Contenido del bolso

6/6/2025

5 minutos

Mejores prácticas para proteger los datos de pago de sus clientes y su sitio de comercio electrónico

En 2024, el panorama de la ciberseguridad se oscureció: las violaciones de datos personales denunciadas a la CNIL aumentaron más de un 20%

Esta cifra revela el alcance de la vulnerabilidad digital actual. Los ciberataques aparecen en las noticias todos los días. Incluso en mayo de 2025, una filtración de datos mundial dejó al descubierto más de 2,3 millones de tarjetas bancarias. Sigue las filtraciones de millones de clientes de minoristas franceses en los ámbitos del lujo, la telefonía, la banca, el comercio electrónico y la administración. La información personal y bancaria se encuentra luego en la web oscura, donde se utiliza para engañar a las personas con el fin de usurpar su identidad, malversar sus fondos...

Para los minoristas electrónicos, esta realidad es aún más crítica, ya que manejan datos de pago confidenciales a diario. Samuel Delplace, responsable de Infraestructura y Seguridad, identifica el principal vector de ataque: la vulnerabilidad de las cuentas y contraseñas.
Durante los últimos dos años, la mayoría de las intrusiones provienen de cuentas comprometidas porque su contraseña era demasiado débil o se reutilizaba en varios sitios, tanto en entornos profesionales como personales. Las comunidades de hackers roban combinaciones de correo electrónico y contraseñas y las intercambian entre ellas. Basta con que se filtren estos identificadores para probarlos de forma masiva en otros sitios, hasta que encuentres el sitio web o los subcontratistas de un minorista importante donde puedan extraer datos en masa.

Ante esta realidad, ¿cómo pueden los minoristas electrónicos reforzar su seguridad y, al mismo tiempo, mantener la experiencia del usuario?

Este artículo muestra las palancas que deben implementarse, inspirándose en los requisitos reglamentarios y las mejores prácticas operativas.

1) Acceso seguro a las cuentas de sus clientes

El principio de defensa: al igual que ocurre con la protección de una casa, cuanto más difícil sea el acceso, más favorecerá el atacante a un objetivo más fácil. Si cada reproductor web refuerza sus requisitos de seguridad, generamos colectivamente un efecto disuasorio.

Consejo #1: implementar el inicio de sesión social

Es una función que permite a los usuarios registrarse y conectarse a través de su cuenta de Facebook, Google o Apple ID... y permite evitar tener una contraseña vinculada al sitio, al tiempo que se beneficia de una conexión relativamente rápida.

Este enfoque tiene la ventaja de delegar la autenticación en plataformas que ya son seguras, lo que reduce el riesgo de suplantación de identidad e impide que sus clientes recuerden otra contraseña.

Consejo #2: Aplica una política de contraseñas estricta

Ya sea para crear y renovar contraseñas, puedes seguir las recomendaciones De ANSSI :

Longitud mínima de 12 caracteres
Combinación de mayúsculas, minúsculas, números y caracteres especiales
Renovar al menos una vez al año y en caso de sospecha de compromiso

Esto puede parecer obvio, pero ¿sabía que en Francia las contraseñas más utilizadas siguen siendo «123456", «123456789" y «azerty»?

Consejo #3: Ofrezca autenticación multifactor (MFA)

LAautenticación de dos factores sigue siendo el método más eficaz para contrarrestar los ataques a cuentas comprometidas en la actualidad. Incluso si el atacante tiene las credenciales correctas, no podrá acceder a la cuenta sin el segundo factor (normalmente el smartphone del usuario).

Opciones recomendadas:

Notificación push para teléfonos inteligentes
Aplicaciones de autenticación (Google Authenticator, Authy)
Claves de paso : la nueva generación de autenticación sin contraseña

Consejo #4: Supervise proactivamente las filtraciones de datos

Actúe de forma preventiva con sus clientes detectando contraseñas comprometidas. A continuación, avíseles lo antes posible y recomiende que cambien su contraseña.

Puede utilizar soluciones tecnológicas y seguras como ReachFive para garantizar este reloj de protección continua.

2) Las reglas del arte de la profesión de pago: certificación PCI-DSS

‍Comprensión del estándar PCI-DSS

El Estándar de seguridad de datos de la industria de tarjetas de pago es la referencia internacional para todos los profesionales involucrados en la entrada, transferencia, procesamiento y almacenamiento de datos de pago con tarjeta. El propósito de esta norma es garantizar el más alto nivel de seguridad y proteger los datos de las tarjetas de los usuarios.

Sus obligaciones como comerciante

Una recomendación fundamental se aplica a los sitios de comercio electrónico: nunca almacene datos de pago. Nunca. ¿Nunca?.
Es su responsabilidad garantizar que los datos se capturen, transfieran, procesen y almacenen en un entorno seguro y certificado que cumpla con las normas. Para ello, la estrategia más adecuada es confiarlos a un proveedor de servicios de pago (PSP u organizador de pagos) certificado por el PCI-DSS de nivel 1. También puede implementar un entorno certificado, pero el trabajo será particularmente arduo y costoso.

