Alojamiento de PCI: lo que significa y cuando lo necesitas

Si planea aceptar pagos en línea, probablemente haya encontrado el término Alojamiento PCI.Puede parecer algo que cada negocio debe tener, pero si es necesario depende de cómo maneje los pagos y los datos del titular de la tarjeta.

Este artículo explicará lo que significa el alojamiento de PCI, lo ayudará a averiguar si su negocio necesita seguir los estándares PCI DSS y aclarar cuándo el alojamiento de PCI es en realidad una buena ruta a tomar.Si no está seguro de sus responsabilidades en torno a la seguridad de los datos de pago, esta guía aclarará las cosas.

¿Qué es PCI DSS?

Antes de hablar sobre el alojamiento de PCI, es útil entender PCI DSS, también conocido como el Estándar de seguridad de datos de la industria de tarjetas de pago.PCI DSS es un conjunto de pautas de seguridad destinadas a proteger la información de la tarjeta de crédito donde sea almacenada, procesada o enviada.Estas reglas provienen de las principales marcas de tarjetas como Visa, MasterCard y American Express y se aplican a cualquier persona que acepte pagos con tarjeta.

El objetivo con la configuración de estos estándares es reducir las posibilidades de violaciones de datos que pueden conducir a fraude.Adherirse a ellos significa establecer medidas de seguridad en curso (por ejemplo, datos de la tarjeta de cifrado) para mantener seguros los pagos.

¿Qué es el alojamiento de PCI?

Alojamiento PCI es un entorno de alojamiento web que está configurado para cumplir con las reglas de seguridad requeridas por PCI DSS.Esto incluye cosas como:

• Firewalls y controles de red para mantener los datos de pago separados y seguros
  
• Cifrado de datos que se mueven a través de sus servidores
  
• Controles de acceso fuertes que restringen quién puede obtener información casi confidencial.
  
• Sistemas de registro que rastrean la actividad para detectar cualquier cosa inusual

En pocas palabras, el alojamiento PCI proporciona una base segura, creada para proteger los datos del titular de la tarjeta.

Dicho esto, Solo usar un host amigable para PCI no significa que cumpla automáticamente.El proveedor de alojamiento le brinda las herramientas para un entorno seguro, pero su empresa aún necesita administrar software, procesos y políticas que cumplan con los estándares PCI.

Qué cubridas de alojamiento de PCI, y lo que no

Los proveedores de alojamiento de PCI manejan muchos requisitos técnicos, como firewalls, controles de red y restricciones de acceso.

Sin embargo, Hay responsabilidades que aún necesita para administrarse, incluido:

• Manteniendo su software y complementos actualizados: Las aplicaciones o extensiones obsoletas pueden introducir riesgos de seguridad incluso en un servidor seguro.
  
• Administración de acceso de usuario: Asegúrese de que los usuarios tengan solo los permisos que necesitan y habiliten la autenticación de dos factores siempre que sea posible.
  
• Monitoreo de registros y actividad: Revise regularmente los registros para detectar un comportamiento inusual antes de que se convierta en un problema.
  
• Minimizar la exposición a los datos de la tarjeta: Recoja solo lo que necesita y use la tokenización cuando sea posible para reducir los riesgos.
  
• Realización de escaneos de vulnerabilidad: Los escaneos regulares son necesarios para encontrar debilidades y generalmente son su responsabilidad, incluso cuando se alojan en servidores que cumplen con PCI.

Cómo saber si su negocio necesita ser compatible con PCI

Para decidir si se necesita alojamiento de PCI, el primer paso es descubrir si su negocio realmente necesita cumplir con los requisitos de PCI DSS.Eso comienza con comprender algo llamado alcance PCI.

El alcance de PCI se refiere al proceso de evaluar qué partes de su entorno empresarial entrarían en contacto con una tarjeta de crédito.

Esto incluye:

• Servidores
  
• Aplicaciones
  
• Redes
  
• Estaciones de trabajo
  
• Empleados con acceso a estos sistemas

Si alguna parte de su configuración toca los datos de pago, incluso brevemente, está en el alcance de PCI y debe seguir las reglas PCI DSS.

