Cómo hacer que su sistema sea compatible con PCI-DSS en AWS

¿Sabía que Amazon Web Services ahora ofrece a los clientes y comerciantes una forma diferente y más efectiva de completar transacciones en línea? Como comerciante, puede usar AWS para crear aplicaciones sofisticadas para analizar y almacenar datos. También puede utilizar los datos para adquirir nuevos compradores. Un componente vital para el éxito de AWS es disminuir el riesgo de robo de datos a través del cumplimiento de PCI. Si usted es un comerciante que opera un negocio de Amazon Web Service, el cumplimiento de PCI es un desafío. También es un desafío superable.

PCI es la Industria de Tarjetas de Pago Designada para Salvaguardar las Transacciones

El acrónimo PCI significa Industria de tarjetas de pago. Está diseñado para proteger a las empresas que analizan, recopilan, aceptan y almacenan información de tarjetas de crédito. Los estándares PCI han existido por un tiempo. Se establecieron por primera vez en 2006 como una forma de disminuir el riesgo de robo de datos que podría ocurrir con las transacciones de pago en línea.

Dado que usted es propietario de un negocio, tiene la responsabilidad total de integrar PCI DSS. Es responsabilidad del consejo PCI DSS administrar el programa para proporcionar información receptiva y actualizada en el mundo de las transacciones de pago en línea.

¿Cuáles son los componentes de cumplimiento de PCI DSS?

El cumplimiento de PCI DSS implica proteger la información del titular de la tarjeta del cliente almacenada por una empresa o comerciante. Si bien PCI DDS incluye más de 100 políticas que tanto las empresas como los comerciantes deben aplicar, hay algunas que deben seguirse. Estas políticas son clave para proteger los datos de las tarjetas de crédito de los clientes:

• Debe regular el marco de seguridad para buscar cualquier vulnerabilidad.
• Los comerciantes deben asegurarse de que sus sistemas y redes tengan cortafuegos seguros

• Debe cifrar la información relacionada con la tarjeta de crédito antes de almacenarla o enviarla
• Debes crear un sistema con controles de acceso
• Debe asegurarse de que su red y sus sistemas tengan cortafuegos seguros
• Debe monitorear continuamente sus redes

Esta es la razón por la cual el cumplimiento de PCI DSS para los comerciantes de AWS es tan importante

Es posible que no sepa esto, pero la plataforma de Amazon Web Service utiliza un modelo de responsabilidad de seguridad compartida. Por lo tanto, ningún procesamiento, transmisión o almacenamiento de datos de CHD está disponible en la plataforma de AWS. Dado que es un comerciante, a menudo colocará información en el sistema de AWS. Esto hace que su información sea susceptible a los piratas informáticos de tarjetas de crédito. Esto significa que estas transacciones requieren que implemente algunas estrategias de protección para garantizar que su sistema de TI cumpla con PCI DSS.

Los importantes puntos de acceso al sistema que los piratas informáticos manipulan para obtener datos de tarjetas de crédito

• Utilizan datos enviados a través de una red o punto que no está encriptado.
• Hackean una infraestructura de AWS que no tiene una estrategia de cumplimiento desarrollada
• Al transferir un gran volumen de datos a la nube de AWS, el volumen de datos reduce la velocidad de transmisión. Esta ralentización permite tiempo para que los piratas informáticos ingresen al programa y manipulen uno o más programas.
• La infraestructura y los sistemas están expuestos a personas ajenas debido a la falta de autenticación multifactor.

Lo que necesita saber para hacer que su infraestructura de AWS sea PCI-DSS

Tal vez ya esté utilizando la nube como una forma de hacer crecer su negocio. Si es así, aquí hay algunos enfoques que puede usar para incluir el cumplimiento de PCI DSS en su negocio, tales como:

Equilibrio de carga elástico

Elastic Load Balancing, también llamado ELB, es un componente vital en muchas aplicaciones impulsadas por AWS. Para aumentar la transmisión, use el componente para enrutar la información entrante a diferentes objetivos. ELB primero verifica el estado de salud de todas las solicitudes entrantes y luego las envía. Hay tres subvariaciones de ELB. Los Classic Load Balancers (CLB) son los encargados de distribuir todo el tráfico que llega a través de los abogados 3 y 4. El componente CLB le proporciona su propia cookie de aplicación personalizada. CLB funciona en plataformas EC2-VPC y EC2-Classic y funciona en variaciones como HTTPS, SSL y TCP.

Network Load Balancers (NLB) también funciona en la cuarta capa. Es un balanceador de carga de segunda generación. Una vez que recibe una conexión, el balanceador de carga crea nodos. Estos nodos se utilizan para distribuir el tráfico a varios objetivos. Tiene tolerancia a fallos. Esto significa que puede conectarse donde encuentre una solicitud saludable.

Los balanceadores de carga de aplicaciones (ALB) son para microservicios en los que el tráfico se puede enrutar a varios servicios en una instancia EC2. Esto es diferente de CLB. ALB no admitirá la autenticación del servidor back-end. ALB solo funciona en plataformas específicas como EC2-VPC.

Amazon tiene una nube privada virtual

Con Amazon Virtual Private Cloud, crea una red virtual desde su nube de AWS. Puede usar la red para almacenar datos personalizados vitales. La VPC se parece a las redes tradicionales. Esto significa que puede crear un centro de datos personalizado para almacenar información vital.

Además, VPC agrega más capas de seguridad a través de las populares Transport Layer Security (TLS) y Secure Socket Layer (SSL). Estas capas actúan como puntos de comunicación en su computadora. Intercambian información entre varios terminales. Es importante tener en cuenta que dos capas pueden proteger los datos. Sin embargo, a menudo ralentiza la velocidad de transmisión de datos entre terminales.

Las formas en que puede incorporar AWS en su negocio

AWS le proporciona un entorno personalizado para transacciones en línea rápidas y seguras. Recibe una plataforma segura, económica, confiable y escalable que crece a medida que crece su marca digital.

Sin embargo, para beneficiarse de lo que ofrece AWS, debe saber cómo incorporarlo a su negocio.

Amazon Machine Image, o AMI, es una plantilla de AWS configurada que le permite crear una computadora virtual. Esta computadora virtual se inicia en ciertas situaciones, como actualizar la información del cliente y usar un carrito de compras.

Las interfaces de programación de aplicaciones son el punto de interacción en AWS. Aquí es donde personaliza y crea su entorno basado en la nube. Al personalizarlo, sus clientes pueden buscar servicios y productos que satisfagan sus necesidades en línea.

El cumplimiento de PCI es la clave de su crecimiento y éxito en una plataforma de AWS. Si bien las etapas iniciales del cumplimiento de PCI son complicadas y empinadas, es posible una implementación exitosa. Abrirá un camino hacia el crecimiento continuo a medida que sus clientes le confíen cada vez más los datos de sus tarjetas de crédito.

Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.