Cumplimiento PCI en Salesforce

    

Cumplimiento PCI en Salesforce

Existen varias regulaciones de datos basadas en estándares de la industria y regulaciones gubernamentales. Estos se han creado para mitigar el riesgo de acceso no autorizado a datos corporativos, personales o gubernamentales. Algunas de las regulaciones que puede encontrar con más frecuencia en estos días al diseñar una solución de Salesforce incluyen las siguientes:

  • General Data Protection Regulation (GDPR)
  • Health Insurance Portability and Accountability Act (HIPAA)
  • Fair and Accurate Credit Transactions Act of 2003 (FACTA)
  • Act on the Protection of Personal Information (APPI)
  • Gramm-Leach-Bliley (GLB)
  • Payment Card Industry Data Security Standard (PCI DSS)

El incumplimiento de estas regulaciones puede resultar en fuertes multas y daños públicos a la reputación de la empresa, además de responsabilidad civil y penal. 






Regulación Payment Card Industry Data Security Standard (PCI DSS, tambien conocido como PCI compliance)

Es un estándar de seguridad de la información que se aplica a todas las empresas involucradas en actividades relacionadas con la información de tarjetas de crédito, como aceptar, procesar, almacenar o transmitir información de tarjetas de crédito de proveedores de tarjetas de crédito. Salesforce Billing se convirtió en compatible con PCI Nivel 1 en 2012 y ha mantenido su cumplimiento todos los años desde entonces.

Para cumplir con PCI no se debe almacenar nunca información de tarjeta de crédito en Salesforce en todas las etapas de las etapas de cobro del método de pago (antes, durante o después). La información de la tarjeta de pago solo debe transmitirse a los procesadores de pago a través de un token y nunca debe almacenarse en Salesforce. Cada uno de estos tokens es único por cliente, tarjeta de pago, comerciante y procesador de pagos. Una vez que se ha enviado el token, el procesador de pagos puede vincularlo al número de cuenta personal real almacenado.




Usando tokens, Salesforce puede almacenar una representación de la tarjeta de pago del cliente sin almacenar los detalles reales de la tarjeta en sí. Si el token cae en las manos equivocadas, es inútil porque solo funciona cuando está siendo utilizado por el comerciante original y el procesador de pagos.

La información que se puede almacenar en Salesforce mientras se mantiene el cumplimiento de PCI incluye datos como los siguientes:
  • Nombre en la tarjeta
  • Últimos cuatro dígitos del número de la tarjeta de crédito
  • Tipo de tarjeta
  • token
  • Mes y año de vencimiento

Para los pagos en línea, en general, hay dos formas principales de integrar Salesforce con una pasarela de pago: se puede crear una página de pago alojada en su propio sitio web (por ejemplo, comunidades de Salesforce) o utilizar una página de pago que se proporciona y alojado en la pasarela de pago.

En términos del enfoque de pago alojado externamente, su página de pago está alojada en un sitio web diferente proporcionado por el proveedor de pago. Cuando el cliente hace clic en el botón de pago en su sitio web, se le redirige a la página de pago, que está alojada en un nombre de dominio diferente. La información del pedido y el monto total del carrito normalmente se mostrarán en la página de pago. El cliente ingresará los detalles de su tarjeta en esta página y luego presionará el botón de enviar. Tenga en cuenta que los detalles de la tarjeta se ingresan solo en el sitio web de pago externo; sus páginas y formularios nunca se utilizan para capturar tales detalles. Una vez que el pago es exitoso, el cliente es redirigido a una página de destino en su sitio web. También se enviará un código de confirmación / transacción a su sitio web.

El enfoque de pago hosteado tiene las siguientes ventajas:
  • Seguridad mejorada: cada parte adicional involucrada en una transacción de pago aumenta los riesgos asociados con las violaciones de datos. Debe intentar tener la menor cantidad posible de transferencias de datos. Además, dado que el proveedor / procesador de pagos recopila los detalles del pago, su sitio web no se considera parte de la transacción, por lo que el nivel de seguridad general de este enfoque es alto.
  • Menos responsabilidad: reduce su responsabilidad como comerciante porque no está recopilando información confidencial. Todo eso lo hace el proveedor de pagos.
  • Tranquilidad para el cliente: los clientes pueden encontrar más seguro proporcionar sus detalles de pago a un sitio web / dominio en el que ya confían, como PayPal. Esto es particularmente cierto para los comerciantes más pequeños o para las marcas más nuevas.
  • Flexibilidad en los métodos de pago: normalmente, las páginas de pago alojadas brindan al usuario la opción de elegir entre varios métodos de pago. Esta página continuará actualizándose a medida que el proveedor de pagos incluya cada vez más métodos de pago. No necesita preocuparse por eso ni cambiar nada en su código.
  • Configuración simplificada: este método es el más fácil de configurar y mantener.
  • Personalización limitada: aunque la página de pago está alojada en otro sitio web, muchos de los proveedores de pago permiten un nivel limitado de personalizaciones, como establecer un logotipo, encabezado y pie de página, y una combinación de colores.

