Cumplimos con PCI

Esto significa que nos adherimos a los estándares de seguridad en línea más rigurosos para mantener segura su información y la de sus clientes.

PCI Compliance

A partir del 26 de febrero de 2009, 3dcart se ha convertido oficialmente PCI DDS compatible. En un esfuerzo creciente por preservar la integridad de la información personal, el PCI Security Standards Council ha establecido una serie de regulaciones que los negocios en línea deben seguir para garantizar la seguridad de las compras en línea. 3dcart ha cumplido y superado todos los estándares descritos por el Consejo de Estándares de Seguridad PCI con gran éxito: no solo invertimos en más de $ 50,000 en software de seguridad de red de última generación, sino que hemos demostrado nuestra gestión de seguridad, políticas de seguridad, arquitectura de red y El diseño de software está protegido y libre de cualquier vulnerabilidad que pueda obstaculizar su negocio en línea. Además, todas las pruebas fueron realizadas por dos compañías externas, SecurityMetrics y Plynt, lo que garantiza que no se tomaron atajos para demostrar nuestro cumplimiento.

INFORME PCI
  • Estatus de la Propiedad Obediente
  • Proveedor de servicios: 3dcart
  • Tipo de scaneado: Trimestral
  • Proveedor de escaneo: SecurityMetrics

¿Qué es el cumplimiento de PCI?

Los estándares de seguridad PCI son un conjunto de regulaciones establecidas para salvaguardar la seguridad de los datos de la cuenta de pago. El consejo que desarrolla y monitorea estas regulaciones está compuesto por los proveedores líderes en la industria de pagos: American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. Inc. International. Esencialmente, definen las mejores prácticas para almacenar, transmitir y manejar información confidencial a través de Internet.

¿Cómo se hizo compatible con 3dcart PCI?

3dcart se ha asociado con SecurityMetrics para ejecutar una serie de pruebas rigurosas para autenticar que nuestra empresa cumple con todos los estándares de seguridad de datos PCI:

Construir y mantener una red segura

Primer requisito

Instale y mantenga una configuración de cortafuegos para proteger los datos del titular de la tarjeta: los cortafuegos son dispositivos informáticos que controlan el tráfico informático permitido dentro y fuera de la red de una empresa, así como el tráfico hacia áreas más sensibles dentro de la red interna de la empresa. Un firewall examina todo el tráfico de red y bloquea las transmisiones que no cumplen con los criterios de seguridad especificados. Todos los sistemas deben estar protegidos contra el acceso no autorizado desde Internet, ya sea que ingresen al sistema como comercio electrónico, acceso basado en Internet de los empleados a través de navegadores de escritorio o acceso de correo electrónico de los empleados. A menudo, las rutas aparentemente insignificantes hacia y desde Internet pueden proporcionar rutas desprotegidas hacia sistemas clave. Los firewalls son un mecanismo de protección clave para cualquier red de computadoras.

Segundo requisito

No use los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad: los piratas informáticos (externos e internos de una empresa) a menudo usan contraseñas predeterminadas del proveedor y otras configuraciones predeterminadas del proveedor para comprometer los sistemas. Estas contraseñas y configuraciones son bien conocidas en las comunidades de hackers y se determinan fácilmente a través de la información pública.

Proteger los datos del titular de la tarjeta

Tercer requisito: proteger los datos almacenados del titular de la tarjeta.

El cifrado es un componente crítico de la protección de datos del titular de la tarjeta. Si un intruso elude otros controles de seguridad de la red y obtiene acceso a datos cifrados, sin las claves criptográficas adecuadas, los datos son ilegibles e inutilizables para esa persona. Otros métodos efectivos para proteger los datos almacenados deben considerarse como posibles oportunidades de mitigación de riesgos. Por ejemplo, los métodos para minimizar el riesgo incluyen no almacenar los datos del titular de la tarjeta a menos que sea absolutamente necesario, truncar los datos del titular de la tarjeta si no se necesita un PAN completo y no enviar el PAN en correos electrónicos no cifrados.

Cuarto requisito: cifrar la transmisión de los datos del titular de la tarjeta a través de redes públicas abiertas.

