Seguridad de pago de comercio electrónico: 10 mejores prácticas de pequeñas empresas

La seguridad de pago de comercio electrónico significa que los formularios de pago de pedidos que recopilan datos de clientes se alojan de forma segura, ya sea alojados en los servidores de su tienda o alojados por su proveedor de pago. Los datos deben cifrarse correctamente durante la transmisión y cualquier información de pago almacenada debe estar protegida.

El auge de las compras en línea, junto con el aumento general de la actividad fraudulenta, ha hecho que la seguridad de los pagos en el comercio electrónico sea vital. Siga las 10 mejores prácticas que se enumeran a continuación para mantener su sitio y sus clientes seguros.

1. Utilice un procesador de pagos todo en uno

Los todo-en-uno integran un pago alojado seguro y una cuenta de comerciante en un solo servicio. Son las opciones más populares para los pequeños vendedores en línea debido a su facilidad de configuración, precios sencillos, múltiples servicios, opciones de venta y, por supuesto, seguridad. La mayoría de los procesadores de pago todo en uno ofrecen integraciones rápidas con un solo clic con las principales plataformas de comercio electrónico, por lo que, para la mayoría, la configuración lleva solo unos minutos.

Aquí hay tres nombres principales en soluciones seguras de procesamiento de pagos todo en uno:

Todo en uno Precios de comercio electrónico Características notables
Visita Plaza 2,9% + 30 céntimos por transacción; sin cuotas mensuales Le brinda una tienda en línea gratuita, un conjunto completo de herramientas de administración comercial y un sistema de punto de venta (POS) líder en la industria.
Visita PayPal 2,59% + 49 céntimos por transacción; $0$30/mes Le permite procesar pagos de PayPal junto con todas las principales tarjetas de crédito. Se puede utilizar con cualquier sitio web. Algunos planes son autohospedados.
Visita la raya 2,9% + 30 céntimos por transacción; sin cuotas mensuales Integraciones de 1 clic con más de 50 carros de compras en línea principales, además ofrece personalización de pago.

2. Pruebe los servicios de pago de la plataforma de comercio electrónico

Muchas de las principales plataformas de comercio electrónico ofrecen su propio servicio de procesamiento de pagos, lo que brinda una sólida seguridad en los pagos de comercio electrónico. Lanzar una tienda en línea con un pago alojado seguro es más fácil que nunca con una plataforma de comercio electrónico. Además, igualan o superan los precios de algunos de los mejores todo-en-uno y son muy fáciles de configurar.

Aquí hay dos plataformas principales de tiendas en línea que ofrecen su propio procesamiento de pago seguro:

Pasarela de pago Precios Características notables
Visita Shopify Del 2,4% al 2,9% + 30 céntimos por transacción, según plan Integrado en cualquier plan de Shopify; solo toma unos segundos habilitar y comenzar a aceptar pagos con tarjeta de crédito a través del sistema seguro de Shopify; incluye un certificado SSL para todo el sitio; plataforma de comercio electrónico mejor valorada.
Visita BigCommerce Del 2,05% al ​​2,59% + 49 céntimos por transacción, según plan BigCommerce se asocia con PayPal y Fast para pagos con tarjeta de crédito activados con un solo clic; incluye certificado SSL para todo el sitio.

3. Considere una puerta de enlace tradicional con integraciones seguras

A diferencia de los pagos de plataforma de comercio electrónico y todo en uno, las pasarelas de pago tradicionales le permiten usar su propia cuenta de comerciante para el procesamiento de pagos. Esta puede ser una solución de menor costo que esas otras opciones, pero requiere más trabajo para configurar. Al seguir esta ruta, también debe asegurarse de que sea una solución verdaderamente segura.

Nota: La mayoría de las pasarelas de pago tradicionales que ofrecen un pago alojado seguro también admiten pagos alojados por cuenta propia. Depende de usted asegurarse de que la combinación de puerta de enlace/plataforma de comercio electrónico/cuenta de comerciante funcione dentro de un pago alojado seguro. De lo contrario, volverá al punto de partida y tendrá que garantizar los pagos de comercio electrónico y la seguridad usted mismo.

Algunos de los principales proveedores facilitan las integraciones de puertas de enlace seguras, entre ellos:

Pasarela de pago Precios Características notables
Visite Payflow Link por PayPal Las tarifas de su proveedor comercial + 10 centavos por transacción, configuración de $0, $0/mes. Le permite usar su propia cuenta de comerciante a sus tarifas competitivas de procesamiento de pagos, además acepta pagos de PayPal a la tarifa estándar de 2.59% + 49 centavos por transacción.
Visite Authorize.net Las tarifas de su proveedor comercial + 10 centavos por transacción, configuración de $0, $25/mes. Le permite usar su propia cuenta de comerciante a sus competitivas tarifas de procesamiento de pagos.

