Cumplimiento PCI de WooCommerce: ¡Todo lo que necesita saber!

Publicado: 2022-01-25

WooCommerce es una plataforma de comercio electrónico de código abierto para WordPress que se utiliza para crear escaparates virtuales hermosos y personalizables. Pero, ¿qué tan seguros son sus métodos de pago? ¿Se adhiere la plataforma a los estándares de cumplimiento de PCI?

A menos que su sitio web de comercio electrónico cumpla con los estándares PCI-DSS, tiende a comprometer la seguridad y privacidad de los datos del cliente. Y esto podría afectar la reputación de su negocio en línea.

Esto es todo lo que debe saber para asegurarse de que los datos de sus clientes estén protegidos y seguros en su tienda WooCommerce.

Mostrar tabla de contenido
  • ¿Cumple WooCommerce PCI?
  • ¿Qué es exactamente el cumplimiento de PCI?
  • Beneficios clave de tener un sitio web compatible con PCI:
  • ¿Cuáles son los requisitos para el cumplimiento de PCI-DSS?
  • ¿Es WooCommerce seguro?
    • Protección de la información de la tarjeta de crédito almacenada
    • Seguridad mejorada con SSL
    • Sistema de inicio de sesión de WordPress
  • ¿WooCommerce guarda la información de la tarjeta de crédito?
  • Conclusión y preguntas frecuentes

¿Cumple WooCommerce PCI?

woocommerce-pci-cumplimiento

El complemento principal de WooCommerce no es compatible con PCI-DSS. Sin embargo, se puede configurar fácilmente para que sea totalmente compatible. En última instancia, la responsabilidad de hacer que el sitio web cumpla con PCI recae en el propietario de la tienda. Y, por lo tanto, deben tomar todas las medidas para garantizar que su sitio web de comercio electrónico sea seguro y protegido.

Idealmente, varios aspectos de los requisitos de cumplimiento de PCI-DSS están fuera del alcance de WooCommerce o WordPress. En cambio, caen bajo el alcance del proveedor de alojamiento o las prácticas comerciales que cumple su sitio web. El complemento WooCommerce está diseñado teniendo en cuenta la seguridad y hay varias formas de garantizar una seguridad completa.

Estas son las características clave de WooCommerce que pueden ayudar a que su sitio web de comercio electrónico sea compatible con PCI inicialmente:

Acceso limitado:

WooCommerce utiliza un inicio de sesión seguro de WordPress que permite a los usuarios asignar niveles y roles de privacidad individuales a diferentes usuarios. El acceso limitado a la información de pago de los clientes garantiza una mayor seguridad.

Seguridad SSL:

Los usuarios pueden configurar WooCommerce para hacer cumplir los requisitos de SSL durante el proceso de pago. Tener la certificación SSL garantiza que los datos de sus clientes permanezcan completamente encriptados antes de que puedan transmitirse a través de la web.

Seguridad de la tarjeta de crédito almacenada:

Idealmente, las pasarelas de pago nativas de WooCommerce no están diseñadas para guardar los datos de las tarjetas de crédito de los clientes. Incluso si una pasarela de pago permite guardar la tarjeta para futuros pagos, solo se almacenarán los últimos 4 dígitos. Esta función de WooCommerce garantiza una mayor seguridad de los datos de su tarjeta de crédito.

Recomendado para usted: Alojamiento de WooCommerce administrado por Nexcess: ¡un gran lugar para vivir su tienda!

¿Qué es exactamente el cumplimiento de PCI?

¿Qué es PCI-Compliance-woocommerce?

Fuente: I-Verve.com

Para cualquier tipo de negocio de comercio electrónico, es importante mantener altos estándares de seguridad. Es un criterio crucial que determina la confiabilidad y el profesionalismo de su empresa. Para garantizar una mayor protección de los datos de los clientes y altos niveles de privacidad, existen varias normas y estándares que puede implementar para garantizar la seguridad.

El más destacado de ellos es el PCI-DSS o el Estándar de seguridad de datos de la industria de tarjetas de pago. También es reconocido como el estándar PCI.

La industria del comercio electrónico se ve constantemente desafiada por sofisticados ataques cibernéticos, lo que representa una grave amenaza para la seguridad y la privacidad de los datos. Por lo tanto, es importante garantizar la seguridad de la pasarela de pago. Ayuda a generar confianza en la mente de los clientes, impulsando más ventas y ventas repetidas.

