Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas
Los requisitos detallados en esta sección son relevantes para HCL Commerce. Revise cada punto minuciosamente.
- solo se aceptan claves y certificados de confianza.
- El protocolo en uso solo da soporte a las versiones o configuraciones seguras.
- La fortaleza de cifrado es adecuada para la metodología de cifrado que esté en uso.
- Internet,
- Tecnologías inalámbricas, que incluyen 802.11 y Bluetooth
- Tecnologías móviles, por ejemplo, GSM (Global System for Mobile Communications), CDMA (Code division multiple access)
- GPRS (General Packet Radio Service).
- Comunicaciones vía satélite.
Todos los pagos en HCL Commerce se envían a través de peticiones SSL.
Para obtener información sobre el control y la protección del controlador de plug-in de pago de HCL Commerce, consulte Especificación de los plug-ins de pago
- IBM HTTP Server
httpd.conf se actualiza según sea necesario en cada versión para inhabilitar los cifrados débiles.
4.1.1 Asegúrese de que las redes inalámbricas que transmitan datos del titular de la tarjeta o estén conectadas al entorno de datos del titular de la tarjeta utilicen los procedimientos recomendados del sector (por ejemplo, IEEE 802.11i) para implementar el cifrado fuerte para la autenticación y la transmisión.
Aunque la propia red es transparente para HCL Commerce, es importante proteger la red inalámbrica ante posibles intrusiones. Una red inalámbrica no segura podría permitir a un atacante eludir sus otras medidas de seguridad.
4.2 Nunca envíe PAN no protegidos a través de tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, chat, etc.).
HCL Commerce no proporciona ninguna posibilidad predeterminada para enviar el PAN por correo electrónico.
4.3 Asegúrese de que las políticas de seguridad y los procedimientos operativos para cifrar las transmisiones de los datos del titular de la tarjeta almacenados estén documentados, se estén utilizando, y los conozcan todas las partes afectadas.
El comerciante es responsable de documentar y comunicar las política de seguridad y los procedimientos operativos a todas las partes que se vean afectadas.