logo
PAYINS

Payment solutions for all types of businesses

PAYOUTS

Fast and secure payment disbursement

ACQUIRING

With our own regional platform

INDUSTRIES
RetailEducationPSPGaming & Gambling
Partners
About KushkiSecurityCareersAwards & CertificationsCorporate GovernancePartnership AWS
Documentation

The fast track to integrate your business

Knowledge Base

Find answers about how our service works

Kushki Insights

Payments in Latin America in 2024

Sports betting, the legal and financial rise ...

Blog Kushki Hub

In the land of coronavirus, technology is king

Reflections on payment methods...

Pricing
contact

EN

  • EN
  • ES
contact
burger menu

La importancia de utilizar un proveedor de servicio certificado PCI DSS

Avatar img
Christian Cuenca
Information Security Officer @Kushki
agosto 16, 2021
Lectura de 2 minutos
La importancia de utilizar un proveedor de servicio certificado PCI DSS

El fraude electrónico es una de las principales amenazas para el ecosistema e-commerce, los datos y la información digital están expuestas a ser comprometidas por algún ciberdelincuente con el fin de obtener algún beneficio económico, ya sea con información financiera o de índole privado.

Ahora que tu negocio acepta tarjeta de crédito o débito como forma de pago deberás tener en cuenta qué tan importante es utilizar una pasarela de pagos certificada en PCI DSS.

PCI DSS surge en el año 2006 por el esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales marcas emisoras de tarjetas de pago (Visa, Mastercard, American Express, JCB y Discover) con el fin de facilitar y forzar a los comercios, proveedores de servicios y bancos a reducir el fraude durante el proceso de una transacción, esto mediante la protección de los sistemas que procesan, transmiten o almacenan datos de tarjetas.

Toda organización que procese, transmita o almacene datos de tarjetas de pago deben cumplir con los requerimientos que establece la norma PCI DSS.

La norma PCI DSS establece las siguientes categorias para las organizaciones que procesan, almacenan o transmiten datos de tarjetas:

  • Comercios o merchants: son los hipermercados, e-commerce, agencias de viajes, etc.
  • Proveedores de servicios o service providers: son los ISP/ASP, pasarelas de pagos, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.
  • Entidades financieras o acquirers: son los bancos, cajas de ahorro, entidades de crédito, etc.

¿Cuáles son los requerimientos que exige la norma?

  1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
  2. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  3. Proteger los datos almacenados del titular de la tarjeta.
  4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
  5. Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.
  6. Desarrollar y mantener sistemas y aplicaciones seguros.
  7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de información que tenga la empresa.
  8. Identificar y autenticar el acceso a los componentes del sistema.
  9. Restringir el acceso físico a los datos del titular de la tarjeta.
  10. Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
  11. Pruebe con regularidad los sistemas y procesos de seguridad.
  12. Mantenga una política que aborde la seguridad de la información para todo el personal.

Cuando la organización obtiene la certificación, esta debe ser renovada cada año para verificar su cumplimiento.

¿Por qué es tan importante obtenerla?

La gran importancia de obtener la certificación PCI DSS es el generar un ambiente de seguridad en cuanto al manejo de datos sensibles de las tarjetas de pagos y será un incentivo que posicionará a la empresa como responsable, seria y confiable. Además los usuarios finales tendrán la certeza que sus datos están siendo tratados de manera adecuada cumpliendo con los más altos estándares de seguridad.

A nivel de estrategia, esto permitirá a los comercios utilizar tarjetas de crédito y débito como medio de pagos de las principales marcas a nivel mundial evitando cualquier inconveniente o multas de parte de estas franquicias.

¿Un comercio debe certificarse en PCI DSS?

Nuestros comercios al utilizar a kushki como su proveedor de servicio para procesar sus transacciones no debe certificarse, sin embargo, su banco adquirente puede solicitarle realizar una autoevaluación para verificar el nivel de cumplimiento de la norma, para esto el comercio debe utilizar un cuestionario de autoevaluación (SAQ) provisto por el consejo de PCI.

https://www.pcisecuritystandards.org/document_library

Las ventajas más importantes de utilizar un proveedor de servicio certificado como Kushki es que proporciona seguridad en los sistemas que procesan la información de las operaciones, aumentando la confianza de los clientes para generar compras recurrentes y en consecuencia su fidelización y aumento de las ventas del negocio.