Pero, ¿cómo puedes demostrar que tu sitio web de comercio electrónico tiene un sistema de pago seguro? Esto se puede hacer haciendo que sus espectadores y audiencia sepan que su sitio web cumple con PCI.

PCI es un estándar aceptado a nivel mundial administrado por el Consejo de estándares de seguridad de la industria de tarjetas de pago, establecido por JCB International, Visa Inc., MasterCard, Discover Financial Services y American Express. El objetivo es mejorar la seguridad y minimizar el fraude relacionado con las transacciones con tarjetas de crédito en línea.

Si su sitio web de comercio electrónico acepta pagos con tarjeta de crédito, debe cumplir con PCI. El incumplimiento de los estándares PCI puede ocasionar sanciones financieras severas a su empresa y también puede dañar su reputación.

Beneficios clave de tener un sitio web compatible con PCI:

pulgares arriba-pros-como-positivo-más-alto-bien
  • Con el cumplimiento de PCI-DSS, existen pocas posibilidades de que los datos de la tarjeta de crédito sean robados cuando alguien compra en su tienda en línea. Las funciones como la suscripción doble, la autenticación de dos factores y HTTPS impiden que los piratas informáticos roben datos confidenciales de su sitio web de comercio electrónico.
  • Indica que su tienda en línea tiene un sistema de pago seguro, lo que ayuda a inculcar un sentido de confianza entre los clientes para completar el proceso de pago de manera segura.
  • Permite a los comerciantes de comercio electrónico reducir las devoluciones de cargo que pueden resultar en pérdidas significativas para su negocio. A medida que los ataques cibernéticos son más avanzados, los piratas informáticos roban la información de la tarjeta de crédito de un cliente y la utilizan para comprar productos en línea. Cuando el cliente identifica este cargo inesperado, suspende inmediatamente el pago. Como resultado, se quedará sin nada, sin devolución del producto, sin dinero.
  • Con el cumplimiento de PCI, puede dar un paso más para evitar la fuga de datos y la piratería. Esto puede ayudar a evitar demandas, que pueden costarle a su negocio de comercio electrónico una cantidad significativa de dinero, tiempo y reputación.

¿Cuáles son los requisitos para el cumplimiento de PCI-DSS?

lista-de-verificación-tareas-notas-calendario

Hay 12 requisitos básicos de PCI-DSS, clasificados en las siguientes áreas”

Objetivos Requisito PCI-DSS
Construya y mantenga una red segura 1. Instale y use una configuración sólida de firewall que ayude a proteger la información del titular de la tarjeta.
2. Nunca utilice los valores predeterminados proporcionados por el proveedor para los parámetros de seguridad y las contraseñas del sistema.
Proteja los datos del titular de la tarjeta 3. Proteja todos los datos almacenados de tarjetas de crédito.
4. Asegurar el cifrado de los datos del titular de la tarjeta en redes públicas y abiertas.
Crear un programa de gestión de vulnerabilidades 5. Utilice un potente software antivirus y actualícelo periódicamente.
6. Desarrollar aplicaciones y sistemas seguros.
Implementar medidas de control de acceso de prueba completa 7. Permita el acceso a los datos confidenciales del titular de la tarjeta solo cuando sea necesario.
8. Limite el acceso físico a todos los datos almacenados del titular de la tarjeta.
9. Establezca una identificación única para cada usuario que tenga acceso a la computadora.
Probar y monitorear redes regularmente 10. Supervise y rastree de manera eficiente el acceso a todos los datos del titular de la tarjeta y los recursos de la red.
11. Pruebe periódicamente los procesos y sistemas de seguridad.
Establezca una política de seguridad de datos 12. Cree una política definitiva que ayude a abordar la seguridad de los datos.

Idealmente, el procesador de pagos exige el cumplimiento de PCI. Para esto, es posible que deba completar cuestionarios específicos como el Cuestionario de autoevaluación (SAQ). Su sistema de pago también es escaneado por un proveedor de escaneo aprobado (ASV) por las autoridades.

Te puede gustar: 10 extensiones / complementos gratuitos de WooCommerce para potenciar tu tienda de comercio electrónico de WordPress.

¿Es WooCommerce seguro?

woocommerce-pci-cumplimiento

WooCommerce establece claramente que los doce requisitos de cumplimiento de PCI están fuera de su alcance. Lo que significa que los demás requisitos son responsabilidad del entorno del servidor de su proveedor de alojamiento.

