Con frecuencia nos preguntan si Kinsta ofrece alojamiento compatible con PCI, por lo que hoy vamos a profundizar en este tema. Muchos no se dan cuenta de que todas las tiendas de comercio electrónico que procesan, almacenan o transmiten datos de tarjetas de crédito están obligadas a cumplir la normativa PCI, independientemente de su volumen de ventas anual. Por eso es importante dedicar un rato a entender mejor qué es el cumplimiento de la normativa PCI y cómo afecta a tu negocio.

¿Qué es la PCI?

El término PCI significa «Payment Card Industry» (sector de las tarjetas de pago). Lo oirás a menudo en el contexto de PCI DSS, la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago. Se trata de un conjunto de normas de seguridad para cualquier empresa que acepte, almacene o transmita datos de tarjetas de crédito, creado para proteger a los consumidores y garantizar que los datos de pago se gestionen de forma segura.

Empresas como American Express, Discover, JCB International, MasterCard y Visa tienen sus propios programas de cumplimiento, pero todas siguen las normas establecidas por el Consejo de Normas de Seguridad de la PCI (del que son miembros fundadores).

En marzo de 2022 se publicó la versión 4.0 de la norma PCI DSS, que sustituye a la anterior versión 3.2.1. La nueva versión se centra en reforzar la seguridad y ofrecer más flexibilidad a las empresas a la hora de cumplir los objetivos de cumplimiento. Entre los cambios más importantes se incluyen:

  • Un nuevo «enfoque personalizado» del cumplimiento, junto al modelo tradicional basado en listas de comprobación
  • Autenticación multifactor (AMF) obligatoria para todos los accesos a entornos de datos de titulares de tarjetas
  • Mayor atención a la seguridad como un proceso continuo, no como una solución puntual
  • Requisitos mejorados para proteger las plataformas de comercio electrónico y las aplicaciones web, especialmente relevantes para los sitios de WordPress y WooCommerce

Si gestionas pagos o datos de clientes en tu sitio de WordPress, es importante que entiendas cómo afectan estos cambios a tus responsabilidades según PCI DSS.

¿Ofrece Kinsta hosting que cumpla con la normativa PCI?

Es importante entender que el hecho de que un proveedor de alojamiento cumpla con la normativa PCI no significa automáticamente que tu sitio web también lo haga. Esto se debe a que el cumplimiento de la norma PCI DSS se basa en un modelo de responsabilidad compartida.

Como proveedor de alojamiento administrado para WordPress, Kinsta se encarga de proteger la infraestructura del servidor, mantener al día los parches del sistema operativo, aplicar medidas de seguridad estrictas a nivel de red y garantizar conexiones TLS (HTTPS) seguras. Sin embargo, todo lo que se encuentra por encima de la capa de infraestructura —como proteger tu instalación de WordPress, gestionar los plugins y los temas, manejar la información de pago y configurar correctamente tu sitio web— está bajo tu control.

En la práctica, eso significa que la mayor parte de la responsabilidad sigue recayendo sobre ti, como propietario del sitio web. Por ejemplo, si gestionas una tienda de WooCommerce, eres responsable de gestionar los datos de los clientes, procesar las tarjetas de crédito, proteger las cuentas de los usuarios y mantener el código de tu sitio web.

Kinsta no garantiza el cumplimiento de la normativa PCI, y no podemos auditar tu sitio para verificar si tu implementación cumple los requisitos. Sin embargo, eso no significa que no puedas cumplir la normativa PCI alojándote con nosotros.

Muchos de nuestros clientes han trabajado con auditores externos para superar con éxito las exploraciones de cumplimiento PCI. En algunos casos, hemos realizado algunos ajustes menores en la infraestructura a petición del cliente, pero las auditorías se superaron gracias a una combinación de configuración por parte del cliente y orientación de terceros.

Aunque no participamos directamente en el proceso de auditoría, estaremos encantados de ayudar con cambios específicos cuando sea necesario.

Cómo cumplir la normativa

Aquí tienes algunas recomendaciones para asegurarte de que cumples con la normativa en Kinsta:

1. Cuestionario de autoevaluación PCI

Rellena el Cuestionario de Autoevaluación (SAQ) cada año para ayudarte a determinar si tu configuración de procesamiento de pagos cumple con la normativa PCI.

2. TLS y HTTPS

Sirve tus páginas de pago de forma segura utilizando TLS 1.3 (preferido) o TLS 1.2 para activar HTTPS (conexiones cifradas). PCI DSS 4.0 requiere una configuración TLS segura, que incluya suites de cifrado fuertes y evaluaciones de seguridad periódicas. Kinsta mantiene siempre actualizadas las versiones de TLS en nuestros servidores, y puedes instalar un certificado SSL fácilmente desde tu panel de control de MyKinsta.

A continuación te explicamos cómo instalar el certificado SSL en WooCommerce.

La norma PCI DSS 4.0 acepta certificados de dominio validado (DV), siempre que utilicen algoritmos de cifrado fuertes (como SHA-256) y se mantengan adecuadamente. En Kinsta, los certificados SSL —incluidos los wildcard— se emiten automáticamente a través de nuestra integración gratuita con Cloudflare, lo que garantiza conexiones HTTPS seguras y conformes de forma predeterminada. Para mayor seguridad o por requisitos de tu organización, también puedes optar por instalar un certificado EV (Extended Validation) u OV (Organization Validated) personalizado.

No te olvides de leer nuestra guía sobre TLS y SSL.