Al utilizar a Kushki como proveedor de servicio de pagos, el comercio delega la responsabilidad del manejo de los datos de tarjetas a una empresa certificada, pudiendo el comercio enfocarse en su estrategia directa de venta de un bien o servicio que ofrece a sus clientes.

A nivel de organización, permite implementar una estrategia de seguridad constante que ayuda a prevenir violaciones de seguridad a corto, mediano y largo plazo generando de esta manera una cultura de seguridad.

Be the life of the party with the latest information on digital payments.

Subscribe to our Kushki Hub to receive alerts about our new content.

Suscribe illustration
Don't know which product is right for your business?
Does the world of payments catch your attention?

More about our kushki Hub

A un año del boom del e-commerce en la pandemia, esto es lo que aprendimos

Más de doce meses han pasado desde el inicio del Covid-19 en todo el mundo, una pandemia mundial que vino a revolucionar nuestras vidas y a cambiar la forma de relacionarnos, aprender, comprar, hacer trámites, entre otras cosas. En este periodo, una de las transformaciones más significativas ha sido la del comercio: los que tímidamente compraban online, se vieron obligados a hacerlo como única opción. No solo los consumidores experimentaron el cambio. Según el Future Consumer Index de EY, las estrategias de venta de los principales retailers cambiaron de la noche a la mañana. Desde mayo a julio de 2020, los grandes comercios invirtieron aproximadamente US $10 billones en e-commerce, logística, última milla y todo lo que envuelve a un proceso de compra en línea exitoso. Lo curioso es que, tras volver a una relativa normalidad, las ventas online siguieron altas, lo que nos habla de una nueva realidad en la que ya no hay vuelta atrás. Antes de la pandemia, se esperaba que la demanda por entregas de última milla creciera 78% para 2030. Pero, con el Covid-19, esa cifra se produjo en tan solo un año. En Kushki, nos dedicamos a entregar servicios de pagos a empresas altamente transaccionales, por lo que la pandemia nos ha traído aprendizajes a nosotros y a nuestros clientes que debieron perfeccionarse en el mundo de la venta online. Casi un año y medio después, estas son las principales lecciones que hemos sacado: La experiencia de pago debe ser perfecta Cuando estás pagando por un producto o servicio, lo último que esperas es que el pago no funcione o se caiga. Lamentablemente, el cliente no tiene ninguna forma de manejar ni prevenir esto, generando frustración y muchas veces el abandono de la compra. Usar pasarelas de pago que funcionen bien y sean lo más fluidas posibles es clave en el triunfo de un e-commerce , incluso después de superada la pandemia. Desde el pago hasta el despacho, la información es importante ¿Cuántas veces te has pasado un día esperando un despacho, sin saber a qué hora va a llegar? Es la realidad de muchos clientes que consumen online. Con la pandemia, quedó claro que mientras más información, mejor valora el cliente al comercio. Esto puede ir desde transparencia en el pago (saber cómo se va a ver la compra reflejada en la tarjeta de crédito, por ejemplo) a transparencia en el despacho (tener un número de tracking para poder organizarse y estar en casa cuando llegue el producto). Seguridad 24/7 Día a día, nos vemos expuestos a potenciales estafas, desde mensajes falsos por Whatsapp, hasta phishing u otras técnicas por correo electrónico. En estos meses de pandemia aprendimos que la seguridad al comprar online es una prioridad. En Kushki contamos con la certificación PCI DSS level 1, la más alta de la industria para proteger contra el fraude. Suena obvio, pero estudios han demostrado que no todas las plataformas de pago cuentan con los estándares de seguridad requeridos. Las filtraciones de datos cuestan a las empresas millones de dólares cada año y en 2019 llegó a US $3,9 millones, según Data Intelligence. El objetivo: repetir la compra Después de una compra exitosa, el siguiente paso es lograr que el cliente se vuelva frecuente y repita la experiencia. Y si le damos diferentes facilidades, mejor. Según estudios de Mastercard y su New Payments Index, un 86% de los consumidores de América Latina espera poder comprar lo que quiere, cuando quiere y cómo quiere. Poder suscribir tarjetas de débito y crédito es clave en ese objetivo, pues hace que el proceso sea más fácil y que el cliente repita todas las veces que quiera. Kushki ofrece suscripciones y pagos recurrentes dentro de sus servicios, con los que muchas grandes empresas a lo largo de la región han podido automatizar sus pagos y mantener a sus clientes felices. Estas son solo algunas de las evidencias que ha traído la pandemia, pero son condiciones mínimas para que el e-commerce siga triunfando y creciendo de ahora en adelante.
Avatar img
Magdalena Ovalle
Líder de Comunicaciones Internas @ Kushki
agosto 09, 2021