Por lo general, cualquier proveedor de alojamiento puede cumplir, algunos servidores son inicialmente más compatibles que otros. Al igual que los proveedores de VPS administrados con paneles de control, tienden a cumplir de manera predeterminada con muchos requisitos de PCI, ya que están preconfigurados en sus configuraciones, lo que les quita mucho trabajo a los propietarios del sitio web.

Por lo tanto, si se toma en serio la gestión de su negocio en línea y la seguridad es de suma importancia, entonces siempre debe optar por un VPS en lugar de un alojamiento compartido.

Sin embargo, si tuviera que contar solo con el complemento, es posible que tenga algunos otros criterios integrados con el complemento, pero estos no son suficientes para afirmar que su método de pago cumple con PCI-DSS.

Estos son los tres requisitos principales de cumplimiento de PCI que cumple WooCommerce para garantizar una seguridad integral:

Protección de la información de la tarjeta de crédito almacenada

Es posible que WooCommerce no brinde una protección completa de toda la información almacenada de la tarjeta de crédito, pero está diseñado para NO almacenar esa información en primer lugar. Eso significa que WooCommerce almacenará cualquier información de tarjeta de crédito que un cliente use para realizar pagos en su sitio web.

En caso de que el cliente elija establecer el método de pago como opción preferida para uso futuro, WooCommerce solo almacenará los últimos cuatro dígitos del número de tarjeta. Esto disuade a los ciberdelincuentes de obtener acceso a los detalles de la tarjeta. Sin embargo, esta función de seguridad solo está disponible con las aplicaciones nativas de WooCommerce. Si usa complementos de terceros , es posible que almacenen detalles completos de la tarjeta.

Seguridad mejorada con SSL

De acuerdo con los estándares PCI, debe tener un certificado SSL válido si acepta pagos de clientes en su sitio web. Tener un certificado SSL garantiza que todos los datos que sus clientes proporcionen en su sitio web estén completamente encriptados antes de ser transmitidos. Esto ayuda a mitigar los fraudes con tarjetas de crédito y la piratería, lo que hace que su tienda en línea sea más segura. Además, un certificado SSL también le da a su sitio web un impulso de SEO.

WooCommerce le permite establecer los criterios de requisitos de SSL en todas las páginas de pago. Por lo tanto, WooCommerce ayuda a cumplir con los estándares PCI al garantizar una seguridad mejorada a través de SSL. Pero es importante validar con el proveedor de alojamiento de su sitio web si pueden ofrecer el certificado SSL.

Certificado HTTP a HTTPS-SSL

Sistema de inicio de sesión de WordPress

El sistema de inicio de sesión de WordPress es otra forma que utiliza WooCommerce para respaldar el cumplimiento de PCI. Permite establecer diferentes niveles de acceso de los usuarios a la información sensible de la tarjeta de crédito. Eso significa que puede crear diferentes roles de usuario y establecer un acceso de inicio de sesión único para garantizar una mayor seguridad.

Por ejemplo, un escritor de publicaciones de blog en su sitio web solo puede crear y editar publicaciones, pero no tiene la autoridad para acceder o ver los datos de los clientes de WooCommerce. Por lo tanto, es como configurar un acceso de "solo necesidad de saber" que puede ayudarlo a cumplir con los requisitos de PCI.

Así es como WooCommerce proporciona una cantidad considerable de seguridad al integrar los requisitos de cumplimiento de PCI anteriores.

¿WooCommerce guarda la información de la tarjeta de crédito?

pago-con-tarjeta-de-credito-comercio-electronico-compras

El complemento principal de WooCommerce no almacena información de la tarjeta de crédito, incluso si un cliente guarda el método de pago para uso futuro, solo se almacenarán los últimos 4 dígitos de la tarjeta de crédito.

Entonces, si su pregunta es si mi tienda de comercio electrónico debe cumplir con PCI, entonces la respuesta será NO. Esto es solo cuando su tienda WooCommerce funciona con el complemento principal y no almacena, transmite ni procesa datos del titular de la tarjeta. En tales casos, los pagos se toman fuera del sitio, mediante el uso de una puerta de enlace que generalmente usa sus servidores para recibir pagos.

Sin embargo, si está utilizando complementos de terceros que pueden almacenar información del titular de la tarjeta o recopila, transmite y procesa datos de la tarjeta de crédito según lo establecido en los estándares PCI, entonces su sitio web debe cumplir con PCI-DSS.

También te puede interesar: Magento vs Shopify vs WooCommerce: La batalla del comercio electrónico.