Vea más soluciones seguras en nuestra guía de las mejores pasarelas de pago.

4. Utilice un servicio de pago seguro

El tipo de pago que utiliza es un factor en la seguridad de los datos de pago y su nivel de responsabilidad por ello. La mayoría de las cajas autohospedadas se integran con una gran cantidad de pasarelas de pago y, a través de ellas, proveedores de servicios comerciales. Siguiendo esta ruta, los vendedores de gran volumen pueden comparar muchos procesadores de pagos para encontrar las tasas de procesamiento de tarjetas de crédito más bajas. Pero, de nuevo, muchos de estos proveedores dejan la seguridad del pago al vendedor.

Echemos un vistazo más de cerca a los dos tipos de pagos en línea.

  • Pago autohospedado
  • Pago alojado

Un pago autohospedado recopila y transmite datos de pago de los clientes en los servidores de su tienda. Esto pone el riesgo de seguridad sobre usted y lo hace responsable de administrar sistemas seguros de conexión, transmisión y almacenamiento de datos. Incluso si usa una plataforma de comercio electrónico superior, puede ser responsable de manejar la seguridad. No todas las plataformas de comercio electrónico garantizan pagos seguros con todos los procesadores de pago.

Con un pago alojado, los datos de pago confidenciales se ingresan directamente en el sistema de su proveedor de pago seguro a través de un SSL seguro y encriptado. En pocas palabras, los datos confidenciales nunca tocan los servidores de sus tiendas. En algunos casos, su plataforma de comercio electrónico garantiza esto; en otros, su proveedor de pagos lo hace posible. Los pagos alojados brindan muchas opciones con preocupaciones mínimas de seguridad. Consulte nuestras cuentas comerciales recomendadas para encontrar una solución adecuada para su negocio.

¿Cuál debería elegir?

Para muchos pequeños vendedores en línea, un pago alojado ofrece todo lo necesario para procesar pagos en un paquete ordenado y seguro. Pero para otros, entran en juego factores como la personalización del pago y los costos más bajos de procesamiento de tarjetas de crédito. En estos casos, la flexibilidad que ofrecen los pagos autohospedados puede valer las consideraciones de seguridad adicionales.

Pago autohospedado Pago alojado
Su responsabilidad de seguridad Alto Mínimo
Opciones de personalización de caja Muy personalizable Limitado o requiere habilidades de desarrollador
Costos de procesamiento de pagos Tiende a ser más bajo Tienden a ser más altos
Opciones de servicios comerciales Mas opciones menos opciones

5. Proteja la información de la tarjeta de crédito de sus clientes

Los comerciantes tienen la obligación de proteger la información de la tarjeta de crédito de los clientes una vez que se utiliza para completar una transacción. Más aún al aceptar pagos de clientes en línea. La Comisión Federal de Comercio registró un aumento del 70 % en los fraudes con tarjetas de crédito denunciados en 2021, y las compras en línea representaron $392 millones del total de $5800 millones en ventas fraudulentas.

Asegúrese de buscar las siguientes características de seguridad de su proveedor de servicios de pago:

Tokenización

La tokenización de la tarjeta de crédito convierte los datos de la tarjeta de crédito de sus clientes en un token o cadena de números generados aleatoriamente. Un procesador de pagos ideal tendría esta medida implementada desde la página de pago. Esto hace posible comunicar la información de manera segura a través de las pasarelas de pago y almacenar la información de los titulares de tarjetas mientras se cumplen los estándares PCI.


Autenticación 3D Secure (3DS)

3D Secure agrega un paso de autenticación a su proceso de pago. Por lo general, esto implica redirigir a su cliente a la página de autenticación de su banco, donde debe ingresar un código o una contraseña que se le envía por correo electrónico o SMS. Este método está destinado a garantizar que solo el verdadero titular de la tarjeta pueda completar una transacción.

Tanto Visa como MasterCard contribuyen activamente a crear y desarrollar un 3DS más avanzado que tiene como objetivo mejorar tanto la seguridad como la experiencia del usuario durante el pago.