Implementando Seguridad con AWS Config y AWS Systems Manager

Desde que estamos en pandemia, muchas empresas han cambiado totalmente su forma de pensar, optando por utilizar la tecnología como base para sus negocios, y al entender que no necesitan recursos físicos para crear o mejorar sus procesos, deciden implementar o migrar su infraestructura a la nube. Sin embargo, por ser un tema relativamente nuevo para algunos comercios, estos pueden cometer ciertos errores al momento de configurar sus sistemas y volverse vulnerables. Por esto, es fundamental que las empresas posean conocimientos de cómo asegurar sus sistemas implementados en la nube. Existen varias empresas que proveen servicios en la nube como AWS, Microsoft Azure, Google Cloud, etc. Estas te brindan facilidades para que puedas crear tu infraestructura y reducir los costos de esta implementación. Al realizar este proceso tienes que ser consiente de la seguridad, ya que estas empresas solo te ofrecen servicios para implementarla en los sistemas informáticos y esto queda de nuestro lado. En Kushki utilizamos AWS, por lo que te hablaré sobre dos de los tantos servicios de seguridad que nos ofrecen: AWS Config y AWS Systems Manager. AWS Config Este servicio permite realizar auditoría y evaluación de todas las configuraciones de nuestros recursos en AWS. Además, permite visualizar cuándo se hacen o se hicieron cambios de cualquier componente en el “resource timeline” que es una característica utilizada para acceder al histórico desde la creación del componente hasta la fecha. Por otro lado, AWS Config nos provee una funcionalidad de revisión de la configuración en base a reglas. Estas son las AWS Config Rules, las cuales nos permiten generar la revisión de cumplimiento de un recurso y generar una acción con los resultados. AWS Systems Manager Es un servicio de AWS que centraliza la gestión de varios procesos para evaluar y resolver diferentes problemas operativos para todos tus recursos y aplicaciones dentro de la nube. Con este servicio se pueden mitigar errores de seguridad automáticamente en diferentes recursos como los EC2. En este caso vamos a utilizar una herramienta de AWS Systems Manager llamada AWS Systems Manager Documents, que nos servirá para realizar un proceso o acción automática al momento de mitigar un incumplimiento que detecte AWS Config. A continuación te enseñaré a configurar tus sistemas, para mantenerlos seguros en la nube. En primer lugar, se debe realizar la configuración de AWS Config para poder obtener los eventos de cambios de los security groups de EC2. Para realizar la configuración inicial puedes seguir esta guía de aws en donde podrás escuchar los cambios de los recursos que tu negocio necesita. Vamos a empezar configurando una regla en AWS Config. Para los security groups vamos a utilizar una regla pre-establecida que evalúa si un grupo de seguridad tiene habilitado las reglas de entrada al puerto 22 (ssh) desde internet. Esta regla se llama restricted-ssh. Creamos una nueva regla y seleccionamos las reglas manejadas por AWS en donde vamos a buscar nuestra regla restricted-ssh: Dejamos la configuración por defecto validando que estén seleccionados los grupos de seguridad de EC2 en los recursos de AWS y en el siguiente paso damos clic en agregar regla: Una vez creada la regla, asignamos una remediación manual (esta puede ser automática o manual), utilizando un documento para ejecutar la mitigación de restricted-ssh, estos documentos pueden ser customizados o puedes utilizar uno por defecto de AWS. Para esta vulnerabilidad de ssh vamos a utilizar el documento llamado AWS-DisableIncomingSSHOnPort22 el cual automáticamente deshabilita las reglas de entrada en los grupos de seguridad por el puerto 22. En este caso necesitaremos crear un grupo de seguridad habilitando una regla de entrada en el puerto 22 que es el puerto para ssh. Para realizar este paso, elegimos nuestra regla en AWS Config, damos clic en “Actions” y luego en “Manage remediation”, elegimos remediación manual, ya que queremos realizar la mitigación por nuestra cuenta para demostrar un recurso que no cumple y luego ver el cambio. En las acciones de remediación seleccionamos el nombre del documento de Systems Manager Para este caso en específico, existe un campo de parámetros que son requeridos los cuales se solicitan dependiendo de la remediación, por lo que vamos a agregar un valor obligatorio que es el o los grupos de seguridad a los cuales vamos a poder realizar dicha remediación. Hasta aquí ya tenemos todo listo, ahora veremos cómo funciona la remediación que configuramos para los grupos de seguridad. Vamos a nuestra regla en AWS Config y veremos que existe un recurso que no cumple con la regla: Simplemente seleccionamos el recurso y damos clic en la opción “Remediate”. El estatus va a cambiar a "remediación encolada". Después de unos minutos podemos ver que la remediación se ha ejecutado con éxito y podemos validar en las reglas de nuestro grupo de seguridad que, en efecto, se haya eliminado la regla de entrada del puerto 22. Conclusión Al utilizar AWS Config podemos realizar mitigaciones de vulnerabilidades de nuestros recursos en la nube. Aquí pudimos observar un ejemplo básico de cómo realizar la remediación automática por parte de AWS Systems Manager de forma manual, ya que nosotros elegimos a qué recurso aplicar la remediación. Con AWS Config también puedes generar tus propias reglas, lo cual depende los requisitos de seguridad del negocio, junto con funciones Lambda para así poder validar cualquier cambio realizado en tus recursos y crear tus propios documentos en AWS Systems Manager para realizar la remediación a tu medida.
Avatar img
David Morán
DevSecOps Specialist @Kushki
agosto 03, 2021

