HCL Commerce y el estándar de seguridad de datos PCI

La norma de seguridad de datos DSS (Data Security Standard) de la Industria de Tarjetas de Pagos (Payment Card Industry), desarrollada por las empresas fundadoras de PCI Security Standards Council, que incluyen American Express, Discover Financial Services, JCB, MasterCard Worldwide y Visa International, facilita la adopción global de medidas consistentes de seguridad de datos.

En el estándar PCI DSS Versión 3.0 se listan 12 requisitos que los minoristas, comerciantes en línea, procesadores de datos crédito y otros negocios relacionados con pagos deben implementar para ayudar a proteger a los titulares de tarjetas y sus datos. Los requisitos incluyen controles de tecnología (tales como cifrado de datos, control de acceso a usuarios y supervisión de actividad) así como procedimientos necesarios.

La mayoría de los requisitos se centran en la seguridad del sitio, pero algunos de ellos se aplican a la seguridad de las aplicaciones. Este documento de visión general técnica le ayuda a comprender los requisitos de PCI, determinar cuáles se aplican a HCL Commerce y cómo implementa HCL Commerce los requisitos aplicables.

El uso de HCL Commerce en el sitio de comercio electrónico, aunque esté instalado y configurado correctamente, no garantiza que el sitio satisfaga la norma PCI. La finalidad de este documento es describir la relación en HCL Commerce y los requisitos de seguridad de datos PCI y no se refiere a todo el entorno operativo. El cumplimiento de PCI también puede imponer requisitos sobre otros componentes del sitio implicados en el almacenamiento, el proceso o la transmisión de datos del titular de la tarjetas, que incluye cortafuegos, direccionadores, servidores web, sistemas operativos, bases de datos de almacenamiento y WebSphere Application Server. Es decir, si bien WebSphere Application Server está incluido en HCL Commerce, se considera un componente separado. El cumplimiento de la norma PCI es responsabilidad exclusiva del comerciante.

Como referencia, he aquí un resumen de la norma, tal como aparece en la versión 1.2 de PCI DSS:

Desarrollar y mantener una red segura

Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los proveedores.

Proteger los datos almacenados de los propietarios de tarjetas

Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.

Mantener un Programa de Manejo de Vulnerabilidad

Requisito 5: Proteger todos los sistemas contra programas maliciosos y actualizar periódicamente el software o los programas antivirus.
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

Implementar medidas sólidas de control de acceso

Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.

Supervisar y probar regularmente las redes

Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
Requisito 11: Probar regularmente los sistemas y procesos de seguridad.

Mantener una política de seguridad de la Información

Requisito 12: 12: Mantener una política que contemple la seguridad de la información para todo el personal.

Dónde encontrar información sobre la norma de seguridad de datos p ara PCI

Estándar de seguridad de datos para PCI: https://www.pcisecuritystandards.org/index.shtml
El estándar completo se puede encontrar en https://www.pcisecuritystandards.org/tech/download_the_pci_dss.htm
Programa de protección de datos de sitios de MasterCard: http://www.mastercard.com/us/merchant/security/sdp_program.html
Sitio de programas VISA CISP: http://usa.visa.com/business/accepting_visa/ops_risk_management/cisp.html

HCL Commerce y el cumplimiento de la norma PCI

El estándar de seguridad de datos (Data Security Standard - DSS) para PCI se refiere a algo más que a la seguridad de la aplicación HCL Commerce. Cubre amplios requisitos de seguridad, tales como la protección de virus y la limitación del acceso físico a los datos del titular de la tarjeta.

Es importante reconocer el ámbito de los requisitos y saber cuáles de ellos están relacionados con HCL Commerce.

