Cuando, como propietario de una tienda de comercio electrónico, descubre PCI DSS o "Estándar de seguridad de datos de la industria de tarjetas de pago", su primer pensamiento podría ser si WooCommerce cumple con PCI. Su segundo pensamiento podría ser: ¿mi hosting cumple con PCI? Y las preguntas no terminan ahí. Un poco de investigación podría comenzar a preguntar si mis complementos de pasarela de pago de WooCommerce cumplen con PCI.

PCI DSS es un tema tan importante que define muchos estándares operativos para datos con tiendas de comercio electrónico, puede estar seguro de que WooCommerce tiene en cuenta este estándar y está haciendo todo lo posible para asegurarse de que su parte de su negocio cumpla con PCI. .

WooCommerce en realidad tiene un gran articulo describiendo cuál es su responsabilidad como proveedor de software, y también las cosas sobre las que no tienen control, que se relacionan más directamente con su forma de hacer negocios. El punto clave aquí es que WooCommerce cumple con PCI en su enfoque, pero eso no significará automáticamente que su negocio cumpla con PCI; usted tiene un papel que desempeñar en esto. Sin embargo, si sigue esta guía, puede minimizar la parte que TIENE que desempeñar para hacer que su tienda de comercio electrónico esté construida con WooCommerce PCI compatible.

Mi objetivo aquí es también proporcionar un artículo de referencia al que pueda consultar en el futuro si alguna vez surge la pregunta sobre el cumplimiento de PCI de comercio electrónico. Ser compatible con PCI con su tienda WooCommerce no es realmente difícil. Así que, antes de ayudarlo a lograr el cumplimiento de PCI en el comercio electrónico, estoy aquí para brindarle "tranquilidad" para que tenga una cosa menos en qué pensar y pueda volver a administrar su próspera tienda de comercio electrónico.

(Por supuesto, cuando hablamos del cumplimiento de PCI de WooCommerce, no excluimos el cumplimiento de PCI de WordPress, ya que es el sistema de gestión de contenido subyacente, pero si está utilizando WordPress con otra solución de comercio electrónico como Easy Digital Downloads, recomendaría a la información relacionada específicamente con esos complementos con respecto al cumplimiento de PCI. Sin embargo, esta Guía de cumplimiento de PCI debería proporcionarle las preguntas correctas para hacer sobre cualquier complemento de WordPress que esté utilizando

Guía de cumplimiento de PCI de comercio electrónico y negocios en línea para propietarios de tiendas WooCommerce

¿Qué impacto tiene el cumplimiento de PCI en mi negocio de comercio electrónico?

Me tomaré un segundo para preparar el escenario en torno al cumplimiento de PCI en caso de que no haya investigado completamente el cumplimiento de PCI y se haya topado con este requisito.

PCI DSS se trata básicamente de mantener la seguridad de los datos.

Como tienda de comercio electrónico, está interactuando con los clientes y sus tarjetas de pago muy confidenciales y datos similares. Por lo tanto, tiene sentido que para evitar el robo o el uso indebido de estos datos confidenciales, exista un estándar en torno al cual los comerciantes de comercio electrónico (y las empresas fuera de línea) deben cumplir por el bien de todos. Nadie quiere que sus datos sean pirateados o robados.

Desde una perspectiva egoísta, usted, como propietario del sitio de comercio electrónico, no quiere ser responsable de una violación de datos y, en última instancia, ser responsable de multas, demandas y más. ¡Sí, es así de serio!

Por lo tanto, los requisitos de PCI dictan cómo se deben manejar los datos para garantizar que todos se mantengan seguros cuando compren y que usted, el propietario de la tienda, se mantenga libre de demandas.

Si quieres profundizar en esto, te sugiero que vayas al Sitio web de estándares de seguridad PCI - pero para el propósito de esta guía, hemos preparado el escenario y ahora debería estar de acuerdo con la idea de que el cumplimiento de PCI no es realmente una opción y no es algo en lo que quiera arriesgar su sustento.