Cultura de aprendizaje, un factor clave en el éxito de toda organización

Generar una cultura de aprendizaje dentro de una empresa es una estrategia que conlleva muchos retos para que el cumplimiento de esta no sea percibida como una obligación sino una motivación. Muchas empresas estamos pensando si es conveniente la formación del talento en casa o delegarle la responsabilidad al colaborador y un miedo común que se suele escuchar cuando se conversa con empresarios sobre este tema es: ¿Y si lo formamos y nuestro colaborador renuncia? Ante esta pregunta la respuesta es simple, si no das a un colaborador las herramientas necesarias para crecer esta persona las buscará y te dejará, sabemos que la competencia por talento en tecnología es arrasadora y no podemos quedarnos atrás por un miedo a perder el talento, en cambio podemos verlo desde una perspectiva en la que brindamos las herramientas y beneficios que harán que sientan el compromiso de la empresa con su actualización profesional y su bienestar como persona. Pero ¿Qué ventajas podemos tener si decidimos capacitar nuestro equipo? : Retención de talento Sabemos que todas las empresas tenemos personas que sobresalen por su agilidad para realizar sus tareas a tiempo y con calidad, estas personas son probablemente percibidas como líderes informales dentro de la organización y referentes técnicamente o por su liderazgo para un grupo de trabajo, perderlos es difícil y ningún empleador quisiera estar en esta posición entonces ¿qué hacemos? Dar visibilidad de crecimiento, premiar su esfuerzo por la empresa con certificaciones y darle acceso a recursos personalizados pueden ser un factor de cambio para que no abandonen una empresa. Procesos de crecimiento ligados a capacitación Los esfuerzo que se emprendan para desarrollar un plan de capacitación deben ser vistos como beneficio para crecer en un career path o mejorar desempeño dentro de la empresa, si nuestra estrategia va de lado de completar únicamente cursos con altas horas dedicadas posterior al trabajo del día a día sin poner en práctica lo aprendido o sin empatar las necesidades para cada puesto, probablemente será una reacción de emoción por los colaboradores a corto plazo, por eso el involucrar los líderes desde el día 1 en una ruta de aprendizaje es clave para comprender sus necesidades como departamento y brindar un acompañamiento personalizado, los colaboradores deben sentir que cada avance en su path está mejorando sus indicadores profesionales y le trae crecimiento y mejores resultados. Sentimiento de pertenencia Nuestros colaboradores percibirán que más allá de los resultados esperados para su trabajo, la empresa está interesada en su crecimiento profesional con planes a largo plazo y comprometidos con brindar todos los recursos necesarios para que sea un o una mejor profesional cada día. Mejora en indicadores de desempeño A medida que desarrollamos estrategias de aprendizaje dentro de una empresa los indicadores de desempeño se ven