En la primera parte de este post conocimos sobre la norma PCI DSS y sus generalidades. En esta segunda entrega hablaremos de las modalidades de captura de información sensible en una tienda virtual y qué implican estas modalidades para cumplir la norma PCI DSS.
Cómo sé si mi negocio o sitio web debe lograr la certificación PCI DSS?
La certificación PCI DSS intenta cubrir cada «momento» en el que un Comercio acepta y procesa un pago con tarjeta de crédito. Esto aplica para negocios que aceptan tarjetas en sus puntos de venta (con «verifone») y también para negocios que aceptan pagos 100% en línea.
Me enfocaré en esos «momentos» en los que un Comercio acepta pagos en un sitio web de comercio electrónico. A estos pagos se les denomina comúnmente pago no presencial (card-not-present payments), es decir, no hay «planchado» de la tarjeta de crédito pues solo se utilizan los datos de dicha tarjeta para ingresarlos en un formulario y enviarlos al banco a través de una conexión segura (pasarela de pago o payment gateway).
Veamos algunos términos importantes relacionados con la forma como se captura la información sensible de tarjeta de crédito en un sitio web:
1. Formulario en sitio – Pago en Sitio (sin almacenamiento):
Tu sitio web, carrito de compras o aplicación web contiene un formulario de pago hospedado en el mismo servidor de la aplicación. El cliente ingresa en el formulario todos sus datos (incluyendo la información sensible de tarjeta de crédito) los cuales «viajan» de manera encriptada al banco a través de una conexión segura o Web Service para buscar la aprobación en el banco. En este escenario, el cliente nunca sale de tu sitio web y la información sensible nunca debe ser almacenada en ningún medio o base de datos. (Ejemplos dominicanos: www.priceclub.com.do, www.epk.com.do, DGII.gov.do)
Este escenario en el que la información sensible de la tarjeta de crédito «viaja» entre el carrito de compras y el banco a través de un suplidor externo, obliga a que el suplidor sí debe contar con la certificación PCI DSS y te obliga a utilizar un certificado de seguridad SSL, y también emitir un documento de autoevaluación PCI DSS o «self assesment questionaire«, que estaremos viendo en la siguiente entrega de este post.
2. Formulario en sitio – Pago en Sitio (con almacenamiento):
Similar al anterior, pero en este caso, el carrito de compras o aplicación web sí almacenan los datos de la tarjeta de crédito en una base de datos. Esto se usa normalmente para permitirle al cliente realizar un pago rápido en su próxima compra o para poder aplicar cobros recurrentes, como por ejemplo, servicios por suscripción mensual. Un ejemplo muy conocido es el «Amazon 1-Click Ordering». Aquí la certificación PCI DSS es altamente requerida por el riesgo de almacenar información sensible y eventualmente tu sitio web también requerirá el cumplimiento de la norma PA-DSS (Payment Application Data Security Standard), que veremos más adelante.
3. Formulario fuera de sitio – Pago fuera del sitio:
El formulario de pago está instalado en el servidor de un suplidor de pasarela de pago o payment gateway. El suplidor envía la información de la tarjeta de crédito al banco. Al momento de pagar (checkout), el cliente es redirigido a una página externa provista por el suplidor de la pasarela de pago o payment gateway, regresando el cliente a tu sitio web una vez completa el pago. Ejemplos dominicanos: www.alsuper.do, www.palaciodelcine.com.do, www.paragourmet.com).
Algunas opciones de esta modalidad de pago:
– PayPal Estándar
– PayPal Express
– Páginas de pago en línea de CardNet o Visanet Dominicana
– Pasarela de pagos eCollect
Si utilizas esta modalidad, no es necesario tener la certificación PCI DSS pues los suplidores de estas páginas de pago en línea ya están certificados y se encargan de toda la seguridad de la información durante el proceso de pago.
4. Pago dentro del sitio con iframe:
Con este método el proceso de captura de información sensible de tarjeta de crédito pareciera darse en un formulario dentro de tu sitio web, sin embargo, se está dando en un formulario que está «embedido» o insertado mediante un iframe dentro de tu sitio y que está hospedado por tu suplidor de pasarela de pago o payment gateway. (Ejemplo dominicano: www.transunion.com.do). En este caso toda la responsabilidad del manejo de la información sensible está en manos del suplidor de la pasarela de pago quien también debe tener la certificación PCI DSS.
En conclusión, cuál es la opción que más te conviene?
– Formulario en sitio-pago en sitio es la mejor opción en términos de tasas de conversión, sin embargo, debe existir un alto compromiso por no almacenar información sensible y solamente utilizar la información de respuesta que se recibe de la pasarela de pagos para la gestión de la venta. Técnicamente tiene retos en su integración y es importante considerar las mejores prácticas de seguridad y usabilidad para darle tranquilidad y confianza al cliente que está haciendo el pago.
– Formulario fuera de sitio-pago fuera del sitio es la opción más fácil de implementar y toda la seguridad en el pago recae en un tercero, sin embargo, esta opción tiene retos en lo que a tasa de conversión respecta pues el cliente algunas veces no confía en salir del sitio web para hacer el pago en un sistema externo que tal vez no conoce.
En la próxima entrada de este post hablaremos de los requisitos de Cardnet Dominicana y Visanet Dominicana respecto a la certificación PCI DSS de acuerdo con el tipo de comercio, volumen de transacciones, etc.
Seguimos!
Ya te suscribiste al newsletter de eCommerce.com.do? Qué esperas? Semanalmente te estaremos actualizando sobre noticias y nuevos artículos.
Te puede interesar:
PCI DSS – Qué es? Debo certificarme? (Parte 1 de 3)
Medios de pago en la República Dominicana (3 de 3) – Tarjetas de crédito- Medios de pago en la República Dominicana (1 de 3)
15 Características imprescindibles de tu plataforma de comercio electrónico
La experiencia de compra para aumentar las ventas (1/2)