La seguridad en los pagos es una prioridad para cualquier comercio electrónico. Para garantizar el cumplimiento de los estándares de seguridad de datos, los comerciantes pueden utilizar el Cuestionario de Autoevaluación (SAQ) A de PCI DSS v4.0.1, siempre que cumplan con ciertos criterios de elegibilidad.
Uno de estos criterios establece que el sitio web del comerciante no debe ser vulnerable a ataques de scripts que puedan afectar su sistema de comercio electrónico. En este artículo, explicamos cómo los comerciantes pueden cumplir con este requisito y reforzar la seguridad de su negocio.
¿Qué es el SAQ A y por qué es importante?
El SAQ A es un cuestionario diseñado para comerciantes que externalizan completamente el procesamiento de pagos a un proveedor de servicios de terceros (TPSP). Este modelo de cumplimiento reduce la carga de seguridad del comerciante, ya que la información sensible no se almacena ni se procesa directamente en su sitio web.
Sin embargo, a pesar de esta externalización, el comerciante sigue siendo responsable de garantizar que su sitio no sea vulnerable a ataques que puedan comprometer los datos de los titulares de tarjetas. Uno de los mayores riesgos es la inserción de scripts maliciosos que pueden interceptar información de pago antes de que llegue al proveedor de pagos.
¿Cuándo aplica este criterio?
Este criterio solo aplica a comerciantes electrónicos que utilizan una página de pago incrustada de un proveedor de servicios de terceros (TPSP) o procesador de pagos. Esto significa que el formulario de pago se muestra dentro del sitio del comerciante a través de un iframe seguro.
No aplica a comerciantes que:
- Redirigen a los clientes a una página de pago externa mediante HTTP 30x, meta etiquetas o JavaScript.
- Externalizan completamente el proceso de pago, por ejemplo, enviando un enlace de pago por correo electrónico.
How do I confirm that a site is vulnerable to attack scripts?
Traders can guarantee the security of your payment page in two main ways:
1. Implementando técnicas de protección
To protect your site against attacks of scripts, traders should take the following measures:
- To comply with the requirements of PCI DSS: Implementing the practices outlined in the requirements 6.4.3 and 11.6.1 of the PCI DSS, including protection against unauthorised modifications to the source code and the detection of suspicious changes on the site.
- Use a Content Security Policy (CSP): Configure a security policy content that restrict the execution of unauthorized scripts and prevent the loading of malicious code.
- Implement Subresource Integrity (SRI): Ensure that the external scripts are not manipulated by validating their digital signatures.
- Monitor and scan the site regularly: Use monitoring tools and scan to detect any unexpected changes in the code or the inclusion of scripts suspects.
These measures can be applied by the trader or by a third party specializing in cyber security.
2. Obteniendo confirmación del TPSP o procesador de pagos
Another way to ensure the security of the payment page is to verify that the payment service provider implements techniques of protection against attacks of scripts. To do this, merchants should:
- Confirm with the TPSP that your payment solution embedded is protected against attacks of scripts.
- Strictly follow the instructions of the vendor for the correct implementation of the iframe payment.
- Request documentation demonstrating compliance with PCI DSS the payment solution offered.
Consideraciones finales
Los comerciantes deben trabajar en conjunto con su TPSP para implementar una solución segura y consultar con su entidad de cumplimiento (como su banco adquirente o la marca de pago) para confirmar qué tipo de SAQ deben presentar.
Un proveedor de scripts de terceros no es considerado un TPSP si sus scripts no están relacionados con el procesamiento de pagos y no pueden comprometer la seguridad de los datos de los titulares de tarjetas.
Además, es fundamental que los comerciantes mantengan una postura proactiva en la seguridad de su comercio electrónico. La capacitación del personal, la actualización continua de las medidas de seguridad y la adopción de herramientas de monitoreo ayudarán a minimizar riesgos y fortalecer la confianza de los clientes.
Source: PCI
También te puedes interesar: Protecting your E-commerce: Understanding the Requirements of PCI DSS 6.4.3 and 11.6.1 against the E-skimming