    Con respecto al enfoque de pago onsite, el cliente proporciona sus detalles de pago en una página alojada en su propio sitio web (por ejemplo, comunidades de Salesforce). Se tiene control total sobre la apariencia de esta página, pero también es responsable de la implementación de todas las funciones, validaciones y medidas de seguridad requeridas. El método de pago OnSite tiene las siguientes ventajas:
    • Totalmente transparente: esta es probablemente la ventaja más importante de este enfoque. El cliente no se redirige a ninguna parte; todo el proceso de pago se siente como parte del journey y la experiencia que le está brindando a su cliente.
    • Compras con un clic: esto es similar a lo que hacen los principales comerciantes como Amazon. Está recopilando los datos de pago del cliente para poder adjuntarlos a su cuenta. Esto abre la puerta a la introducción de la funcionalidad de un click.
    • Personalización: puede realizar la página de cobro de pagos de la forma que desee. Se puede diseñar completamente para que se adapte a la apariencia de su sitio web. Esto va más allá del estilo de la interfaz de usuario, ya que puede, por ejemplo, recopilar detalles adicionales como parte del proceso de pago.
    Si acepta pagos a través de una página alojada, es mucho más fácil completar y enviar los formularios necesarios para cumplir con PCI. Esto también simplifica el proceso de mantenimiento. Si no hay una necesidad clara de optar por un enfoque de pago OnSite, siempre es más seguro sugerir un enfoque de página alojada externamente.



    Comentarios

    Publicar un comentario

    Entradas más populares de este blog

    Mejores practicas para migración de datos a Salesforce

    Imagen
    Mejores practicas para migración de datos a Salesforce La migración de datos es una tarea común que los administradores, desarrolladores y arquitectos de Salesforce deben completar. Comprender las mejores prácticas sobre la mejor manera de abordar la migración de datos garantizará que se eviten errores costosos y que la migración de datos sea completa y precisa. Evaluación de datos En cualquier negocio, los datos son clave y crecen rápidamente, lo que resulta en el uso de varias bases de datos y almacenes de datos que se utilizan para almacenar esos datos de forma segura. A veces, los datos están en diferentes formatos y es necesario trabajar en ellos para que tengan el mismo formato para evitar confusiones. Pero antes de entrar en una discusión profunda sobre los datos, primero comprendamos las diferencias entre la migración, conversión e integración de datos: Migración de datos: la migración de datos es el proceso de mover datos de un sistema o aplicación a otro. Este suele ser el re...
    Leer más

    AWS Lambda

    Imagen
      AWS LAMBDA AWS Lambda se presentó por primera vez en 2014, en la conferencia anual AWS re: Invent en Las Vegas. La idea en ese entonces, y que es bastante cierta incluso hoy en día, es que Lambda es un servicio informático simple que ejecuta su código en respuesta a ciertos eventos. Estos eventos pueden ser cualquier cosa, desde una operación de carga de un objeto hasta un depósito de S3, un inserción de registros en una tabla de DynamoDB, o incluso algún tipo de evento desencadenado desde su aplicación movil. La idea aquí es simple: simplemente proporcione su código a AWS Lambda. Lambda se encargará internamente del aprovisionamiento y la gestión de los recursos de infraestructura, asegurándose de que su código se implemente correctamente; incluso cosas como La escalabilidad y alta disponibilidad de su código están a cargo de Lambda.  Lambda fue presentado especialmente por AWS para responder a un problema muy particular con EC2. Aunque EC2 sigue siendo uno de los servicios...
    Leer más

    Modelado de datos en Salesforce

    Imagen
    Modelado de datos en Salesforce Lightning es el futuro, por lo que haremos todo en la versión de interfaz de Lightning Experience de Salesforce. No se preocupe si acaba de crear su organización de developer, esta debería ser la configuración predeterminada. Entonces, sabemos que principalmente usaremos Salesforce como base de datos. El modelado de datos nos ayuda a estructurar nuestros datos utilizando objetos y campos personalizados. Hagamos un resumen, como ya sabemos cuáles son: Objeto: Este se utiliza para almacenar datos específicos, como nuestra hoja de Excel llamada Cuentas. Por ejemplo para una aplicación de peliculas se necesitara crear varios objetos para almacenar datos específicos, como Película, Persona (actor, actriz, director), Reseña y Compañía. Campo: se utiliza para capturar datos específicos para un registro específico de un tipo de objeto específico; por ejemplo. cada película tiene un nombre, una fecha de estreno y una duración. Pestaña (Tab): Esta es una represent...
    Leer más