Cumplimiento de PCI de WooCommerce: sus responsabilidades frente a las de Woo

Área de cumplimiento de PCI12 requisitos básicos de PCI-DSSQué influye en el cumplimiento
CONSTRUYE Y MANTENGA UNA RED SEGURA1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta
2. No utilice valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
1. Selección de alojamiento (si realmente almacena datos de la tarjeta)
2. Su responsabilidad: utilice contraseñas seguras en todas partes.
PROTEGER LOS DATOS DEL TITULAR DE LA TARJETA3. Proteger los datos almacenados del titular de la tarjeta
4. Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas
3. WooCommerce en sí no almacena datos de tarjetas, pero su pasarela de pago influye en esto
4. Su responsabilidad: instalar un SSL y forzarlo
MANTENER UN PROGRAMA DE GESTIÓN DE VULNERABILIDADES5. Utilice y actualice periódicamente el software antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguros
5. Selección de alojamiento (si en realidad almacena datos de tarjetas)
6. Selección de alojamiento (si en realidad almacena datos de tarjetas)
IMPLEMENTAR MEDIDAS DE CONTROL DE ACCESO SÓLIDAS7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de conocer la empresa.
8. Asigne una identificación única a cada persona con acceso a la computadora.
9. Restringir el acceso físico a los datos del titular de la tarjeta.
7. Tu responsabilidad. WooCommerce proporciona control de inicio de sesión del rol del usuario para limitar el acceso a los datos por rol (si realmente almacena datos de la tarjeta)
8. Selección de alojamiento (si en realidad almacena datos de tarjetas)
9. Selección de alojamiento (si realmente almacena datos de tarjetas)
MONITOREO Y PRUEBA REGULARMENTE REDES10. Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta
11. Probar periódicamente los sistemas y procesos de seguridad
10. Selección de alojamiento (si en realidad almacena datos de tarjetas)
11. Selección de alojamiento / Su responsabilidad (si en realidad almacena datos de la tarjeta)
MANTENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN12. Mantener una política que aborde la seguridad de la información.12. Tu responsabilidad

Si ha leído esa tabla de arriba a abajo que describe los requisitos básicos de PCI DSS 12 y sus responsabilidades, es posible que se haya dado cuenta de que la declaración "si realmente se almacenan datos de la tarjeta" aparece MUCHO.

Esto se debe a que, como propietario de una tienda de comercio electrónico, tiene una opción, pero sería estúpido elegir la opción incorrecta (en mi opinión).

Opción 1: puede seguir la ruta del almacenamiento de datos de la tarjeta y la necesidad de ejecutar servidores seguros, tener escaneos regulares por 'Proveedores de escaneo aprobados', tener políticas y papeleo y molestias (costo).

O;

Opción 2: puede concentrarse en ser una empresa de comercio electrónico y configurarse para que sus requisitos de cumplimiento de PCI sean tan simples como completar un breve cuestionario mientras mantiene los datos de todos seguros y sus costos al mínimo absoluto.

Si todavía está pensando en la opción 1, deberá presentar un caso convincente para convencerme de que la opción 2 no es la opción correcta para su negocio de comercio electrónico.

Entonces, ¿WooCommerce cumple con PCI?

En la medida en que WooCommerce puede ayudar a SU negocio de comercio electrónico a ser compatible con PCI, sí, WooCommerce está cumpliendo su parte del trato y le proporciona un complemento central compatible con PCI.

WooCommerce también hace que sea realmente fácil cumplir con PCI si no hace nada estúpido.

¿Shopify cumple con PCI?

Al igual que WooCommerce, en la medida en que Shopify puede ayudar a su empresa a cumplir con los requisitos de cumplimiento de PCI, sí, Shopify cumple con PCI. Pero no es Shopify lo que debe cumplir con PCI, es USTED y SU negocio, y al igual que con WooCommerce, debe cumplir con su parte del trato, y eso es solo un ejercicio de papeleo.

¿El cumplimiento de PCI se aplica a mí o no?

El cumplimiento de PCI DSS se aplica a usted.