Normas de seguridad de datos para PCI y cómo se relacionan con HCL Commerce
Requisito	Relación
1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.	Vinculado únicamente a PCI DSS
2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los proveedores.	Área de interés
3: Proteger los datos almacenados de los propietarios de tarjetas.	Área de interés
4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.	Área de interés
5: Proteger todos los sistemas contra programas maliciosos y actualizar periódicamente el software o los programas antivirus.	Vinculado únicamente a PCI DSS
6: Desarrollar y mantener sistemas y aplicaciones seguras.	Vinculado únicamente a PCI DSS
7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.	Área de interés
8: Identificar y autenticar el acceso a los componentes del sistema.	Área de interés
9: Restringir el acceso físico a los datos de los propietarios de tarjetas.	Vinculado únicamente a PCI DSS
10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.	Área de interés
11: Probar regularmente los sistemas y procesos de seguridad.	Vinculado únicamente a PCI DSS
12: 12: Mantener una política que contemple la seguridad de la información para todo el personal.	Vinculado únicamente a PCI DSS

Diferentes tipos de soluciones de pago para HCL Commerce

Existen diversos modos de gestionar pagos en una implementación de tienda de HCL Commerce:

Subsistema de pagos de HCL Commerce
APIs de pagos o plug-ins que están personalizados o proporciona un tercero
Páginas de pagos alojadas que proporciona un tercero

Si no utiliza el subsistema de pagos de HCL Commerce, es responsabilidad suya garantizar que la API de pago o la página de pago alojada cumpla la norma PCI.

Si utiliza un plug-in del subsistema de pagos de HCL Commerce que no es SimpleOffline o tiene un plug-in de pago personalizado utilizando el subsistema de pagos de HCL Commerce, debe esta certificado por el asesor de PCI. El plug-in de pago que utilice deberá ser evaluado mientras esté conectado a la pasarela de pago que esté utilizando.

Avisos de PCI Security Standards Council: Términos y condiciones legales

La aceptación de un aplicación de pago determinada por parte de PCI Security Standards Council, LLC (PCI SSC) solo se aplica a la versión específica de dicha aplicación de pago que PA-QSA revisó y que posteriormente PCI SSC aceptó (la "Versión aceptada"). Si algún aspecto de la aplicación de pago difiere de la evaluada por PA-QSA y aceptada por PCI SSC, aunque la aplicación de pago o versión diferente (la "Versión alternativa") cumpla con la descripción básica del producto de la Versión aceptada, la Versión alternativa no debe ser considerada como aceptada ni promocionada como aceptada por PCI SSC.

Ningún proveedor o tercero puede referirse a una aplicación de pago como "Aprobada por PCI" o "Aprobada por PCI SSC" ni afirmar o insinuar de otro modo que PCI SSC ha aprobado total o parcialmente algún aspecto del proveedor o sus aplicaciones de pago, salvo en la medida que se establezca en los términos y las restricciones de un convenio escrito celebrado con PCI SSC o en una Carta de aceptación de las PA-DSS suministrada por PCI SSC. PCI SSC prohíbe absolutamente cualquier otra referencia a la aceptación o aprobación que concede de una aplicación o versión de pago.

Cuando se otorga, la aceptación de PCI SSC no se concede para garantizar determinadas características operativas y de seguridad importantes para el logro de sus objetivos, pero dicha aceptación en ninguna circunstancia incluye o implicar un respaldo o garantía de proveedor de aplicaciones de pago o de funcionalidad, calidad o rendimiento de la aplicación de pago o de cualquier otro producto o servicio. PCI SSC no garantiza productos ni servicios suministrados por terceros. En ningún caso, la aceptación que concede PCI SSC incluye o implica garantías de productos, incluidas, de manera enunciativa, las garantías de comerciabilidad, de aptitud para uso determinado o de no violación de los derechos de terceros, que PCI SSC expresamente rechaza. Todos los derechos y las soluciones en relación con productos y servicios que han recibido aceptación por parte de PCI SSC, deben ser proporcionados por la parte que suministra dichos productos o servicios, y no por PCI SSC ni por las marcas de pago.