Sistema de verificación de direcciones (AVS)

AVS se asegura de que la dirección de facturación que ingresa el cliente coincida con la que el banco emisor de la tarjeta tiene en sus registros. Esto mitiga el uso no autorizado de las tarjetas de crédito de los clientes. La mayoría de las pasarelas de pago y algunas plataformas de comercio electrónico tienen configuraciones para requerir ciertos códigos de verificación de dirección para aceptar la transacción. Si está vendiendo en línea, este es un paso crucial para prevenir el fraude y las devoluciones de cargo que pueden generar las transacciones fraudulentas.

Las reglas de prevención de fraude de Stripes le permiten bloquear transacciones según el código postal.
(Fuente: Raya)


Códigos de seguridad de tarjetas de crédito

Los códigos de seguridad de la tarjeta de crédito, a veces llamados Código de verificación de tarjeta (CVC), son un código de tres a cuatro dígitos que se encuentra en una tarjeta de crédito, generalmente en la parte posterior (el CID de American Express está en el frente). Los nombres de estos códigos de seguridad varían según la marca de la tarjeta de crédito.

Marca de carro Nombre Descripción
Visa Valor de verificación de tarjeta (CVV/CVV2) 3 dígitos (dorso de la tarjeta)
Tarjeta MasterCard Valor de verificación de tarjeta (CVV/CVV2) 3 dígitos (dorso de la tarjeta)
Descubrir Número de identificación de la tarjeta (CID) 4 dígitos (anverso de la tarjeta)
American Express Número de identificación de la tarjeta (CID) 4 dígitos (anverso de la tarjeta)

Estos códigos se utilizan para ayudar a verificar la información de la tarjeta de crédito ingresada manualmente para transacciones tanto en persona como en línea, como cuando se aceptan pagos con tarjeta en la caja registradora, en una terminal virtual o cuando los clientes ingresan los datos de su tarjeta en su sitio web.


Hágales saber a sus clientes que están protegidos.

El diecisiete por ciento de los compradores en línea tienden a abandonar sus carritos en sitios web que no muestran pruebas de pagos seguros. Incluya sellos de seguridad y agregue avisos en la página de pago siempre que sea posible para mejorar la confianza del cliente.

6. Garantice un inicio de sesión seguro en el sitio web para sus clientes

Los piratas informáticos pueden robar la cuenta de sus clientes (y eventualmente la información de su tarjeta de crédito) apuntando a sus credenciales de inicio de sesión. Esto comienza desde el momento en que los clientes van a su sitio web e ingresan sus datos de inicio de sesión. Los piratas informáticos pueden restablecer tanto la información de inicio de sesión como la de verificación, lo que puede dar lugar a transacciones no autorizadas.

Solo en un mes, Microsoft registró alrededor de 1,2 millones de cuentas pirateadas con éxito porque no tenía una seguridad de inicio de sesión simple, como la autenticación multifactor (MFA).

Sin entrar en tantos detalles técnicos, aquí hay formas de proteger la página de inicio de sesión de su sitio web:

Activar MFA

MFA hace que sea más difícil para los piratas informáticos y los ladrones de datos acceder a la información de pago y de su cliente. Estas configuraciones requieren que los clientes inicien sesión con algo más que un nombre de usuario/correo electrónico y una contraseña. Por lo general, los clientes deberán ingresar un código de verificación que se envía a su correo electrónico o número de teléfono, o responder una pregunta de seguridad.

Aunque esto agrega un paso adicional en el proceso de compra y la fricción potencial, se usa ampliamente. Y, a medida que los consumidores se vuelven más conscientes de las amenazas cibernéticas, también están más abiertos a medidas de seguridad adicionales como esta.

Hashing de contraseña

El hashing de contraseñas es un método de autenticación que toma la contraseña de sus clientes a través de un algoritmo hash y la convierte (cifra) en un conjunto único de símbolos que no se pueden revertir. Luego puede almacenarlos de manera segura en lugar del texto sin formato real, y debido a que no tiene un algoritmo de descifrado, hace que sea más difícil de usar para los piratas informáticos.

El algoritmo Hashing convierte una contraseña de texto sin formato en texto hash y luego se puede almacenar de forma segura en su base de datos.
(Fuente: Autor0)

CAPTCHA

La prueba de Turing pública completamente automatizada para diferenciar a las computadoras y los humanos, también conocida como CAPTCHA, es un programa de prueba de desafío y respuesta que ayuda a confirmar que una persona real está tratando de acceder a su sitio web. Para los comerciantes de comercio electrónico, las imágenes distorsionadas están destinadas a evitar que los sistemas automatizados recopilen los correos electrónicos de sus clientes e inicien sesión en sus cuentas.