Lo oneroso que sea ese requisito de cumplimiento depende en gran medida de la tecnología que utilice EN COMBINACIÓN con WooCommerce, junto con las cosas que denominaremos "conceptos básicos establecidos".

¿Cuáles son los principios básicos para el cumplimiento de PCI si no almaceno los datos de la tarjeta?

Si no los tomó de la tabla anterior, aquí están en forma de lista:

  • Certificado SSL aplicado en el sitio
  • Contraseñas seguras utilizadas en el acceso a nivel de servidor (cuenta de alojamiento)
  • Contraseñas seguras utilizadas en el sitio web (inicio de sesión de WordPress)
  • Cuestionario A-EP (más sobre eso más adelante)

¿Cuáles son los requisitos tecnológicos para el cumplimiento de PCI con WooCommerce?

Si aún no lo ha recopilado, su objetivo es EVITAR almacenar datos de la tarjeta.

Si EVITA almacenar datos de tarjetas, los requisitos para el cumplimiento de PCI se simplifican significativamente.

¿Cómo evita almacenar datos de tarjetas con WooCommerce?

Todo esto se debe a su selección de Pasarela de pago o Complemento de pago para su tienda WooCommerce.

Si utiliza una pasarela de pago en su pago que EVITA que usted, su sitio web o sus servidores vean los datos sin procesar de la tarjeta de crédito que ingresan los clientes, esencialmente está entregando la parte de la responsabilidad del cumplimiento de PCI a los profesionales.

Los proveedores de pasarelas de pago como Stripe se ocupan del cumplimiento de PCI para vivir. Es lo que hacen, así que déjeles que lo hagan ELLOS y libérese de la abrumadora mayoría de los requisitos de cumplimiento de PCI.

¿Cómo pueden las pasarelas de pago y los complementos reducir mi requisito de cumplimiento de PCI?

El ejemplo más convencional y claro de un proveedor de pagos que se hace cargo de usted por el almacenamiento de los datos de la tarjeta (y, por lo tanto, la mayor parte de los requisitos de cumplimiento de PCI) sería PayPal.

Todos han tenido una experiencia de pago en la que han seleccionado "Pagar con PayPal" y luego se les ha presentado una ventana emergente o una nueva pantalla donde dice algo como "redireccionar a PayPal".

En esencia, el pago, los datos de la tarjeta y todo lo demás sensible relacionado con la transacción se captura en el sitio web de PayPal y sus servidores, no en el suyo.

(Obviamente, todavía está capturando información de identificación personal importante a los ojos de GDPR, recuerde que este es otro requisito que debe tener en cuenta, pero eso es para otro día)

¿Es necesario redirigir a los clientes al sitio web de los proveedores de pago para que cumplan con la normativa PCI con WooCommerce?

En resumen, no.

Stripe es un gran ejemplo de un proveedor de pasarela de pago que utiliza tecnología para colocar campos de entrada de tarjetas de crédito en la página de pago de su sitio web.

Aunque estos campos de entrada de la tarjeta de crédito se encuentran en su página web, los campos están básicamente alojados en Stripe. Esto significa, una vez más, que sus servidores NUNCA tienen en sus manos los datos confidenciales de la tarjeta del cliente.

En este ejemplo en particular, al usar Stripe, Stripe convierte la información de la tarjeta de crédito en una clave encriptada y la devuelve en un formato inutilizable.

Stripe ha liderado el camino con esta tecnología durante años: se fundaron en 2011 y hemos estado con ellos desde 2012. Han sido absolutamente sólidos, y muchos de los jugadores como PayPal han estado tratando de ponerse al día. su oferta de forma de pago integrada durante años. En mi opinión, Stripe es el líder absoluto con mucho en las soluciones de formularios de pago integradas para las tiendas de comercio electrónico en general, pero especialmente las tiendas WooCommerce.

Es posible que escuche a la gente hablar sobre "pagos en el sitio" y "pagos fuera del sitio".

