Consejos de cumplimiento de PCI COVID y pequeños comerciantes de PCI SSC

By | November 9, 2021

Consejos de cumplimiento de PCI de PCI SSC

OTI Contactless Credit Card Reader

Lector de tarjetas de crédito sin contacto OTI

Del PCI SSC : la pandemia de COVID-19 está cambiando rápidamente la cantidad de pequeños comerciantes que aceptan pagos. Los comerciantes que anteriormente solo tenían ubicaciones físicas se están moviendo para aceptar transacciones de comercio electrónico y por teléfono. El PCI Security Standards Council comparte la clave
consideraciones para ayudar a los pequeños comerciantes a mantener seguros los datos de pago de sus clientes en este entorno que cambia rápidamente.

Un consejo de Kiosk Industry Group es comprender y saber a qué acceso, en su caso, tienen acceso sus proveedores y la cadena de suministro. La violación de Target, por ejemplo, se debió a que un proveedor usaba una protección contra malware gratuita desactualizada en su PC y entraba a través de la infraestructura de Microsoft.

SUGERENCIA # 1: REDUZCA DONDE SE PUEDEN ENCONTRAR LOS DATOS DE LA TARJETA DE PAGO

La mejor manera de protegerse contra las filtraciones de datos es no almacenar los datos de la tarjeta en absoluto. Muchos pequeños comerciantes están ofreciendo servicio de recogida en la acera ahora y aceptan pagos telefónicos en lugar de transacciones anteriores cara a cara. Evite anotar los detalles de la tarjeta de pago y, en su lugar, introdúzcalos directamente en su terminal segura. Más información: Documento del grupo de interés especial del PCI SSC: Aceptar pagos telefónicos de forma segura

SUGERENCIA # 2: USE CONTRASEÑAS FUERTES

El uso de contraseñas débiles y predeterminadas es una de las principales causas de violaciones de datos de pago para las empresas. Para que sean eficaces, las contraseñas deben ser seguras y actualizarse periódicamente. Las contraseñas débiles y predeterminadas del proveedor son una fuente frecuente de pequeñas infracciones comerciales. Más información: Infografía de contraseñas seguras

SUGERENCIA # 3: MANTENGA EL SOFTWARE PATCHADO Y ACTUALIZADO

Los delincuentes buscan software obsoleto para aprovechar las fallas en los sistemas sin parches. La instalación oportuna de parches de seguridad es crucial para minimizar el riesgo de violación. Una forma de mantenerse al día con todos los cambios necesarios es garantizar que se realicen análisis de vulnerabilidades con regularidad para identificar problemas de seguridad. Los proveedores de escaneo aprobados por PCI (ASV) pueden ayudarlo a identificar vulnerabilidades y configuraciones incorrectas en sus sistemas de pago de Internet, sitio web de comercio electrónico y otros sistemas, proporcionando un informe de sus vulnerabilidades y cómo abordarlas, por ejemplo, qué parches
solicitar. Asegúrese de actuar sobre los resultados de los análisis de vulnerabilidades de ASV y mantenga su software actualizado. Más información: Infografía de parcheo

SUGERENCIA # 4: UTILICE UN CIFRADO FUERTE

El cifrado hace que los datos de la tarjeta de pago sean ilegibles para las personas sin una clave específica, y se puede utilizar para proteger los datos almacenados y los datos transmitidos a través de una red. Pregunte a su proveedor si el cifrado de su terminal de pago se realiza a través de una solución de cifrado punto a punto y está en la lista de soluciones validadas PCI P2PE de PCI SSC. Si está configurando un nuevo sitio web, confirme que el proveedor del carrito de la compra esté utilizando el cifrado adecuado, como TLS v1.2, para proteger los datos de sus clientes. Más información: Suplementos de información sobre el uso de SSL / TLS temprana

SUGERENCIA # 5: UTILICE EL ACCESO REMOTO SEGURO

Para minimizar el riesgo de violación, es importante que participe en la gestión de cómo y cuándo sus proveedores pueden acceder a sus sistemas. Los delincuentes pueden obtener acceso a sus sistemas que almacenan, procesan o transmiten datos de pago a través de controles débiles de acceso remoto. Debe limitar el uso del acceso remoto y deshabilitarlo cuando no sea necesario. Si debe permitir el acceso remoto, solicite a sus proveedores que utilicen autenticación multifactor y credenciales sólidas de acceso remoto que sean exclusivas de su empresa y no las mismas que se utilizan para otros clientes. Más información: Infografía de acceso remoto seguro de PCI SSC

SUGERENCIA # 6: ASEGÚRESE DE QUE LOS MUROS DE FUEGO ESTÉN CONFIGURADOS CORRECTAMENTE

Un firewall es un dispositivo o software que se encuentra entre su red e Internet. Actúa como una barrera para mantener el tráfico fuera de su red y sistemas que no desea y no autorizó. Las reglas del cortafuegos pueden parecer complejas, pero configurarlas correctamente es vital para la seguridad. Si necesita ayuda adicional para configurar correctamente su firewall, busque la ayuda de un profesional de redes. Más información: Recurso para pequeños comerciantes: conceptos básicos del firewall

SUGERENCIA # 7: PIENSE ANTES DE HACER CLIC

Los piratas informáticos utilizan el phishing y otros métodos de ingeniería social para dirigirse a organizaciones con correos electrónicos de apariencia legítima y mensajes de redes sociales que engañan a los usuarios para que proporcionen datos confidenciales, como el número de tarjeta de pago, el número de cuenta comercial o la contraseña. Los pequeños comerciantes deben estar más atentos y estar atentos a los ataques comunes de phishing e ingeniería social. Más información: Tenga cuidado con las amenazas y estafas en línea del COVID-19

SUGERENCIA # 8: ELIJA SOCIOS DE CONFIANZA

Es fundamental que sepa quiénes son sus proveedores de servicios y qué preguntas de seguridad hacerles. ¿Su proveedor de servicios cumple con los requisitos de las PCI DSS? Para los comerciantes de comercio electrónico (y aquellos de ustedes que recientemente comenzaron a aceptar pagos de comercio electrónico en lugar de pagos cara a cara), es importante que sus proveedores de servicios de pago cumplan con PCI DSS, incluido el proveedor de servicios que administra su pago. proceso (su “proveedor de servicios de pago” o PSP). Más información:

Enlaces adicionales

Vínculos relevantes para miembros de cumplimiento de PCI