Verificación de dirección IP

Con un sistema de verificación de direcciones IP, puede comparar la información de facturación de sus clientes con la dirección IP utilizada durante el inicio de sesión y bloquear los intentos de acceder a la cuenta en caso de que haya una discrepancia. Alternativamente, puede configurar su sitio web para bloquear las direcciones IP asociadas con actividades fraudulentas en línea. Esto generalmente se hace accediendo a datos compartibles de terceros que mantienen un registro de ubicaciones de IP conocidas de los estafadores.

Fomente la seguridad de contraseñas sólidas.

Puede mejorar significativamente la seguridad de la cuenta de sus clientes al establecer reglas para crear una contraseña segura y solicitar un reinicio/renovación regular.

7. Mantenga el cumplimiento de PCI

Los estándares de seguridad de pago se rigen por un conjunto de reglas denominadas cumplimiento de PCI. Describen las medidas de seguridad que los vendedores que aceptan pagos con tarjeta de crédito deben cumplir para ayudar a prevenir violaciones de seguridad y robo de datos. Los pagos alojados de los proveedores de pagos seguros cumplen estas reglas por usted. Sin embargo, con las opciones autohospedadas, usted mismo es responsable de mantener los sistemas de datos de pago y pago compatibles con PCI.

Puede obtener más información sobre la seguridad de los pagos y su impacto en su negocio en nuestra guía completa sobre el cumplimiento de PCI.

Si elige una opción autohospedada, su proveedor de servicios comerciales solicitará la documentación de cumplimiento de PCI cada año, en función de su volumen de procesamiento. Si procesa menos de 20 000 pagos con tarjeta de crédito Visa al año, deberá completar un Cuestionario de autoevaluación (SAQ) y realizar un análisis de seguridad del sistema. Los requisitos de generación de informes y escaneo aumentan a medida que aumenta su volumen de procesamiento.

El método de comercio electrónico que utiliza para su pago autohospedado también determina sus requisitos para informar el cumplimiento.
(Fuente: Normas de seguridad PCI)

Estos son algunos consejos para mantener el cumplimiento de PCI para su negocio de comercio electrónico:

Limite el almacenamiento y el acceso a los datos

Los datos son un arma de doble filo cuando se trata de seguridad. Por un lado, cuantos más datos tenga, más información tendrá para tomar decisiones comerciales informadas. Pero por otro lado, cuantos más datos tenga, más tendrá que perder.

Si puede, limite la cantidad de datos que almacena. Tal vez tache ciertos campos o almacene datos de clientes por un período de tiempo más corto. Además, es importante asegurarse de que solo las personas que necesitan acceso a los datos lo tengan. Use herramientas y tecnología que permita cuentas de usuario y permisos.


Manténgase actualizado con los parches de seguridad

El tercer objetivo del cumplimiento de PCI es administrar la vulnerabilidad de la red, que incluye los requisitos 5 y 6 de PCI. Esto menciona la necesidad de garantizar que su software antivirus esté siempre actualizado y que mantenga sistemas y aplicaciones seguros. Si no ejecuta los parches de seguridad y las actualizaciones de sus proveedores dentro del primer mes de su disponibilidad, aumentará significativamente la vulnerabilidad de sus sitios web a las violaciones de datos.


Actualice su software comercial con frecuencia

El software que usa para administrar su negocio a menudo lanza actualizaciones que puede descargar para garantizar que su tecnología se mantenga actualizada. Estas actualizaciones afectan una variedad de cosas, y el hecho de no mantener su tecnología actualizada podría hacerla más susceptible a las filtraciones de datos y otras ciberamenazas. Entonces, cuando se publique una actualización, instálela de manera oportuna.

¿Sabías?

En 2020 y 2021, la actividad fraudulenta aumentó porque muchas empresas y consumidores recurrieron a las compras en línea. Un estudio de Juniper Research estima una pérdida de 20.000 millones de dólares por fraude en 2021.


8. Mantenga informados a sus clientes y empleados

La conciencia del consumidor es un factor clave para mantener su sitio web a salvo de los piratas informáticos, especialmente si su sitio web permite el inicio de sesión de empleados y clientes. Los ataques cibernéticos a menudo tienen como objetivo las vulnerabilidades de los usuarios, por lo que, además de proporcionar una infraestructura de sitio web segura, es imprescindible educar a los usuarios de su sitio web sobre las estrategias de piratería más comunes.

Estrategias de piratería

  • Phishing: donde los piratas informáticos se hacen pasar por sitios web legítimos para intentar extraer información de la tarjeta de crédito de los clientes.
  • Suplantación de identidad: cuando los piratas informáticos envían correos electrónicos ficticios a los clientes y les envían enlaces a sitios web falsos que pueden registrar las pulsaciones de teclas para obtener datos como los datos de inicio de sesión y la información de la tarjeta de crédito.

