Estoy creando un sitio web de comercio electrónico y me preguntaba: ¿necesito comprar un certificado PCI DSS o simplemente debo cumplir con los estándares?
Es probable que PCI-DSS realmente no se aplique a usted. La mayoría de los sitios de comercio electrónico subcontratan su pago a una compañía de procesamiento de pagos, por ejemplo. PayPal o Google Checkout. Esto significa que nunca almacena información financiera sobre sus clientes.
Pero, si desea hacerlo usted mismo, y estará almacenando y aceptando directamente los pagos con tarjeta, entonces debe leer las pautas de PCI-DSS y comprender completamente lo que se requiere antes de seguir adelante. PCI-DSS no es solo una certificación, se convierte en parte del contrato que tiene con el banco que acepta sus fondos.
Si no tiene experiencia en seguridad, deberá recibir capacitación. Lo mismo ocurre con cualquier desarrollador que contrate. También se le puede exigir legalmente que cumpla ciertas leyes gubernamentales relacionadas con el almacenamiento de datos (por ejemplo, la Ley de protección de datos en el Reino Unido), que requerirá un estudio adicional. Es posible que necesite consultar a un abogado.
Una vez que el diseño de su sistema esté completo, vale la pena pagar a un asesor de seguridad para que identifique cualquier problema de seguridad que pueda enfrentar. A partir de ahí, puede pasar a la implementación. Deberá seguir las estrictas pautas de seguridad del código, así como tener una consideración cuidadosa al elegir su hardware y plataformas de alojamiento. Es posible que deba invertir en un HSM o un sistema similar para almacenar los detalles de la tarjeta de crédito, según las leyes y regulaciones aplicables. Una vez que haya completado el desarrollo, necesitará una revisión de seguridad por parte de una empresa certificada para proporcionar pruebas de cumplimiento PCI-DSS. Estas pruebas generalmente implican pruebas de penetración normales, así como la comprobación de quejas en todas las áreas de la norma.
Una vez que haya terminado, es probable que cumpla con las normas PCI-DSS. Es posible que su banco le pida que realice una prueba periódica de su sitio.
En definitiva, no es barato ni fácil cumplir con PCI-DSS. Puede ser mejor dejar que las empresas de procesamiento de pagos se encarguen de esta carga y se centren en mejorar la experiencia en línea para sus clientes.
Lea otras preguntas en las etiquetas pci-dss