Primero, le recomiendo encarecidamente que descargue sus obligaciones de cumplimiento con PCI-DSS por completo, transfiriendo la responsabilidad de capturar y procesar las credenciales de pago al proveedor de la pasarela de pago. La mayoría de los proveedores de pagos alojan las páginas de captura de pagos para sus clientes por este motivo. Esto le permite simplemente pasar la información del precio y los detalles de la factura a la pasarela de pago y luego se devuelven si el cliente realmente pagó. Rodar su propia pasarela de pago es tan peligroso como rodar su propio criptografía, peor en realidad; ya que manejarás dinero y varios pasivos bancarios.
Sin embargo, si, por algún motivo, usted o su organización no desean utilizar ninguno de los proveedores de pago preexistentes; Deberá tener en cuenta lo siguiente:
- Necesitará encriptar o "hash" cualquier "información confidencial" de la tarjeta de crédito que registre. Estos incluyen el número de tarjeta, el vencimiento de la tarjeta y el nombre del titular de la cuenta. El hash es una medida de cumplimiento más fácil de cumplir que el cifrado. No almacenar en absoluto es aún mejor.
- El valor CSC / CVV (número en el reverso de la tarjeta) nunca debe almacenarse en sus servidores, es una propiedad de autenticación "presente en la tarjeta" transitoria solamente.
- Creo que en la actualidad se insta a los nuevos sitios web compatibles con PCI-DSS a implementar 3D-Secure o equivalente, donde el usuario también puede autenticar el pago con una contraseña ingresada en una red de crédito de terceros o en un sitio web bancario.
- SSL / TLS a menudo tendrá que ser del tipo de certificado de validación extendida más caro. Dichos certificados (y algunas renovaciones) también requieren un papeleo lento en los membretes oficiales y la autoridad de los "oficiales" delegados en un organigrama determinado. Bob de TI en el sótano no lo corta (al menos hasta que el papeleo le diga a Verisign o algo parecido, Bob es ahora el oficial delegado). Este proceso para nuevos certificados no es rápido.
- PCI-DSS requiere la auditoría de cualquier inicio de sesión en los servidores que almacenan los detalles de la tarjeta de crédito o que participen en cualquier parte de la cadena de procesamiento, desde el proxy inverso de DMZ hasta los servidores de base de datos y de respaldo. Esto incluye el procesamiento o almacenamiento en la nube.
- PCI-DSS requiere auditoría y control de acceso de todos los desarrollos e implementaciones de software; que está algo en desacuerdo con personas sanas que confían en los proyectos Agile.
- PCI-DSS tiene algunas ideas bastante específicas sobre cuál debería ser su topología de red; una disposición que puede aumentar los costos si aún no tiene enrutadores, conmutadores y cortafuegos organizados en la estructura de subred deseada.
- PCI-DSS espera que las bases de datos principales y los demonios web; y que están totalmente parchados y actualizados. Para este efecto, los auditores a menudo requerirán que usted tenga contratos de soporte completamente pagados para su software. A muchos auditores (al menos la última vez que tuve que trabajar con PCI-DSS) no les gustará el software de fuente abierta donde existe una aplicación comercial "robusta" más familiar. Por lo tanto, espere la posibilidad de tener que cambiar de PostgreSQL a una base de datos Oracle.
- Deberá mantener registros detallados de cualquier personal de reparación de emergencia o contratistas de software ad hoc que tengan acceso al código fuente o servidores.
- Deberá pagar por el auditor externo PCI-DSS de forma rutinaria.
- La auditoría externa de PCI-DSS también requiere la documentación de la auditoría interna de PCI-DSS realizada por la organización. Esto ahorra tiempo al auditor externo y prueba que la organización tiene que pensar periódicamente en su seguridad. Las auditorías internas también costarán dinero.
- Esto tampoco es ni una lista completa *. El auditor externo esencialmente puede solicitar cualquier ajuste a cualquier sistema o proceso comercial para cumplir con el cumplimiento. En ocasiones, la compañía puede firmar una lista de riesgos de auditoría y aún así obtener un certificado PCI-DSS, pero los abogados de la compañía gritarán sobre las responsabilidades que debe asumir al firmar una renuncia de auditoría "de acuerdo".
Piense cuidadosamente acerca de los bienes o servicios principales de su empresa. Luego considere si establecer y mantener el procesamiento directo de la tarjeta de crédito es un producto clave de su negocio.
* ciclos de contraseña, restricciones de shell sudo, documentación de soporte completo, roles de división independientemente del tamaño de la empresa; la lista continua. El proceso de cumplimiento de PCI-DSS puede durar 6 meses o más.