Como comerciante, debes poder demostrar a tu banco adquirente que cumples los requisitos (el nivel de requisito depende del volumen de transacciones procesadas).

Como director de TI de un sitio de comercio electrónico, por lo general necesitas:

Verifique anualmente las certificaciones PCI DSS de sus proveedores de pagos.
Asegúrate de que la página de pago esté gestionada por el PSP o el orquestador: ya sea mediante un widget de pago o una página de redirección.
Complete un cuestionario de autoevaluación del SAQ correspondiente a su perfil.
Realice análisis de vulnerabilidades de ASV cada trimestre.

Riesgos en caso de incumplimiento

El incumplimiento de los requisitos de PCI-DSS expone a su empresa a:

Multas impuestas por Visa y Mastercard.
Un cuestionamiento de su responsabilidad en caso de un incidente que pueda llevar a la prohibición del procesamiento de tarjetas Visa y Mastercard.
Pérdida de confianza por parte de sus clientes.

Para obtener más información sobre la norma y los requisitos de seguridad esperados según su perfil, puede consultar la sitio oficial.
La elección de un socio tecnológico de confianza como Purse garantizará que marques todas las casillas.

3) Proteja su entorno interno

Sus equipos, subcontratistas y sistemas son los principales objetivos de los piratas informáticos.
Los equipos internos suelen ser el eslabón más débil explotado por los ciberdelincuentes. Para ellos, es una forma de ingresar a un sistema que es muy rico en datos de usuarios.

A diferencia de los clientes, el desafío aquí va más allá de la experiencia del usuario: Se trata de proteger su sistema, su facturación y su reputación.

Consejo #1: autenticación sólida para todos los empleados.

La creación de un sistema de autenticación sólido para los empleados es, desde nuestro punto de vista, esencial y una buena práctica que recomendamos encarecidamente. Debe generalizarse en sus propias herramientas, así como para acceder a los sistemas de sus subcontratistas.

Los usuarios de su organización que inicien sesión en el portal de administración de comerciantes de Purse deben autenticar con un sistema de MFA para garantizar un acceso seguro a sus datos.

Consejo #2: Reduce la superficie de ataque

El consejo parece obvio, pero en la práctica, no se implementa con la frecuencia que debería. Cuantas menos oportunidades demos a los ciberpiratas de entrar, más difícil les dificultamos el acceso y, al final, menores son los riesgos.
Una auditoría periódica de su sistema para identificar cualquier cosa que esté potencialmente abierta le permitirá configurar una política adaptada a cada flujo de red:

Cifre todos los flujos mediante HTTPS.
Tenga una política de acceso con privilegios mínimos.
Cierre los puertos y servicios innecesarios.

Consejo #3: Detecta vulnerabilidades

Configure un proceso estructurado:

Identificación sistemática de vulnerabilidades.
Clasificación por nivel de criticidad (bajo/medio/alto/crítico).
Corrección prioritaria de vulnerabilidades críticas y altas.
Supervisión y presentación de informes periódicos.

Consejo #4: Pon a prueba tu seguridad con regularidad.

Recomendamos que proveedores de servicios especializados prueben su ciberseguridad de forma regular:

Análisis de vulnerabilidades externas todos los meses (solución basada en Qualys).
Pruebas de penetración al menos una vez al año o en cada cambio importante.

Consejo #5: Desarrolle aplicaciones seguras

Integre la seguridad en sus desarrollos mediante el diseño:

Formación continua para equipos técnicos en desarrollo seguro.
Uso de herramientas de detección de vulnerabilidades en el código fuente, las bibliotecas de código abierto y sus contenedores.
Integre estas pruebas de seguridad automáticamente en el proceso de implementación a través de su CI/CD, como Github o Gitlab.

Consejo #6: Realice copias de seguridad y pruebe sus copias de seguridad con regularidad

Implemente una política de respaldo de datos.
Realice una prueba de recuperación de datos al menos una vez al año.

‍

«llegar a cinco comillas» (aquí o en otro lugar)

Conclusión: delegar para proteger mejor

La seguridad de los datos de pago se basa principalmente en la elección de un proveedor certificado en quien delegue esta responsabilidad fundamental. Su función consiste en crear un entorno seguro en torno a esta delegación.

Como organizadora de pagos y especialista en seguridad, PURSE se compromete a diario a garantizar el más alto nivel de seguridad para sus clientes y sus usuarios. Podemos ayudarlo a implementar estas mejores prácticas y asesorarlo sobre las herramientas que se adapten a sus necesidades.

No dude en ponerse en contacto con nosotros para proteger eficazmente su actividad de comercio electrónico y, al mismo tiempo, optimizar la experiencia de sus clientes.