Cómo gestionar el estándar de seguridad de datos PCI en HCL Commerce

En los temas siguientes se trata cada uno de los requisitos detallados que pertenecen a HCL Commerce. Algunos de los requisitos están directamente relacionadas con el paquete de software de HCL Commerce. Otros requisitos no están relacionados, o relacionadas indirectamente, con el paquete de software de HCL Commerce. Por ejemplo, los requisitos indirectos pueden afectar a la utilización de las características de seguridad del sistema operativo, para proteger los archivos de HCL Commerce.

Para cada requisito que afecta directamente a HCL Commerce, el requisito se publica en cursiva, y se explica punto por punto. En algunos casos, es una explicación o confirmación de que el requisito se cumpla. En otros casos, deberá habilitar o inhabilitar características.

Para varios de los requisitos que están relacionados solo con el cumplimiento de la norma PCI (y no con WebSphere Commerce) se le indicará que consulte directamente PCI DSS para obtener más detalles. Asegúrese de saber cómo cambiar los requisitos de seguridad.

Consejo: Cada uno de los números de sección en esta sección corresponde a la numeración de las subsecciones del documento de PCI DSS.

Arreglos y modificaciones necesarios para el cumplimiento de la norma PCI.

Además, se recomienda que aplique arreglos de seguridad tal como se recomienda en HCL Commerce Security Bulletins.

Puede suscribirse a las notificaciones de boletín de seguridad utilizando su IBMid:

Vaya a My notifications.
Busque y suscríbase a las notificaciones de su producto de HCL Commerce. Por ejemplo, HCL Commerce Enterprise.
Seleccione Opciones > Editar.
Asegúrese de que el tipo de documento del boletín de seguridad está seleccionado.
Nota: De forma predeterminada, se seleccionan todos los tipos de documento.
Haga clic en Someter.

Resumen de las acciones de configuración específicas necesarias en la implementación de HCL Commerce

Aunque se recomienda leer cada una de las secciones de requisitos para comprender completamente cómo HCL Commerce aborda PCI-DSS, en la lista siguiente se resumen los cambios que debe realizar en una instalación de HCL Commerce típica, utilizando los valores predeterminados. Lea cada página atentamente, para comprender cómo realizar los cambios.

Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos del titular de la tarjeta
- Asegúrese de implementar HCL Commerce en una configuración de 3 niveles.
Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas
- Utilice DBclean periódicamente.
- Utilice KLF (infraestructura de localizador de claves) para almacenar la clave de cifrado de comerciante.
- Cambie la clave de cifrado de comerciante cuando sea necesario y, como mínimo, una vez al año.
- Cambie el número predeterminado de dígitos de texto sin formato que se muestran en el número de cuenta 5 – 4.
Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas
- Inhabilite el cifrado SSLv2 en el servidor web.
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras
- Asegúrese de que las páginas de error de tienda no visualicen rastreos de pila, de forma visible, o en el código fuente de la página.
Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
- Para cumplir con PCI-DSS, debe habilitar la auditoría para el componente de pedidos.
- Para cumplir con PCI-DSS, debe habilitar la auditoría de DB2 u Oracle para la tabla BUSAUDIT.

Nota: Este resumen no incluye los cambios que debe realizar a las operaciones del sitio. Revise cada sección de requisito, cuidadosamente, para obtener detalles sobre las operaciones y los procedimientos que debe completar junto con el uso de HCL Commerce. Por ejemplo, revise los registros de auditoría de negocio cada día, o utilizando las herramientas de eliminación segura para eliminar activos de cifrado antiguos.