reflejados, por esto, seleccionar el contenido ideal para cada perfil es clave, por medio de educación podemos lograr una adaptación al rol en menor tiempo, evitar colaboradores frustrados, disminuir la curva de aprendizaje, etc. ¿Y en nuestra empresa cómo lo estamos logrando? En Kushki lo entendimos, sabemos que si queremos trabajar con los mejores implica apostar por ellos y ser parte de su crecimiento, por esto, el Departamento de Capacitación ha elaborado varias estrategias que comenzarán a brindar oportunidades de actualización profesional con herramientas en línea, compartir conocimiento entre equipos y certificar a cada colaborador que tenga interés en crecer y su desempeño sea alto. En un primer nivel hemos iniciado por el corazón de nuestra empresa y el más sensible de cara a nuestros clientes, el departamento de Ingeniería de Producto en el que tenemos 9 subdepartamentos que son dedicados en Infraestructura, UX/UI, Ingeniería, Quality Assurance, Análisis de Negocio, Agile Release, Performance, Soporte de Producto y Arquitectura. A medida que nos expandimos y aumentamos la calidad en nuestro producto sabemos la necesidad de que nuestro equipo esté entrenado con las últimas tendencias tecnológicas en metodologías, plataformas y habilidades blandas para brindar lo mejor de nosotros a nuestros clientes con una satisfacción de calidad en cada entrega. Estamos muy felices de compartir que el Jueves 15 de Julio hicimos el lanzamiento de una alianza con Udemy for Business que permitirá a nuestros colaboradores de Ingeniería de Producto un acceso a una plataforma con +4,000 cursos en idioma inglés y español con aprendizaje por medio de rutas de estudio guiadas desde el Departamento de Capacitación en las cuales contemplamos cursos de la misma plataforma, recursos gratuitos y material que generamos internamente como conocimiento de nuestros equipos. Además, complementario a esta oportunidad elaboramos un plan de certificación para cada una de las áreas de Ingeniería de Producto puedan certificar a +45 colaboradores durante estos 3 siguientes meses en AWS, ISTQB, CBAP y Design Thinking. En Kushki nos interesa contar con tu talento, constantemente estamos en búsqueda de personal para nuestros equipos de producto, por eso, te invitamos a pasar a nuestra sección kushki/jobs en Linkedin.
Avatar img
Crisly González
Gerente de Entrenamiento @Kushki
julio 27, 2021

Need support?
Send us a message here.

Kushki logo

© 2018-2024

Llapingacho LLC.

Solutions

PayIns

API

JS Library

Payment Button

Plugins

Kajita

Smartlink

In-person Payments

Industries

Retail

Education

PSP

Gaming & Gambling

PayOuts

Acquiring

Company

About Kushki

Security

Work with us

Awards & Certifications

Kushki operadora S.A

Corporate Governance

Resources

Docs

Knowledge Base

API References

Service Status

Support

GitHub

Blog Kushki Hub

facebookinstagramtwitterlinkedin
aws partnericontechpci dss compliance

Legal Information

Terms and Conditions

Security Policy