Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas

Los requisitos detallados en esta sección son relevantes para HCL Commerce. Revise cada punto minuciosamente.

4.1 Utilice criptografía y protocolos de seguridad fuertes (por ejemplo, SSL/TLS, IPSEC, SSH, etc.) para proteger los datos confidenciales del titular de la tarjeta durante su transmisión sobre redes públicas abiertas, entre las que se incluyen las siguientes:
  • solo se aceptan claves y certificados de confianza.
  • El protocolo en uso solo da soporte a las versiones o configuraciones seguras.
  • La fortaleza de cifrado es adecuada para la metodología de cifrado que esté en uso.
Ejemplos de redes públicas abiertas que están en el ámbito de PCI DSS son:
  • Internet,
  • Tecnologías inalámbricas, que incluyen 802.11 y Bluetooth
  • Tecnologías móviles, por ejemplo, GSM (Global System for Mobile Communications), CDMA (Code division multiple access)
  • GPRS (General Packet Radio Service).
  • Comunicaciones vía satélite.

Todos los pagos en HCL Commerce se envían a través de peticiones SSL.

Para obtener información sobre el control y la protección del controlador de plug-in de pago de HCL Commerce, consulte Especificación de los plug-ins de pago

Para cumplir los requisitos de PCI-DSS, debe inhabilitar las claves e implementaciones de protocolo débiles (como SSL v2.0, v3.0 SSL, SSH v1.0, TLS 1.0 y TLS 1.1) que tienen vulnerabilidades conocidas en el servidor web. Estos tipos de cifrado son considerados demasiado débiles para el cumplimiento de PCI-DSS. En su lugar, debe utilizar las implementaciones más fuertes como, por ejemplo, TLS 1.2 o superior.
IBM HTTP Server

httpd.conf se actualiza según sea necesario en cada versión para inhabilitar los cifrados débiles.

4.1.1 Asegúrese de que las redes inalámbricas que transmitan datos del titular de la tarjeta o estén conectadas al entorno de datos del titular de la tarjeta utilicen los procedimientos recomendados del sector (por ejemplo, IEEE 802.11i) para implementar el cifrado fuerte para la autenticación y la transmisión.

Note: La utilización de WEP como control de seguridad está prohibido.

Aunque la propia red es transparente para HCL Commerce, es importante proteger la red inalámbrica ante posibles intrusiones. Una red inalámbrica no segura podría permitir a un atacante eludir sus otras medidas de seguridad.

4.2 Nunca envíe PAN no protegidos a través de tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, chat, etc.).

HCL Commerce no proporciona ninguna posibilidad predeterminada para enviar el PAN por correo electrónico.

4.3 Asegúrese de que las políticas de seguridad y los procedimientos operativos para cifrar las transmisiones de los datos del titular de la tarjeta almacenados estén documentados, se estén utilizando, y los conozcan todas las partes afectadas.

El comerciante es responsable de documentar y comunicar las política de seguridad y los procedimientos operativos a todas las partes que se vean afectadas.