Aquí hay una forma rápida de pensarlo:

• Si Los datos de la tarjeta de crédito pasan a través de su servidor en cualquier momento, como durante el procesamiento de pagos, sus sistemas están en alcance.
• Si, en cambio, tu El procesamiento de pagos ocurre completamente fuera de su entorno (Por ejemplo, a través de una pasarela de pago de terceros), y sus servidores nunca ven o almacenan datos de tarjetas, es probable que esté fuera de alcance.En ese caso, el alojamiento de PCI puede no ser necesario.

Cuando el alojamiento de PCI probablemente no se necesite

Muchas empresas mantienen su entorno de alojamiento fuera del alcance de PCI confiando en soluciones de pago externas que manejan la información confidencial.Los ejemplos típicos incluyen:

• Páginas de pago alojadas: Servicios como Stripe Checkout, PayPal o Square recolectan detalles de pago de forma segura en sus propios servidores.Su sitio web envía a los clientes allí, para que sus servidores no manejen los datos de la tarjeta.
  
• Formularios de pago integrados con tokenización: Los procesadores de pago ofrecen formularios integrados (como elementos de franja o campos alojados de Braintree) que envían datos de la tarjeta directamente desde el navegador del usuario al proveedor de pagos.Su sistema solo obtiene un token, que es una referencia que no se puede usar para robar datos.
  
• Sin almacenamiento de datos de tarjeta: Si no almacena los números completos de la tarjeta de crédito pero usa servicios de facturación o bóveda tokenizados, la responsabilidad de almacenamiento recae en un proveedor que cumple, manteniendo sus propios sistemas más simples.

Cuando así es como funciona su flujo de pago, su entorno de alojamiento generalmente no está en alcance, y es posible que no se necesite alojamiento de PCI.

Cuando se requiere alojamiento de PCI

El alojamiento de PCI se hace necesario cuando su propia infraestructura interactúa directamente con los datos del titular de la tarjeta.Aquí hay señales de que el alojamiento de PCI se aplica a usted:

• Aloja sus propios formularios de pago: Si los clientes ingresan la información de la tarjeta de crédito en formularios alojados en su sitio web, esos datos pasan a través de sus servidores, colocándolos en alcance.
  
• Usted almacena números de tarjeta completos: Ya sea para suscripciones, facturación recurrente o pagos retrasados, almacenar datos completos de la tarjeta en sus servidores significa mayores requisitos de seguridad.
  
• Ejecuta sistemas de pago personalizados: Si construyó su propio pago, puerta de enlace o solución de punto de venta, su entorno de alojamiento es parte del flujo de pago y debe cumplir con los estándares PCI.
  
• Está sujeto a una auditoría formal de PCI: Las empresas que procesan grandes volúmenes de transacciones pueden sufrir auditorías que incluyen revisar su entorno de alojamiento.

En estas situaciones, Elegir un proveedor de alojamiento Familiarizado con los requisitos de PCI y ofrecer funciones listas para el cumplimiento es importante.

Los 12 requisitos de PCI DSS en breve

Después de confirmar que está en el alcance PCI, el siguiente paso es comprender lo que el cumplimiento realmente requiere.Ahí es donde entran los 12 requisitos de PCI DSS. Estos son los estándares de referencia que cada negocio en el alcance debe seguir para proteger adecuadamente los datos del titular de la tarjeta:

1. Use firewalls para proteger los datos - Los firewalls actúan como puntos de control, filtrando el tráfico de la red para bloquear el acceso no autorizado.
   
2. Cambiar contraseñas y configuraciones predeterminadas - Las credenciales predeterminadas son ampliamente conocidas y vulnerables, por lo que usa contraseñas fuertes y únicas.
   
3. Proteger los datos de la tarjeta almacenada - Cifrir y limitar el almacenamiento de los datos del titular de la tarjeta.Cuanto menos mantenga, menor será su riesgo.
   
4. Cifrar datos en tránsito - Usar cifrado como TLS Cuando los datos de la tarjeta se mueven a través de redes públicas o no confiables.
   
