Cómo gestionar el estándar de seguridad de datos PCI en HCL Commerce
En los temas siguientes se trata cada uno de los requisitos detallados que pertenecen a HCL Commerce. Algunos de los requisitos están directamente relacionadas con el paquete de software de HCL Commerce. Otros requisitos no están relacionados, o relacionadas indirectamente, con el paquete de software de HCL Commerce. Por ejemplo, los requisitos indirectos pueden afectar a la utilización de las características de seguridad del sistema operativo, para proteger los archivos de HCL Commerce.
Para cada requisito que afecta directamente a HCL Commerce, el requisito se publica en cursiva, y se explica punto por punto. En algunos casos, es una explicación o confirmación de que el requisito se cumpla. En otros casos, deberá habilitar o inhabilitar características.
Para varios de los requisitos que están relacionados solo con el cumplimiento de la norma PCI (y no con WebSphere Commerce) se le indicará que consulte directamente PCI DSS para obtener más detalles. Asegúrese de saber cómo cambiar los requisitos de seguridad.
Arreglos y modificaciones necesarios para el cumplimiento de la norma PCI.
Además, se recomienda que aplique arreglos de seguridad tal como se recomienda en HCL Commerce Security Bulletins.
- Vaya a My notifications.
- Busque y suscríbase a las notificaciones de su producto de HCL Commerce. Por ejemplo, HCL Commerce Enterprise.
- Seleccione .
- Asegúrese de que el tipo de documento del boletín de seguridad está seleccionado.Nota: De forma predeterminada, se seleccionan todos los tipos de documento.
- Haga clic en Someter.
Resumen de las acciones de configuración específicas necesarias en la implementación de HCL Commerce
- Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos del titular de la tarjeta
- Asegúrese de implementar HCL Commerce en una configuración de 3 niveles.
- Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas
- Utilice DBclean periódicamente.
- Utilice KLF (infraestructura de localizador de claves) para almacenar la clave de cifrado de comerciante.
- Cambie la clave de cifrado de comerciante cuando sea necesario y, como mínimo, una vez al año.
- Cambie el número predeterminado de dígitos de texto sin formato que se muestran en el número de cuenta 5 – 4.
- Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas
- Inhabilite el cifrado SSLv2 en el servidor web.
- Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras
- Asegúrese de que las páginas de error de tienda no visualicen rastreos de pila, de forma visible, o en el código fuente de la página.
- Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
- Para cumplir con PCI-DSS, debe habilitar la auditoría para el componente de pedidos.
- Para cumplir con PCI-DSS, debe habilitar la auditoría de DB2 u Oracle para la tabla BUSAUDIT.