Qué hacer

  • Asegúrese de que sus clientes estén al tanto de estos ataques maliciosos. Aproveche la oportunidad de publicar recordatorios en su sitio web, boletines y correos electrónicos.
  • Proporcione ejemplos ilustrativos para ayudarlos a identificar de inmediato los correos electrónicos ficticios.
  • Déles instrucciones claras sobre qué hacer si se encuentran con tales.

El PCI Security Standards Council también enfatiza la necesidad de educar a los empleados sobre la seguridad de la información. Aquellos que tienen acceso a los datos del titular de la tarjeta también son susceptibles de suplantación de identidad, lo que puede dar acceso a los piratas informáticos a sus credenciales de inicio de sesión.

9. Utilice siempre HTTPS y SSL

Secure Sockets Layer (SSL) cifra los datos que se comunican en su sitio web. Agregar un SSL transforma la dirección del Protocolo de transferencia de hipertexto (HTTP) de su sitio web en un Protocolo seguro de transferencia de hipertexto (HTTPS), que encripta los datos de los titulares de tarjetas durante las transacciones de pago en línea. Esto dificulta que los piratas informáticos obtengan información confidencial, como nombres, direcciones, códigos postales y números de tarjetas de crédito.

Más personas se están dando cuenta de esto y evitan por completo los sitios web que no tienen HTTPS en la barra de direcciones. Los motores de búsqueda como Google también favorecen las páginas HTTPS y, al mismo tiempo, señalan a los usuarios de sitios web que solo usan HTTP.

Los clientes pueden saber si su sitio es seguro SSL o no en función de cómo aparece la URL en su navegador.

10. Marcar actividad sospechosa

Con el tiempo, recopilará más datos sobre la seguridad del comercio electrónico. Podrá descubrir tendencias, por ejemplo, ¿hay tendencias relacionadas con las devoluciones de cargo? ¿Cómo puedes abordar esas tendencias? ¿Tiene muchos pedidos con diferentes tarjetas de crédito desde una sola dirección IP? Es posible que deba bloquear esa IP. ¿Recibió un pedido inusualmente grande? Tal vez comunicarse con el cliente para confirmar o solicitar un método de pago diferente.

Línea de fondo

La seguridad en los pagos de comercio electrónico juega un papel clave en la relación de confianza entre su empresa y los clientes. Afortunadamente, la tecnología de procesamiento de pagos seguros mejora constantemente. Muchas soluciones de tiendas en línea brindan pagos alojados seguros que lo protegen a usted y a sus clientes. Los procesadores de pago todo en uno, los servicios de plataforma de pago y las puertas de enlace tradicionales ofrecen opciones de pago seguras para el pequeño vendedor en línea.

¿Qué es la seguridad de pago en el comercio electrónico?

La seguridad de pago de comercio electrónico significa que los formularios de pago de pedidos que recopilan datos de clientes se alojan de forma segura, ya sea alojados en los servidores de su tienda o alojados por su proveedor de pago. Los datos deben cifrarse correctamente durante la transmisión y cualquier información de pago almacenada debe estar protegida.

¿Cómo hago pagos seguros?

10 mejores prácticas para el procesamiento seguro de pagos en línea

  1. Haga coincidir la IP y la información de la dirección de facturación.
  2. Cifrar datos.
  3. Utilice la tokenización de pago.
  4. Requerir contraseñas seguras.
  5. Implementar 3D Secure.
  6. Solicita el CVV.
  7. Utilice la autenticación fuerte de clientes (SCA)
  8. Supervise el fraude continuamente.

¿Cómo sé si mi pago es seguro?

¿Cómo puedo saber si mi transacción en línea es segura?

  1. Utilice una conexión segura. Asegúrese de que tanto la conexión Wi-Fi como la URL del sitio web que está utilizando sean seguras.
  2. Utilice un sitio web de confianza.
  3. Lea la Declaración de privacidad.
  4. Opta por crédito sobre débito.
  5. Mantenga un ojo en sus cuentas.

¿Qué es la seguridad de la pasarela de pago?

El cifrado de datos es el método principal que utilizan las pasarelas de pago para proteger los datos confidenciales de las transacciones. Cuando ingrese los detalles de su tarjeta en la caja, la pasarela de pago encriptará los datos. El cifrado convierte los datos en otra forma o código para que solo las personas que tienen acceso a una clave secreta.

Ir arriba