Con frecuencia nos preguntan si Kinsta ofrece hosting que cumple con PCI, por lo que hoy nos profundizaremos en este tema. Muchos no se dan cuenta de que cada tienda de ecommerce que procesa, almacena o transmite datos de tarjetas de crédito debe cumplir con la PCI, independientemente de su volumen de ventas anual. Por lo tanto, es importante tomarse un tiempo y comprender mejor el cumplimiento de PCI y cómo afecta su negocio.

¿Qué Es la PCI?

El término PCI significa “Industria de tarjetas de pago” (Payment Card Industry). A menudo escuchará esto asociado con la PCI DSS, que es el estándar de seguridad de datos de la industria de las tarjetas de pago. Básicamente, se trata de un conjunto de estándares de seguridad para todas las empresas que aceptan, almacenan y transmiten datos de tarjetas de crédito. Esto fue diseñado para proteger los datos del consumidor y garantizar que los datos de la tarjeta de crédito se procesen en un entorno seguro.

Las empresas como American Express, Discover, JCB International, MasterCard y Visa tienen sus propios programas de cumplimiento, pero se rigen por los estándares de seguridad establecidos por la PCI Security Standards Council/ Consejo de Estándares de Seguridad (del que son miembros fundadores).

¿Kinsta Ofrece Hosting que Cumple con PCI?

Es importante comprender que el hecho de que un host sea compatible con PCI no significa que automáticamente cumple con los requisitos si aloja su sitio web con ellos. La razón es que la mayor parte de la responsabilidad de garantizar la seguridad recae sobre usted como propietario del sitio web. Por ejemplo, si está llevando una tienda WooCommerce, usted es el último responsable de manejar los datos de los clientes, procesar las tarjetas de crédito, almacenar y autenticar la información de inicio de sesión y mantener el código de su sitio.

Kinsta no garantiza el cumplimiento de PCI, y no podemos auditar su sitio para verificar si está haciendo las cosas bien. Sin embargo, eso no significa que no pueda cumplir con PCI al hospedar su sitio web con nosotros. De hecho, tenemos muchos clientes que han trabajado con auditores externos para aprobar los inspecciones de conformidad de PCI. En muchos de estos casos, hemos tenido que hacer algunos ajustes menores solicitados, pero estos clientes han podido pasar la auditoría después de realizar los ajustes en ambos lados.

Si bien no nos involucramos directamente en el proceso de auditoría, ya que es responsabilidad del propietario del sitio web, podemos realizar ajustes específicos solicitados.

¿Cómo Cumplir?

Estas son algunas de las mejores prácticas para garantizar que cumpla con Kinsta:

1. Cuestionario de Autoevaluación PCI

Complete un cuestionario de autoevaluación (SAQ Self-Assessment Questionnaire) anualmente para ayudarlo a determinar si su configuración de procesamiento de pagos cumple con PCI.

2. TLS y HTTPS

Use sus páginas de pago de forma segura con una versión moderna del TLS (1.2 o superior) para que su sitio web utilice HTTPS (conexiones encriptadas). Kinsta siempre mantiene actualizadas las versiones de TLS en los servidores y usted puede instalar fácilmente un certificado SSL desde su panel de control de MyKinsta.

A continuación le explicamos cómo instalar el certificado SSL en WooCommerce.

Nota: Los estándares de PCI (industria de tarjetas de pago) actualmente aceptan certificados de dominio validados (DV), lo que significa que se pueden usar certificados Let’s Encrypt gratuitos. Sin embargo, estas reglas también podrían cambiar en el futuro. Si no se siente cómodo con esto, o un auditor recomienda no hacerlo, siempre puede instalar un certificado SSL personalizado. Esto también brinda protección adicional, como una garantía en caso de violación de datos.

Asegúrese de leer nuestra guía de TLS vs SSL.

3. Procesar Pagos a través de un Proveedor Externo

Una de las formas más sencillas de simplificar potencialmente el cumplimiento de PCI es procesar las transacciones de su tarjeta de crédito a través de un proveedor externo. Puede conectar fácilmente su tienda WooCommerce o Easy Digital Downloads con una pasarela de pago, como Stripe o PayPal. No obstante, debe consultar las reglas de cumplimiento de PCI, ya que el simple hecho de procesar tarjetas de crédito fuera del sitio no siempre garantiza el cumplimiento. Es posible que se requieran pasos adicionales.

4. Implementar un Cortafuegos

Otra recomendación es establecer e implementar un cortafuegos para ayudar a filtrar el tráfico no deseado. Utilizamos los cortafuegos de nivel empresarial de Google Cloud Platform, la seguridad activa y pasiva y otras funciones avanzadas que ya están en funcionamiento para evitar el acceso a tus datos.

Sin embargo, también puede implementar un cortafuegos de aplicaciones web (WAF) de terceros como Sucuri o Cloudflare para obtener protección adicional.

5. Autenticación de Dos Factores

La autenticación de dos factores implica un proceso de dos pasos en el que no solo necesita su contraseña para iniciar sesión sino también un segundo método. La habilitación de la autenticación de dos factores puede ayudar a evitar el acceso no autorizado tanto al panel de control de su host como a su sitio.

Habilitar la autenticación de dos factores en MyKinsta.
Habilitar la autenticación de dos factores en MyKinsta.

6. Seguridad del Centro de Datos

Kinsta utiliza la Google Cloud Platform que utiliza el estado del arte de la seguridad a través de sus centros de datos: protecciones como tarjetas de acceso electrónico diseñadas a medida, alarmas, barreras de acceso a vehículos, vallas perimetrales, detectores de metales y biometría. El centro de datos presenta detección de intrusión de rayo láser.

Sus centros de datos son monitoreados 24/7 por cámaras de alta resolución y patrullados por guardias de seguridad que han pasado por rigurosas verificaciones de antecedentes. Cada acción y actividad se graba y se registra en caso de que ocurra un incidente.

Todos los datos se cifran en tránsito y en reposo entre Google, los clientes y los centros de datos, así como los datos de todos los servicios de la Plataforma en la Nube. Los datos almacenados en discos persistentes se encriptan en AES de 256 bits y cada clave de cifrado también se cifra con un conjunto de claves maestras cambiadas regularmente.

El servicio Compute Engine de GCP ha sido revisado por un Asesor Calificado de Seguridad independiente y se determinó que cumple con PCI DSS 3.2. Sin embargo, eso no significa que automáticamente cumple con PCI. Todo lo que hemos mencionado anteriormente sigue siendo válido, ya que usted es el responsable final de garantizar que su sitio cumpla con PCI.

Lea mas acerca de la seguridad de Google Cloud Platform.

Nota: La información anterior se proporciona para ayudarlo a responder sus preguntas relacionadas con el cumplimiento de PCI. Sin embargo, no somos responsables de evaluar su cumplimiento. Esto siempre debe ser manejado por un auditor externo.