No use los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad: los piratas informáticos (externos e internos de una empresa) a menudo usan contraseñas predeterminadas del proveedor y otras configuraciones predeterminadas del proveedor para comprometer los sistemas. Estas contraseñas y configuraciones son bien conocidas en las comunidades de hackers y se determinan fácilmente a través de la información pública.

Mantener un programa de gestión de vulnerabilidades

Quinto requisito: usar y actualizar regularmente el software antivirus.

Muchas vulnerabilidades y virus maliciosos ingresan a la red a través de las actividades de correo electrónico de los empleados. El software antivirus debe usarse en todos los sistemas comúnmente afectados por virus para proteger los sistemas del software malicioso.

Sexto requisito: desarrollar y mantener sistemas y aplicaciones seguros

Las personas sin escrúpulos usan vulnerabilidades de seguridad para obtener acceso privilegiado a los sistemas. Muchas de estas vulnerabilidades son reparadas por parches de seguridad proporcionados por el proveedor. Todos los sistemas deben tener los parches de software apropiados lanzados más recientemente para proteger contra la explotación por parte de empleados, hackers externos y virus.

Implementar medidas fuertes de control de acceso

Séptimo requisito: restringir el acceso a los datos del titular de la tarjeta según las necesidades comerciales de la empresa.

Este requisito garantiza que solo personal autorizado pueda acceder a los datos críticos.

Octavo requisito: asigne una identificación única a cada persona con acceso a la computadora.

La asignación de una identificación (ID) única a cada persona con acceso garantiza que las acciones tomadas en los datos y sistemas críticos sean realizadas por usuarios conocidos y autorizados, y puedan rastrearse hasta ellos.

Noveno requisito: restringir el acceso físico a los datos del titular de la tarjeta.

Cualquier acceso físico a datos o sistemas que alberguen datos de titulares de tarjetas brinda la oportunidad a las personas de acceder a dispositivos o datos y eliminar sistemas o copias impresas, y debe restringirse adecuadamente.

Monitoree y pruebe redes regularmente

Décimo requisito: Rastree y monitoree todo el acceso a los recursos de la red y los datos del titular de la tarjeta.

Los mecanismos de registro y la capacidad de rastrear las actividades de los usuarios son críticos. La presencia de registros en todos los entornos permite un seguimiento y análisis exhaustivos cuando algo sale mal. Determinar la causa de un compromiso es muy difícil sin los registros de actividad del sistema.

Undécimo requisito: pruebe regularmente los sistemas y procesos de seguridad.

Los hackers e investigadores están descubriendo continuamente vulnerabilidades, y un nuevo software las está introduciendo. Los sistemas, procesos y software personalizado deben probarse con frecuencia para garantizar que la seguridad se mantenga a lo largo del tiempo y con cualquier cambio en el software.

Mantener una política de seguridad de la información

Décimo segundo requisito: Mantener una política que aborde la seguridad de la información.

Una política de seguridad sólida establece el tono de seguridad para toda la empresa e informa a los empleados qué se espera de ellos. Todos los empleados deben ser conscientes de la sensibilidad de los datos y sus responsabilidades para protegerlos.

Certificado Plynt

3dcart ha ido más allá para garantizar la seguridad de nuestra aplicación mediante la contratación de una empresa externa, Plynt, para implementar pruebas de penetración y código en nuestro software. 3dcart ha cumplido con los 23 requisitos definidos por Plynt para asumir la certificación Plynt. Al obtener la certificación Plynt, 3dcart ha afirmado que nuestra aplicación es resistente a los ataques de seguridad más complejos y lógicos conocidos en Internet.

¿Qué significa esto para ti?

Debido a que 3dcart mantiene una red segura para todos nuestros clientes, usted, como comerciante, puede sentirse seguro con el software 3dcart. Además, le proporcionaremos las herramientas que necesita para demostrar que su sitio también cumple con PCI. Esencialmente, si desea procesar tarjetas de crédito en su tienda en línea, debe ser compatible con PCI, y 3dcart lo ayuda a cumplir.