Avisos
Vaciar todo

Conseguir certificado PCI-DSS Compliance en Wordpress  

 
Uriel
 Uriel
Usuario activo

Buenas tardes,

Estamos tratando de integrar productos de tipo suscripción en nuestra tienda online de WooCommerce, y necesitamos recibir una serie de datos del banco a través de RedSys.

Desde nuestro banco nos indican lo siguiente:

"Quien envía los datos de la tarjeta no es el banco sino la plataforma de TPV virtual de Redsys.
En este caso, tenemos parametrizado que la tarjeta se envíe asteriscada ya que por temas de seguridad, no podemos enviar el número de tarjeta en claro.
Paro poder enviar la tarjeta completa, necesitamos que el comercio certifique que es PCI-DSS compliance, sino, no lo podemos hacer"

No sabemos cómo conseguir ese certificado PCI-DSS Compliance ¿Podéis ayudarnos desde el foro de WebEmpresa? ¡Gracias!

Contenido solo visible a usuarios registrados

Citar
Respondido : 17/05/2024 3:20 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Uriel.

La Auditoría de Cumplimiento on-site es imprescindible para Comercios de Nivel 1 (más de 6.000.000 de transacciones) y Proveedores de Servicio de Nivel 1 (más de 300.000 transacciones) y debe ser desarrollada por una empresa homologada, mientras no se cumpla eso no hace falta.

En este enlace tienes documentación:

-> https://stripe.com/es/guides/pci-compliance

 En la normativa se refiere a medidas de seguridad que implementan los administradores de la web, entre otras cosas el uso de HTTPS que ya lo cumples y la seguridad de contraseñas que puedes implementar con pasarelas como puede ser Stripe o si vas a utilizar Redsys, cuando haces una transacción con Redsys el pago se realiza desde su propia plataforma con lo que ese apartado también lo tienes resuelto.

Otra cosa es que quieras tener una auditoría pero que no te hace falta. 

 

En principio para realzar suscripciones en WooCommerce no necesitas todo eso, es mucho más sencillo, solo necesitas un par de plugins.

Revisa esta documentación del blog:

-> WooCommerce subscriptions, ¿qué es y cómo usarlo?

 

Un saludo

ResponderCitar
Respondido : 17/05/2024 3:47 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Uriel
 Uriel
Usuario activo

¡Gracias por tu ayuda @pepesoler!

Tenemos los siguientes plugins, y ya configurados:
- WooCommerce
- RedSys Gateway (de José Conti)
- YITH WooCommerce Subscription

Toda esa parte está funcionando correctamente para pagos simples.

El problema está cuando realizamos un pago de suscripción.
El plugin de YITH nos pide que el banco/RedSys envíe los siguientes campos:

  • Ds_Card_Brand
  • Ds_ExpiryDate
  • Ds_Card_Number

Envía bien y completos los dos primeros, pero Ds_Card_Number lo envía con asteriscos en parte de la numeración.
Y, claro, sin la tarjeta completa no se puede cobrar la suscripción.

Estamos en comunicación con el banco (que es de Andorra, donde tenemos la empresa registrada) y RedSys, y cada uno nos envía con el contrario.
Es el banco el que nos dice que para enviar los datos de la tarjeta sin asteriscos debemos tener ese certificado PCI-DSS Compliance.
¿Qué podemos decir al banco para que no nos pidan ese certificado entonces?

Desde luego que no cumplimos con las condiciones del Nivel 1, seríamos de Nivel 4:

Este es su nivel de cumplimiento si su empresa procesa menos de 20.000 transacciones de comercio electrónico con Visa o Mastercard al año o un total de hasta 1 millón de transacciones anuales con tarjeta de crédito Visa o Mastercard a través de todos los canales. Deberá:

- Completar un cuestionario de autoevaluación (SAQ) cada año
- Obtener un escaneado trimestral de la red por parte de un proveedor de escaneado autorizado (ASV).
- Cumplimentar un formulario de declaración de conformidad.

Gracias de nuevo por tu respuesta Pepe, tu conocimiento resulta de gran ayuda.

ResponderCitar
Respondido : 17/05/2024 5:26 pm
Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Uriel,

En este caso si ninguna de las partes pone de su parte para ayudarte a resolver el problema, has planteado cambiar el plugin? puedes darle un vistazo a este, por ejemplo:

https://www.webempresa.com/blog/woocommerce-subscriptions-que-es-y-como-usarlo.html

Funciona con la base del WooCommerce, ya que es desarrollado por ellos mismos, quizás te sea mejor darle un vistazo.

Un saludo 🖐️ 

ResponderCitar
Respondido : 17/05/2024 6:04 pm