3. Procesar pagos a través de un proveedor externo

Una de las formas más sencillas de simplificar potencialmente el cumplimiento de la PCI es procesar tus transacciones con tarjeta de crédito a través de un proveedor externo. Puedes conectar fácilmente tu tienda WooCommerce o Easy Digital Downloads con una pasarela de pago, como Stripe o PayPal. No obstante, debes consultar sus directrices de cumplimiento de la PCI, ya que el simple procesamiento de tarjetas de crédito fuera de las instalaciones no siempre garantiza el cumplimiento. Pueden ser necesarios pasos adicionales.

4. Implantar un cortafuegos

La norma PCI DSS exige que los sistemas que manejan datos de titulares de tarjetas estén protegidos por cortafuegos correctamente configurados para controlar el tráfico y bloquear el acceso no autorizado.

En Kinsta, todos los sitios web cuentan con varias capas de protección mediante cortafuegos. Todo el tráfico web se canaliza a través de nuestra integración con Cloudflare, que incluye un cortafuegos de aplicaciones web (WAF) totalmente gestionado con conjuntos de reglas personalizadas, filtrado inteligente del tráfico y mitigación de ataques DDoS integrada en el edge de la red.

Este enfoque ofrece una sólida protección predeterminada contra amenazas habituales, como los intentos de acceso no autorizado, los bots maliciosos y los ataques a nivel de aplicación.

Si tu auditor de la PCI o tu equipo de seguridad requieren una personalización adicional, también puedes integrar un cortafuegos de aplicaciones web (WAF) de terceros como Sucuri o planes independientes de Cloudflare con reglas personalizadas.

5. Realiza pruebas de seguridad periódicas

La norma PCI DSS 4.0 incluye requisitos específicos sobre las pruebas de seguridad continuas. Esto abarca el análisis de vulnerabilidades, las pruebas de penetración y la monitorización de la integridad de los archivos para detectar y resolver posibles amenazas de seguridad antes de que se conviertan en problemas.

En Kinsta, protegemos tu entorno con funcionalidades como la mitigación de ataques DDoS, el escaneo de malware, cortafuegos de hardware y otras medidas de seguridad a nivel de infraestructura. Sin embargo, eres responsable de comprobar la capa de aplicación, lo que incluye tu sitio de WordPress, los plugins, los temas y cualquier código personalizado.

Además de los escaneos ASV, también recomendamos realizar pruebas internas periódicas para reducir el riesgo y adelantarse a los controles de cumplimiento:

  • Utiliza un escáner de vulnerabilidades para detectar plugins y temas obsoletos o inseguros
  • Programa pruebas de penetración periódicas, especialmente si manejas datos de pago directamente
  • Activa la monitorización de cambios en los archivos con un plugin de seguridad de WordPress

Algunos procesadores de pagos o empresas de seguridad externas también pueden proporcionar herramientas que te ayuden a cumplir estos requisitos de comprobación como parte de tu proceso de cumplimiento de la PCI.

6. Autenticación multifactor

La autenticación multifactor (MFA) es un método de seguridad que requiere que los usuarios proporcionen dos o más tipos de credenciales antes de obtener acceso, normalmente una combinación de algo que sabes (como una contraseña) y algo que tienes (como un código de una aplicación de autenticación en tu teléfono).

Esto se conoce comúnmente como autenticación de dos factores (2FA), que es una forma específica de AMF que utiliza exactamente dos factores. Aunque los términos suelen utilizarse indistintamente, la norma PCI DSS 4.0 utiliza ahora el término más amplio de AMF y amplía las situaciones en las que es necesaria.

Según PCI DSS 4.0, la MFA es obligatoria para:

  • Todo acceso al entorno de datos del titular de la tarjeta (CDE)
  • Todo acceso remoto a sistemas que manejen datos de pago
  • Todo acceso administrativo a los sistemas de procesamiento de pagos

En Kinsta, se requiere la autenticación de dos factores (2FA) para todos los inicios de sesión en MyKinsta, lo que añade una capa adicional de protección para el panel de control de tu alojamiento. También puedes activar la autenticación de dos factores en tu área de administración de WordPress para proteger aún más tu sitio.

7. Seguridad del centro de datos

La infraestructura en la nube de Kinsta está diseñada para cumplir con estrictos requisitos de seguridad y cumplimiento normativo para alojar cargas de trabajo confidenciales, incluidos entornos que soportan las iniciativas de cumplimiento de la norma PCI DSS.

Nuestros centros de datos cuentan con controles de seguridad física por niveles, como acceso controlado a las instalaciones, vigilancia continua, sistemas de detección de intrusos y personal de seguridad in situ. Todos los accesos y actividades se registran y se someten a auditoría para facilitar la investigación de incidentes y cumplir con los requisitos de cumplimiento normativo.

Los datos se cifran tanto en tránsito como en reposo mediante estándares de cifrado robustos, incluido el cifrado AES de 256 bits para los datos almacenados. Las claves de cifrado se gestionan y se renuevan periódicamente como parte de nuestros controles de seguridad generales.

Kinsta cumple con la norma SOC 2. Puedes obtener más información en nuestra página sobre el cumplimiento de la norma SOC 2 o visitar nuestra página del Informe de Confianza.

Brian Jackson

Brian tiene una gran pasión por WordPress, lo ha estado utilizando durante más de 10 años e incluso ha desarrollado un par de plugins premium. Brian disfruta de los blogs, las películas y el senderismo. Conéctese con Brian en Twitter.