Demonios, incluso la lista de extensiones de pasarelas de pago de WooCommerce se puede filtrar por "en el sitio" y "fuera del sitio"

Quizás esto sea un retroceso.

Pero si escucha cosas como “los pagos en el sitio requieren que se adhiera a los estrictos requisitos de cumplimiento de PCI” y “los pagos fuera del sitio significan que los requisitos de cumplimiento de PCI se relajan significativamente”, puede generar una confusión innecesaria en la mezcla.

Esencialmente, los campos de pago incrustados de Stripe se "diseñan" en su página de pago usando los estilos de su tema para que se vean como "su" forma de pago. Esto es lo que los propietarios de las tiendas pueden denominar "pagos en el sitio". Lo cual es correcto desde la perspectiva de que el usuario NO ES redirigido fuera de su sitio web para pagar.

Sin embargo, en el contexto del pago con tarjeta de crédito, a pesar de que el formulario es "en el sitio", el pago es "fuera del sitio".

Esta distinción realmente causará mucha confusión y una re-investigación interminable de las mismas cosas una y otra vez.

¿Es necesario que mi alojamiento sea compatible con PCI si no almaceno datos de tarjetas de crédito?

Si sus servidores de alojamiento nunca ven los datos de la tarjeta de crédito y tiene los conceptos básicos en su lugar como se compartió anteriormente, los servidores de su proveedor de alojamiento no entrarán en contacto con ningún dato confidencial de la tarjeta de pago.

Los requisitos de PCI DSS descritos anteriormente están escritos desde la perspectiva de que los servidores a los que se refieren son los que reciben los datos de la tarjeta de crédito.

Por lo tanto, si no almacenan datos de tarjetas de crédito en sus servidores de alojamiento, no NECESITAN ser compatibles con PCI. De hecho, podría ser realmente exagerado y, en última instancia, resultar en un costo excesivo significativo.

Cuestionario PCI DSS - A-EP para empresas de comercio electrónico

Es posible que haya notado que me deslicé en la lista "Conceptos básicos en su lugar" arriba de un cuestionario que suena extraño.

Sí, si siguió los pasos y subcontrató el Manejo de datos de su tarjeta a un proveedor de pago externo, habrá reducido sus Requisitos de cumplimiento de PCI a algunas acciones simples en el sitio (contraseñas y SSL) y un mero ejercicio de papeleo.

¡Y estaba pensando que necesitaba los niveles de seguridad de datos del 'Bank of America'!

Hay varios cuestionarios para el cumplimiento de PCI. El que se aplica a las tiendas de comercio electrónico se llama Cuestionario A-EP. Esto es a quien el Consejo de Normas de Seguridad dice que A-EP es aplicable a:

Comerciantes de comercio electrónico que subcontratan todo el procesamiento de pagos a terceros validados por PCI DSS y que tienen un sitio web que no recibe directamente datos del titular de la tarjeta pero que puede afectar la seguridad de la transacción de pago. No se permite el almacenamiento, procesamiento o transmisión electrónicos de los datos del titular de la tarjeta en los sistemas o instalaciones del comerciante.
Aplicable solo a canales de comercio electrónico.

Consejo de Normas de Seguridad - PCI DSS

Entonces, si desea continuar y completar el cuestionario, aquí hay un enlace a la página donde puede ver todos los cuestionarios disponibles del Consejo de Normas de Seguridad: Cuestionarios PCI.

¿Qué hacer a continuación?

Si ya está ejecutando una tienda WooCommerce y ha tropezado con el cumplimiento de PCI, vale la pena verificar un par de cosas;

  1. Está utilizando una pasarela de pago que establece claramente que manejarán el lado del manejo de datos de la tarjeta de conformidad con PCI. Como Stripe, por ejemplo: aquí hay información realmente útil sobre Stripe y PCI
  2. Está utilizando un complemento de pago para conectar la pasarela de pago a WooCommerce que también cumple con PCI, en línea con el objetivo de que NUNCA maneje datos de tarjetas de crédito
  3. Complete el cuestionario A-EP, archívelo y consígalo en una lista de verificación anual

¿Los usuarios de Shopify deben cumplir con PCI y completar un cuestionario PCI?

