el cumplimiento de PCI no debe ser un concepto nuevo para usted. Al igual que otros comerciantes en línea que aceptan pagos con tarjeta de crédito, debe ser compatible con PCI DSS.Además, si su sitio de comercio electrónico de WordPress utiliza una pasarela de pago de terceros, como Stripe y PayPal, se le aplican regulaciones de cumplimiento de PCI DSS.
En general, los comerciantes son responsables de cómo administran, procesan y almacenan la información de la tarjeta de crédito de sus clientes. Por lo tanto, usted es responsable de cualquier actividad fraudulenta que resulte de ella. Las pautas PCI DSS están destinadas a proteger su sitio de comercio electrónico de WordPress y sus clientes de fraude. ¿Por qué el cumplimiento de PCI para los sitios de comercio electrónico de WordPress es sitios web de WordPress? Los sitios comerciales electrónicos deben considerar el cumplimiento de PCI como una estrategia de protección de fraude. Su sitio debe estar de acuerdo porque no puede encontrarse cara a cara con los clientes. Por lo tanto, no tiene una forma de verificar de forma independiente las identidades de sus compradores. Según las estadísticas del mercado, el 60% de los ataques cibernéticos se dirigen a pequeñas empresas en línea, de modo que en gran medida garantizará los datos de las tarjetas de pago de sus clientes porque La mayoría de los sitios web de WordPress usan una pasarela de pago de terceros, las regulaciones PCI que se aplican a ellos son más relajadas que las que se aplican a comerciantes más prominentes. A menudo, el cumplimiento se logra completando un cuestionario de autoevaluación estándar. Cumplimiento de WordPress PCI: cómo protegerse si usted es un comerciante electrónico de WordPress, no debe pasar por alto el cumplimiento de PCI, ya que minimiza el riesgo de piratas en su sitio. Sería mejor comenzar su viaje de conformidad eligiendo un procesador de pago compatible con PCI.
Si el proveedor que elija no cumple con las mejores prácticas de seguridad de datos, seguirá siendo vulnerable. Esto resalta la importancia de seleccionar procesadores de pago que puedan garantizar una pasarela segura de pago. Estos son los pasos que debe seguir para que su sitio de comercio electrónico de WordPress sea compatible con PCI DSS. Determine su nivel de cumplimiento PCI DSS coloca a todos los comerciantes en diferentes niveles. El nivel del que pertenece está determinado por el número de transacciones administradas por su sitio web de WordPress. Una vez que determine su nivel de cumplimiento, será más fácil enfatizar las pautas que debe seguir. En general, la mayoría de los propietarios de sitios web de comercio electrónico de WordPress se consideran comerciantes del nivel 4. Completar un cuestionario de autoevaluación Después de haber determinado su cumplimiento, debe tomar un cuestionario de autoevaluación. Esto le ayuda a determinar la exposición actual del riesgo de su sitio web. La mayoría de las preguntas requerirán respuestas directas sí o no. Los proveedores de escaneo aproban que sus proveedores pueden exponerlo al riesgo de ataques cibernéticos. Aunque no es obligatorio, debe considerar incluir un proveedor de escaneo aprobado que utiliza herramientas automáticas para identificar vulnerabilidades potenciales en el hardware y el software que administra los datos de pago.
Actualización sobre las políticas de seguridad Para obtener y mantener el estado de cumplimiento con PCI DSS, debe conocer las últimas regulaciones que se aplican a su sitio web. Por lo tanto, debe prestar atención a las correcciones de seguridad, actualizaciones de software, escanear malware y protección antivirus. Si tiene empleados, deben recibir capacitación sobre cómo manejar la información de la tarjeta de pago correctamente. Implementar los certificados SSLS Secure Sockes Layer (SSL) son credenciales adicionales que permiten a los compradores en línea saber que tienen conexiones directas y cifradas con su sitio (en lugar de imitar sitios web). Una vez que instale un certificado SSL, su área de comercio electrónico de WordPress comenzará con “HTTP” en lugar de “HTTP”. Con un certificado SSL en vigor, toda la comunicación entre su sitio de WordPress y sus visitantes estarán encriptados.
Busque detalles de verificación adicionales de los compradores para que se realicen ventas en línea, la mayoría de los sitios comerciales electrónicos requieren los nombres de los titulares de tarjetas, los números de cuenta y la fecha de vencimiento de la tarjeta. Estos son el mínimo estricto y no garantizan la protección contra el fraude. Para evitar compras fraudulentas, solicite a los compradores que proporcionen detalles de autenticación adicionales. Estos pueden incluir valores de verificación de tarjeta y direcciones de facturación. Use las herramientas y complementos adecuados en contra de lo que podría pensar, WordPress no está certificado por PCI. Sin embargo, esta plataforma de comercio electrónico ha sido concebida en vista de la seguridad. Por ejemplo, WordPress tiene verificaciones de administración que permiten a los propietarios de sitios web restringir el acceso de usuarios individuales. Al aprovechar esta herramienta, será imposible para los ciberdelincuentes obtener los datos de la tarjeta de pago. Instale y mantenga el firewall El requisito principal de PCI DSS es la protección del titular de la tarjeta. La conformidad del PCI DSS no se refiere solo a su sitio de comercio electrónico de WordPress. Cubre todos los aspectos de la seguridad física y de TI de la empresa. Además de configurar firewalls para su sitio de WordPress, también debe configurar y usar firewalls para sus redes de hogar y oficina. Además, PCI DSS les pide a todos los usuarios que accedan a los datos de su titular de la tarjeta que tengan firewalls personales en sus computadoras.
Evite usar la configuración predeterminada proporcionada por el proveedor será fácil para los hackers acceder a su titular de la tarjeta si utiliza valores preestablecidos proporcionados por el proveedor para parámetros de seguridad, como las contraseñas del sistema. Sería útil si siempre cambia las contraseñas predeterminadas de los proveedores, además de aplicar políticas para una mejor seguridad de WordPress. Esto también se aplica a configuraciones implícitas e instalaciones de software. La protección contra los programas de malware PCI DSS le pide que mantenga un programa de gestión de vulnerabilidades para garantizar que su sistema no sea vulnerable a ciertos ataques. Esto también protege el sistema contra todo tipo de amenazas de malware. Mantener el software antimalware actualizado lo ayuda a prevenir nuevas amenazas. Además, PCI DSS le pide que asegure todas las aplicaciones y el software que utiliza. Además, el software y las aplicaciones que utiliza no deben contener vulnerabilidades.

Identificar y autenticar el acceso a los componentes del sistema PCI DSS también recomienda métodos de autenticación que puedan restringir el acceso a los componentes esenciales del sistema del soporte de la tarjeta. Estipula que los usuarios siempre deben autenticarse cada vez que accedan a los datos del soporte de la tarjeta. Todos los datos confidenciales, páginas de cuenta de usuario, consolas de administrador y otros puntos de entrada críticos deben protegerse utilizando métodos de autenticación robustos. Esto incluye la autenticación de dos factores. Todas las personas que necesitan acceso a su sitio de comercio electrónico de WordPress, portales de administración, dispositivos de red, datos comerciales y portales de clientes deben tener acreditaciones inimibles. Esto es esencial porque no se verá obligado a rastrear la actividad del usuario en el registro de actividad del sitio. También debe asegurarse de que las credenciales nunca se compartan, ya que esto puede conducir a muchos problemas de seguridad.