Conformidad de PCI y WooCommerce: todo lo que necesita saber

Ya sea que construya, mantenga o opere un sitio web de comercio electrónico, debe conocer sus responsabilidades de seguridad. Afortunadamente, hay estándares y regulaciones que pueden ayudarlo a mantener tiendas en línea, como las construidas con WooCommerce, seguros y seguros. El más notable de estos es el estándar de seguridad de datos en la industria de datos PCI-DSS (PCI-DSS). ¿Todos los sitios de WooCommerce tienen que cumplir con su PCI? No, no todos los sitios web que usan WooCommerce deberían estar en línea con PCI-DSS. Estas regulaciones se aplican a las empresas que aceptan pagos en línea con tarjetas de débito y crédito. PCI-DSS no se aplica si usa WooCommerce para mostrar un catálogo en línea, aceptar solicitudes de ofertas o permitir a los compradores colocar pedidos que no involucren en línea. pago.
¿Cuál es el propósito del cumplimiento de PCI? PCI-DSS está aquí para asegurarse de que cuando sus compradores de WooCommerce pagan con una tarjeta de pago, como una Visa, MasterCard, American Express o Discover Card, la información enviada no llega a las manos de los delincuentes. Lea más sobre qué es el cumplimiento de las regulaciones y cómo afecta esta seguridad de WordPress. ¿Quién es responsable del cumplimiento de PCI? Estos estándares PCI se aplican a cualquier organización que acepte, transmita y/o almacene titulares de tarjetas. Esto incluye comerciantes, procesadores, compradores, emisores y proveedores de servicios. Esencialmente, cualquier organización que alcance los datos del titular de la tarjeta o los datos de autenticación confidenciales deben cumplir con estas reglas.
Los comerciantes de WooCommerce se basan, por supuesto, en los vendedores para cumplir con estas regulaciones. Esto incluye todo, desde alojamiento de PCI hasta Gateway y procesadores de pago seguros. Dichos proveedores hacen posible incluso a las pequeñas empresas y nuevas empresas cumplir con estos requisitos de seguridad. ¿Qué hace que un sitio web de WooCommerce compatible con PCI? Al igual que con la mayoría de la seguridad, para permanecer de acuerdo con el PCI, los comerciantes deben tomar una variedad de pasos continuamente. La última versión del documento con respecto a los requisitos y procedimientos para evaluar la seguridad PCI-DSS tiene 139 páginas. Afortunadamente, muchos de ellos se aplicarán a los vendedores, como los procesadores de pago, y no a los propietarios de sitios web. Para determinar si cumple con sus requisitos de PCI, tendrá mucho más fácil de aprobar. También lo ayudarán a mantener su sitio a salvo de la mayoría de los ataques. Artículos importantes para recordar
Mantenga presionado el software actualizado de WordPress.
Actualice WooCommerce y cualquier otro complemento y/o extensiones de WordPress.
Su entorno de alojamiento web debe ejecutar software actualizado, incluidas las últimas correcciones de seguridad.
Configure y mantenga un firewall o seleccione un host que lo haga por usted. Los hosts web de WooCommerce a menudo trabajan con Firewall de aplicaciones web (WAF) como CloudFlare y Juices para proporcionar soluciones monitoreadas 24/7.
Transmita de forma segura los datos a través de HTTPS utilizando certificados SSL.
Ejecute escáneres de malware o seleccione un host que lo haga continuamente. Asegúrese de que alguien vea los informes de seguridad todos los días, si no en tiempo real. Esto puede incluir pasos básicos, como el administrador de WordPress solo accesible para las direcciones IP incluidas en la lista blanca.
Use ID de usuario únicos y contraseñas seguras. Manténgalos a salvo y actualice sus contraseñas al menos cada 90 días.
Asegúrese de que cada administrador tenga sus propias credenciales de conexión: no comparta las credenciales.
Mantenga todos los sistemas que interactúen con su sitio seguro. Esto incluye ejecutar el software antivirus actualizado en las computadoras que utiliza para acceder a su administrador de WordPress.
Hosts otras aplicaciones por separado. Esto incluye el alojamiento separado de otros sitios web y el uso separado del alojamiento de correo electrónico. Además, los niños viejos de su sitio, así como las copias de desarrollo o escenificación de su sitio no deben estar en su entorno de producción (en vivo) (en vivo).
Implemente sistemas de detección de intrusos (IDS) para detectar violaciones de seguridad, minimizando las consecuencias.
Continúe revisando su seguridad, considerando sus cambios en su sitio, personal y proveedores.
Siempre que sea posible, use más factores de autenticación. Considere agregar una extensión de WordPress de WordPress de dos factores (2FA) para hacer que los piratas informáticos tengan acceso a su tienda WooCommerce.
