Shoplazza, plataforma de comercio electrónico líder en el mundo, anuncia su reciente certificación conforme a la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) v4.0.1, el último marco de seguridad obligatorio que rige la protección de los datos de las tarjetas de pago. Esta certificación llega cuando PCI DSS v3.2.1 se retira formalmente el 31 de marzo de 2024, dejando a v4.0.1 como el único estándar válido para las organizaciones que manejan información de tarjetas de pago.
Shoplazza establece un punto de referencia en el cumplimiento de la seguridad de los pagos
Con la plena conformidad con la norma PCI DSS v4.0.1, Shoplazza confirma que su infraestructura y sus procesos cumplen las normas mundiales más estrictas para salvaguardar los datos de los titulares de tarjetas. La certificación es fundamental para mantener una integración perfecta con proveedores de pago como PayPal, ya que el incumplimiento de los mandatos de PCI DSS conlleva restricciones o la cancelación de los privilegios de procesamiento de pagos.
"Adoptar PCI DSS v4.0.1 no es opcional, sino una necesidad empresarial en el panorama digital actual", afirma Alyson, COO de Shoplazza. "Al incorporar los últimos controles de seguridad, permitimos a los comerciantes operar sin interrupciones, sabiendo que sus sistemas de pago cumplen con los estrictos requisitos de las principales redes de tarjetas y proveedores de pago."
¿Qué es PCI DSS v4.0.1?
Desarrollado por el Payment Card Industry Security Standards Council (PCI SSC), PCI DSS es un marco mundialmente reconocido diseñado para prevenir el fraude con tarjetas de pago, la violación de datos y el robo de identidad. La actualización v4.0.1, publicada en junio de 2024, introduce objetivos y mejoras principales, entre los que se incluyen:
-
Seguir satisfaciendo las necesidades de seguridad del sector de pagos
-
Promover la seguridad como un proceso continuo
-
Aumentar la flexibilidad para las organizaciones que utilizan diversos enfoques de seguridad
-
Mejorar los métodos de validación y los procedimientos de apoyo
Además, responde a los retos técnicos y de seguridad
-
Entornos en la nube y seguridad de las API: Los nuevos requisitos introducen controles específicos para proteger la infraestructura basada en la nube y reforzar las medidas de seguridad de las API.
-
Phishing avanzado y malware: Se incluyen salvaguardas mejoradas para contrarrestar los esquemas de phishing cada vez más sofisticados y los ataques de software malicioso.
-
Cifrado y gestión de claves: La norma impone ahora protocolos de cifrado más estrictos y prácticas de gestión de claves más rigurosas para proteger los datos de pago confidenciales.
Actualizaciones clave: PCI DSS v4.0 frente a v3.2.1
Para prepararse mejor, el siguiente cuadro destaca tres diferencias clave entre la norma PCI DSS v3.2.1 y la actualizada v4.0.1.
|
Aspecto
|
PCI DSS v3.2.1
(totalmente retirada el 31 de marzo de 2024)
|
PCI DSS v4.0 ( totalmente vigente el 31 de marzo de 2025)
|
|
Marco de cumplimiento
|
Enfoque definido: Es el método por defecto, que requiere que las organizaciones sigan controles detallados y procedimientos de prueba establecidos por el PCI SSC, permitiendo controles compensatorios sólo cuando esté justificado.
|
Enfoque personalizado: Permite a las organizaciones aprovechar tecnologías innovadoras (por ejemplo, cifrado dinámico, seguridad nativa de la nube) para cumplir los objetivos de seguridad. Sin embargo, se requiere un análisis de riesgos específico para cada control personalizado y la presentación de documentación de evaluación.
|
|
Política de contraseñas
|
Mínimo de 7 caracteres y necesidad de cambio en un plazo de 90 días
|
Longitud mínima aumentada a 12 caracteres (8 si se aplican restricciones del sistema). Introduce un mecanismo dinámico de análisis de seguridad de cuentas y no es necesario cambiar las contraseñas/frases de contraseña al menos una vez cada 90 días.
|
|
Autenticación multifactor (AMF)
|
Específicamente, el requisito 8.3 exige MFA para el acceso remoto a la red (por parte de usuarios, administradores o terceros) que se origine fuera de la red corporativa.
|
La MFA es obligatoria para todas las cuentas que accedan a Entornos de Datos de Titulares de Tarjeta (CDE), incluidas las cuentas administrativas y de sistema, lo que mejora la seguridad de la autenticación.
|
Riesgos del incumplimiento: por qué es importante cumplir la normativa
No adoptar la norma PCI DSS v4.0.1 expone a las empresas a graves riesgos:
-
Brechas de seguridad: Los sistemas obsoletos son vulnerables a amenazas modernas como el robo electrónico y el phishing, que cuestan a las empresas de todo el mundo billones en pérdidas al año. Por ejemplo, Market Insights de Statista prevé que los costes mundiales de la ciberdelincuencia aumenten de 9,22 billones de dólares en 2024 a 13,82 billones en 2028.
-
Sanciones reglamentarias: Las entidades que no cumplen la normativa se enfrentan a restricciones en el procesamiento de transacciones, multas o incluso a la pérdida de los privilegios de procesamiento de pagos.
-
Perturbación del negocio: La incapacidad para cumplir las normas PCI DSS puede obstaculizar las asociaciones con proveedores y adquirentes de pagos globales, limitando la expansión del mercado.
¿Cómo simplifica Shoplazza el cumplimiento para los comerciantes?
El cumplimiento de la norma PCI DSS v4.0.1 de Shoplazza libera a los comerciantes de la carga de la certificación independiente. Al aprovechar la plataforma, los vendedores pueden:
-
Centrarse en el crecimiento del negocio mientras Shoplazza gestiona la seguridad de los pagos de extremo a extremo.
-
Integrarse sin problemas con proveedores de pago como PayPal, sabiendo que todo el flujo de transacciones cumple la normativa PCI.
-
Acceder a sólidas funciones de seguridad, como la transmisión cifrada de datos, la supervisión del fraude en tiempo real y la gestión automatizada de vulnerabilidades.
Próximos pasos para los comerciantes
Dado que la norma PCI DSS v3.2.1 se retira el 31 de marzo de 2024, y la v4.0.1 será totalmente obligatoria el 31 de marzo de 2025, se insta a los comerciantes a dar prioridad al cumplimiento. La plataforma certificada de Shoplazza ofrece una solución preparada para las empresas que buscan un procesamiento de pagos seguro y conforme a la normativa sin la complejidad de una implantación independiente.