5. Use antivirus y anti-malware - Mantenga estas herramientas actualizadas para atrapar y detener el software malicioso.
   
6. Mantenga los sistemas y aplicaciones seguros - Patch Software regularmente y arreglar las vulnerabilidades rápidamente.
   
7. Restringir el acceso a los datos del titular de la tarjeta - Solo dé acceso a personas que lo necesitan para realizar su trabajo.
   
8. Asignar identificaciones únicas a los usuarios - Los inicios de sesión individuales hacen que sea más fácil rastrear la actividad del usuario.
   
9. Controlar acceso físico - Limite quién puede alcanzar físicamente dispositivos o documentos de almacenamiento de datos del titular de la tarjeta.
   
10. Registrar y monitorear el acceso - Mantenga registros detallados para detectar actividades sospechosas y ayudar con las auditorías.
    
11. Probar los sistemas de seguridad regularmente - Ejecutar escaneos de vulnerabilidad y pruebas de penetración para encontrar y fijar las debilidades.
    
12. Mantener una política de seguridad - Documente sus procedimientos de seguridad y asegúrese de que todos los involucrados comprendan sus roles.

Mantener el cumplimiento de PCI con el tiempo

Cumplir con los estándares PCI DSS una vez no es suficiente.El cumplimiento es un esfuerzo continuo que requiere atención regular para mantener los datos de los titulares de tarjetas seguros a medida que evolucionan su negocio y tecnología.

Aquí hay algunas prácticas clave para ayudarlo a mantener el cumplimiento a largo plazo:

1. Revise regularmente su alcance PCI

Su entorno puede cambiar a medida que agrega nuevos sistemas, integraciones o servicios.Revise periódicamente qué partes de los datos de la tarjeta de su manejo de configuración para asegurarse de que está cubriendo todas las áreas necesarias.

2. Mantenga el software y los sistemas actualizados

Se lanzan parches y actualizaciones de seguridad para solucionar vulnerabilidades.Haga que la actualización sea una parte de rutina de sus operaciones, no una tarea única.

3. Realizar monitoreo y registro continuos

El monitoreo continuo ayuda a atrapar actividades sospechosas temprano.Asegúrese de que sus registros se revisen regularmente y se almacenen de forma segura.

4. Programas de vulnerabilidad y pruebas de penetración

Ejecute estas pruebas al menos trimestralmente o después de cambios importantes.Revelan puntos débiles antes de que los atacantes los encuentren.

5. Entrena a tu equipo en las mejores prácticas de seguridad

Los empleados son una línea clave de defensa.La capacitación regular les ayuda a comprender su papel en la protección de los datos del titular de la tarjeta y reconocer las amenazas.

6. Actualice sus políticas y procedimientos de seguridad

A medida que las amenazas evolucionan y su negocio crece, mantenga actualización su documentación.Esto mantiene a su equipo alineado y preparado para auditorías.

7. Trabajar con evaluadores de seguridad calificados cuando sea necesario

Si su negocio se somete a auditorías PCI formales, asociarse con un QSA puede ayudarlo a mantenerse en el camino y hacer que el proceso sea más suave.

Al tratar el cumplimiento de PCI como una prioridad continua, reduce el riesgo y mantiene a sus clientes seguros.Mantenerse proactivo hoy ahorra problemas costosos mañana.

Terminando

No todos los negocios necesitan alojamiento PCI.Si los datos del titular de la tarjeta nunca tocan sus servidores porque usa los cheques alojados, los formularios tokenizados o la bóveda, es probable que su entorno de alojamiento esté fuera del alcance de PCI.

Si sus sistemas manejan el almacenamiento, el procesamiento o la transmisión de datos de la tarjeta, invertir en alojamiento listo para PCI es un paso inteligente para cumplir con el cumplimiento y la protección de sus clientes.

Antes de tomar decisiones sobre el alojamiento o la seguridad, revise cuidadosamente todo su flujo de pago.Comprender dónde encaja su entorno en el alcance PCI puede ahorrarle tiempo, dinero y dolores de cabeza en el futuro.