Almacene la copia de seguridad y las copias de copia de seguridad correctamente.Esto es extremadamente importante si son necesarios como parte de una investigación de la violación. ¿Cómo obtengo mi certificación de cumplimiento de PCI?Hay proveedores específicos que ofrecen este servicio.A menudo es una buena idea consultar con su procesador de pagos y el proveedor de alojamiento web para ver si ofrecen, incluir o recomendar dichos servicios.Sin embargo, hay una larga lista de proveedores de escaneo aprobados disponibles en el Consejo de Normas de Seguridad de PCI.Recuerde que este no es un procedimiento único, por lo que puede esperar trabajar con este proveedor durante muchos años a partir de ahora.
¿El paso de una exploración PCI garantiza que mi sitio de WooCommerce sea seguro? Las evaluaciones de cumplimiento de PCI abordaron políticas de seguridad observables y puntos de seguridad y se centran en los esfuerzos mínimos de seguridad requeridos por los operadores. Es esencial mantener su seguridad después de que su sitio se certifique inicialmente de acuerdo con su PCI. Por ejemplo, todavía se le pide que instale nuevas correcciones de seguridad dentro de los 30 días posteriores a su lanzamiento. Además, es muy aconsejable adoptar un enfoque proactivo de seguridad. Siempre hay casos de eventos de cero días en los que se explota una nueva vulnerabilidad de seguridad. En tales casos, los parches aún no existen. La mejor opción es usar herramientas de seguridad básicas, como un sistema de detección de intrusos (IDS). Actúa como una alarma, brindándole la oportunidad de abordar un caso de piratería rápidamente, minimizando lo que de otro modo podría ser un incidente mucho peor. En general, podemos decir que hay muchas razones por las cuales su solución comercial electrónica de WordPress debe ser segura.
¿Usar un proveedor de PA-DSS hace un sitio de acuerdo con su PCI? Los procesadores de pagadores que se adhieren al estándar de seguridad de aplicación de pago (P-DSS) no hacen automáticamente su sitio compatible con PCI. Ni los alojamientos web. Incluso si está utilizando un procesador de pago que lleva a los compradores fuera del sitio para completar sus transacciones, aún tiene obligaciones. Por ejemplo, si no corrige su software y sitio de WordPress, los ladrones podrían cambiar su cuenta de inicio con su propio formulario para eliminar los datos de la tarjeta de crédito. Si bien alguna pasarela de pago puede reducir sus riesgos de violación, no pueden graduarse de todas las responsabilidades de seguridad. ¿Cuáles son los riesgos de no mantener su sitio web de WooCommerce de acuerdo con su PCI? Si su sitio web de WooCommerce acepta tarjetas de pago y no es compatible con PCI, hay muchos riesgos. Es posible que se vea obligado a pagar impuestos o multas o encontrar procesadores de Payrs que se niegan a servir a su cuenta, reduciendo su capacidad para aceptar pagos en línea. Por lo tanto, el cumplimiento de PCI DSS para sitios electrónicos y comerciales de WordPress es extremadamente importante. Empeora si tiene una violación de datos mientras no cumple con sus regulaciones PCI-DSS. Hay todo tipo de multas y costos, incluidas acciones legales potenciales. Esto excede su reputación dañada y los costos de investigar y mitigar una violación, lo que también puede causar tiempos que no funcionan y una pérdida de ingresos para su tienda de WooCommerce.
Después de una violación, puede que le resulte mucho más difícil y/o más caro aceptar tarjetas de pago, si puede encontrar un proveedor que esté dispuesto a brindarle un servicio. Realmente depende de los detalles, pero si encuentra que tiene un alto riesgo, porque no ha cumplido con los estándares de seguridad básicos, ¿pueden tener serias consecuencias en su negocio. Hay proveedores especializados en comerciantes de WooCommerce con PCI? ¡Sí! Por ejemplo, en lugar de pedirles a los compradores que envíen información sobre la tarjeta de pago que mantiene, hay una amplia variedad de pasarela de pago que puede transmitir de manera segura la información de la tarjeta de crédito. Estos incluyen proveedores de soluciones como Amazon Pay, Authorize.net, Brainttree, CCBill, CyberSource, EbizCharge, Global Payments, Heartland, PayPal, Square, Stripes y muchos más. También hay varias pasarelas de pago únicas que ofrecen opciones únicas para los compradores, Tales como Affirm, Bread, Katapult, Klarna, Sun y Viablel, que ofrecen a los consumidores opciones de compra ahora-Later y Bolt, lo que reemplaza la finalización de WooCommerce con una experiencia de pago muy optimizada. Incluso hay soluciones de pago B2B, como la pie de pago y el agua. Del mismo modo, hay hosts web que están especializados en el mantenimiento de su entorno comercial electrónico. Si bien muchas plataformas mencionan el cumplimiento de PCI, querrá tener cuidado con el escaneo de malware, aplicaciones web, detección de intrusos, monitoreo las 24 horas, los 7 días de la semana y otros factores, es posible que necesite un proveedor confiable que administre para usted.