Conclusión y preguntas frecuentes

woocommerce-pci-cumplimiento-preguntas-respuestas-faq-consulta-ayuda

En resumen, WooCommerce no cumple totalmente con los estándares PCI. Sin embargo, proporciona un cierto nivel de protección contra la pérdida de datos o la piratería de información confidencial del titular de la tarjeta según los requisitos de cumplimiento de PCI. Además, también brinda la flexibilidad de hacer que su tienda WooCommerce cumpla con PCI al tomar medidas definitivas que se han discutido en la sección de preguntas frecuentes de este artículo.

P. ¿Cumple WordPress PCI?

No; WordPress no es totalmente compatible con PCI y solo cumple con los requisitos establecidos en las pautas del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago. Sin embargo, la plataforma se puede actualizar sin problemas para integrar otras funciones compatibles con PCI y hacer que el sistema de pago de su sitio web sea totalmente resistente a la piratería y la pérdida de datos.

P. ¿Cumple con Shopify PCI?

Shopify es otra plataforma de comercio electrónico líder que permite a las empresas comerciales ofrecer una experiencia de compra segura a los clientes al adherirse a las mejores prácticas de la industria en términos de sistemas de seguridad. Es una plataforma compatible con PCI-DSS de nivel 1 certificada que cumple con los seis requisitos de cumplimiento de PCI:

  • Datos seguros del titular de la tarjeta.
  • Mantener una red segura.
  • Probar y monitorear regularmente las redes.
  • Establecer un programa de gestión de vulnerabilidades.
  • Mantener una política integral de seguridad de datos.
  • Establezca fuertes medidas de control de acceso.

Entonces, a diferencia de WooCommerce, Shopify gana el juego cuando se trata de cumplir con los estándares PCI-DSS.

P. ¿Cómo hago que WordPress sea compatible con PCI?

Para que su sitio web de WordPress sea compatible con PCI, primero es importante elegir un procesador de pagos que cumpla con los estándares PCI. Seleccione un procesador que proporcione una pasarela de pago segura. Solo entonces puede continuar con los siguientes pasos para hacer que WordPress sea compatible con PCI:

  • Establezca su nivel comercial: las reglas para el cumplimiento de PCI variarán según el volumen transaccional de su negocio. Por lo tanto, primero debe determinar su nivel de comerciante. Por ejemplo, si es una pequeña empresa, puede calificar para el Nivel 4, que tiene el proceso de cumplimiento más simple.
  • Realice el cuestionario de autoevaluación: complete el cuestionario de autoevaluación (SAQ) que lo ayudará a comprender su exposición actual a los riesgos.
  • Integre un proveedor de escaneo aprobado: el ASV puede usar herramientas automatizadas para identificar posibles vulnerabilidades en el hardware y el software que recopila y procesa los datos de pago.
  • Obtenga un certificado SSL: Un certificado SSL le brinda a sus clientes la tranquilidad de tener una conexión encriptada y directa con su sitio web. El "HTTPS" del dominio de su sitio web es una credencial de seguridad adicional que cumple con los estándares PCI.
  • Use las herramientas y los complementos correctos: el uso de los complementos y las herramientas correctos para su tienda de WordPress o WooCommerce puede proporcionar una capa adicional de seguridad para su tienda de comercio electrónico. Por ejemplo, WordPress tiene controles de administración que le permiten limitar el acceso a la información del titular de la tarjeta, lo que garantiza una mejor protección y privacidad de los datos.
  • Más pasos para la verificación del pago: al realizar el pago, la mayoría de las pasarelas de pago solicitan el nombre del titular de la tarjeta, el número de la tarjeta de crédito y la fecha de vencimiento de la tarjeta. Los ciberdelincuentes pueden piratear fácilmente estos datos, lo que genera pérdidas anuales de miles de millones de dólares. Incluir detalles de verificación adicionales como CVV, dirección de facturación, preguntas de seguridad o OTP puede garantizar una mayor seguridad.
  • Manténgase actualizado con las políticas de seguridad más recientes: además de los pasos anteriores, también es crucial mantenerse al tanto de las políticas y tendencias de seguridad más recientes. Esto lo impulsará a dar un paso adelante para cumplir con PCI. La protección antivirus más reciente, las actualizaciones periódicas de software, el análisis de malware y los parches de seguridad son imprescindibles para garantizar una seguridad mejorada del sitio web. Además, su gente también debe estar capacitada para usar los datos de pago de manera segura y eficiente.