Mantener el cumplimiento con PCI

El Consejo sobre Normas de Seguridad de la Industria de Tarjetas de Pago establece estándares de seguridad con el fin de proteger los datos de las tarjetas de crédito llamados Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS o PCI). Esto quiere decir que se espera que las entidades que transmiten, procesan o almacenan información de tarjetas de crédito realicen estas actividades según los PCI.

Puedes utilizar el hosting para configurar tu presencia en línea y tu catálogo de productos. Luego, puedes trabajar con un proveedor tercero para procesar los pagos en tu nombre para que las tarjetas de crédito no estén en tu servidor (por ejemplo, PayPal Checkout, Square Online Checkout y Stripe Checkout). Asegúrate de conocer cualquier requisito adicional para que tu empresa cumpla con el estándar PCI.

Si prefieres aceptar pagos directamente en tu sitio, ofrecemos productos con certificación PCI como nuestro Hosting de comercio electrónico de WordPress administrado, la Tienda en línea y las Citas en línea. Seguir los requisitos del estándar PCI es un esfuerzo conjunto. De este modo, cuando utilizas una de nuestras soluciones con certificación PCI, diseñamos nuestros procesos y sistemas para proteger la información de la tarjeta de crédito de tu cliente y necesitamos que tú protejas tu cuenta.

Tienda en línea y Citas en línea

Los pagos a través de la Tienda en línea y las Citas en línea se integran con terceros que procesan la información de las tarjetas de crédito en sus entornos seguros. Estos productos utilizan una mínima cantidad de código en tu sitio web que permita que tus clientes introduzcan la información de su tarjeta de crédito directamente en el sitio. Así, podrás cumplir con el estándar PCI tomando unos pocos pasos para proteger tu cuenta:

  • Administración de usuario
    • Siempre asigna a los usuarios un ID único y utiliza contraseñas fuertes.
    • No utilices ID o contraseñas de grupos, compartidas o genéricas.
    • Elimina a los usuarios cuando ya no deban tener acceso.
  • Registros físicos (no digitales)
    • Si almacenas la información de la tarjeta de crédito en físico (papel), asegúrate de controlar el acceso a la información y destrúyela cuando ya no sea necesaria.
  • Cumplimiento del proveedor de servicios
    • Si utilizas servicios para gestionar los registros físicos o administrar tu cuenta, cerciórate de que el proveedor de servicios haya reconocido su responsabilidad al hacer dicha gestión y de que tú estés seguro de que cumple sus obligaciones.
  • Plan de respuesta a incidentes
    • Asegúrate de tener una lista de las personas a las que debes contactar y cómo manejar la comunicación con el cliente si llegara a producirse una violación de datos.
  • Envía el Cuestionario de Autoevaluación PCI A (PCI SAQ-A) con tu procesador (Stripe, Square o PayPal).

Nota: Si aceptas pagos por teléfono, es posible que estés sujeto a requisitos adicionales para asegurar tus sistemas telefónicos y las computadoras que tus agentes del centro de llamadas utilicen.

WordPress administrado con WooCommerce

Los pagos a través de WordPress administrado pueden implementarse utilizando el complemento WooCommerce, que se integra con terceros para procesar tarjetas de crédito en sus entornos seguros. Utiliza una mínima cantidad de código en tu sitio web que permita que tus clientes introduzcan la información de su tarjeta de crédito directamente en el sitio. Ya que tú controlas los complementos instalados en tu cuenta, hay algunos pasos adicionales para lograr el cumplimiento del estándar PCI:

  • Implementación del pago
    • Únicamente instala el complemento de WooCommerce para los pagos. Si bien hay otros complementos de pago disponibles, nosotros únicamente certificamos el complemento de WooCommerce.
    • No agregues ninguna funcionalidad o código que maneje información de tarjetas de crédito. No podemos certificar ningún proceso de pago personalizado agregado a un servidor.
    • Actualiza constantemente tus complementos (procesa las actualizaciones en un plazo de 30 días).
  • Administración de usuario
    • Siempre asigna a los usuarios un ID único y utiliza contraseñas fuertes.
    • No utilices ID o contraseñas de grupos, compartidas o genéricas.
    • Elimina a los usuarios cuando ya no deban tener acceso.
  • Registros físicos (no digitales)
    • Si almacenas la información de la tarjeta de crédito en físico (papel), asegúrate de controlar el acceso a la información y destrúyela cuando ya no sea necesaria.
  • Cumplimiento del proveedor de servicios
    • Si utilizas servicios para gestionar los registros físicos o administrar tu cuenta, cerciórate de que el proveedor de servicios haya reconocido su responsabilidad al hacer dicha gestión y de que tú estés seguro de que cumple sus obligaciones.
  • Plan de respuesta a incidentes
    • Asegúrate de tener una lista de las personas a las que debes contactar y cómo manejar la comunicación con el cliente si llegara a producirse una violación de datos.
  • Envía el Cuestionario de Autoevaluación PCI A (PCI SAQ-A) con tu procesador (WooCommerce Payments, Stripe, PayPal, Square, Klarna o PayFast).

Nota: Si aceptas pagos por teléfono, es posible que estés sujeto a requisitos adicionales para asegurar tus sistemas telefónicos y las computadoras que tus agentes del centro de llamadas utilicen.

Si tienes preguntas adicionales, comunícate con tu banco o contacta a un Asesor de Seguridad Calificado (QSA).

Más información


¿Este artículo fue útil?
Gracias por tus comentarios. Para hablar con un representante de servicio al cliente, usa el número de teléfono de asistencia técnica o la opción de chat que aparece más arriba.
¡Nos complace haber ayudado! ¿Hay algo más que podamos hacer por ti?
Lo sentimos. Cuéntanos lo que te resultaba confuso o por qué la solución no resolvió tu problema.