¡SI! Pero la mayoría no lo hará y se expondrá a algún riesgo residual.

Los operadores de las tiendas Shopify tienden a dirigir su negocio con la falsa impresión de que “Shopify se encarga de todo”.

Hasta cierto punto, Shopify y WooCommerce pueden hacer todo lo que esté a su alcance para garantizar que contribuyan al cumplimiento de PCI de su negocio de comercio electrónico. Sin embargo, cuando se trata de eso, no puede "subcontratar el cumplimiento" por completo, todavía tiene un papel que desempeñar, y es solo un poco de papeleo.

Shopify realmente no deja esto muy claro en mi opinión. Se menciona en este Artículo de Shopify de 2018, pero también se menciona en abstracto como si pudiera aplicarse a otras tiendas y tal vez no a Shopify, si no está leyendo detenidamente.

Entonces, ¿Shopify es más o menos compatible con PCI que WooCommerce?

Es un empate. Cada plataforma es tan inherentemente compatible con PCI como la otra.

La diferencia con WooCommerce es que debe asegurarse de no utilizar complementos de pasarela de pago desactualizados o mal configurados que, en última instancia, le impiden subcontratar por completo el manejo de los datos de la tarjeta de crédito.

Cuando se trata del cumplimiento de PCI de Shopify, TODAVÍA NECESITA HACER EL DOCUMENTO, como lo hace para ser compatible con PCI con WooCommerce.

Recomendamos Stripe Payment Gateway con el complemento Stripe WooCommerce

Stripe es un proveedor de pasarela de pago fantástico, que no solo ofrece pagos con tarjeta de crédito, sino que ahora también gestiona pagos mediante domiciliación bancaria y pagos BACS (Reino Unido), pagos ACH (EE. UU.).

Stripe usa sus campos de entrada integrados para manejar la tarjeta que maneja los Requisitos de Cumplimiento de PCI por usted mientras mantiene a sus clientes EN EL SITIO para maximizar la tasa de conversión de pago.

los Complemento Stripe para WooCommerce está escrito y es compatible con WooCommerce, lo que significa que los niveles de compatibilidad entre Stripe Plugin y Core WooCommerce son tan altos como lo logrará.

Stripe simplifica el cumplimiento de PCI sin exigir tarifas de pago elevadas, como es el caso de muchos proveedores de pago. (Sin embargo, con todos estos onerosos requisitos de cumplimiento de PCI, ahora puede comprender un poco más por qué se le cobran tarifas de pago en sus transacciones con tarjeta de crédito; ahora sabe lo que está pagando).

Preguntas frecuentes sobre el cumplimiento de PCI de WooCommerce

¿Woocommerce almacena información de tarjetas de crédito?

El complemento principal de WooCommerce por defecto no tiene una capacidad de procesamiento de pagos incorporada, lo que significa que no tiene forma de capturar o procesar la información de la tarjeta de crédito sin la ayuda de un complemento o procesador de pagos de terceros.

Sin embargo, WooCommerce Payments es un servicio que se ofrece ADEMÁS del complemento principal de WooCommerce; en este caso, la pasarela de WooCommerce Payments actúa como proveedor de pagos, pero una vez más, el complemento principal de WooCommerce y el CMS de WordPress no almacenan ni procesan la tarjeta de crédito. información.

¿El cumplimiento de PCI de WordPress es diferente del cumplimiento de PCI de WooCommerce?

Ya sea que esté utilizando WooCommerce con WordPress u otro complemento de comercio electrónico como Easy Digital Downloads, los requisitos de cumplimiento de PCI siguen siendo los mismos. Aunque no estoy comentando aquí sobre el cumplimiento de PCI de Easy Digital Downloads.

Fundamentalmente, el deseo aquí es utilizar una pasarela de pago que se encargue de la inmensa mayoría de los requisitos de cumplimiento de PCI.

es_MX