Loading

Descripción general de PCI y responsabilidades para clientes de Commerce Cloud

Fecha de publicación: Apr 13, 2026
Descripción
Como proveedor de servicio compatible con PCI DSS, Commerce Cloud es responsable de garantizar que el servicio base proporcionado a los clientes es compatible con PCI DSS y permite a los clientes personalizarlos de una forma que respete la normativa. El uso del servicio de Commerce Cloud no significa que un cliente cumpla con PCI de forma inherente. Este documento está destinado a ayudar a determinar dónde Commerce Cloud puede ayudar a nuestros clientes con sus auditorías, cuáles son nuestras responsabilidades y cuáles son las responsabilidades de nuestros clientes.
Solución

Estándar DSS de PCI

El estándar DSS de PCI se ha adoptado por todos los emisores de tarjetas principales para solucionar problemas de seguridad de datos. Se desglosa en varias secciones que se tratan ampliamente:

  • Seguridad de red
  • Protección de datos de titulares de tarjetas
  • Gestión de Vulnerabilidades
  • Mediciones de control de acceso
  • Supervisión y prueba de controles y seguridad
  • Políticas de seguridad de información


Puede encontrar una listado de Commerce Cloud como un proveedor de servicios registrado en las siguientes ubicaciones:


Como prueba de cumplimiento, Commerce Cloud proporcionará una copia de nuestra vigente documentación de Certificación de cumplimiento de PCI (AOC). Póngase en contacto con el servicio de asistencia si necesita una copia de nuestra AOC.


Responsabilidad de Commerce Cloud

Todos los comerciantes tienen la responsabilidad completa de garantizar el cumplimiento de la ley de los comerciantes de DSS de PCI. En relación con la plataforma Commerce Cloud, las siguientes muestran los elementos principales del ámbito para Commerce Cloud como un proveedor de servicios compatible con DSS de PCI. Estos elementos cubren datos de clientes almacenados dentro de nuestro servicio. El lugar en el que llega el cumplimiento de los clientes es principalmente alrededor de integraciones y cualquier intercambio de datos confidenciales con sistemas fuera del servicio Commerce Cloud Commerce Platform (como un sistema OMS externo). De manera específica, se aplica a las 12 secciones de requisitos de DSS de PCI principales:

     1.      La configuración del cortafuegos se valida y se prueba. Commerce Cloud es responsable de todas las pruebas y la configuración del cortafuegos.

     2.      Las contraseñas predeterminadas se eliminan y se mantienen los parámetros de seguridad del sistema aceptables.

     3.      La información de Tarjeta de crédito almacenada en la plataforma de Commerce Cloud Commerce se almacena de forma cifrada, siempre que se utilice la API estándar para el acceso a datos de tarjeta de crédito. Commerce Cloud realizará la recodificación automática de claves y otros mecanismos de protección para estos datos.         

     4.      Commerce Cloud permite al cliente utilizar el cifrado de transporte (TLS/SSH) o el cifrado de carga (funciones de cifrado estándar del sector) al intercambiar datos de tarjetas de crédito con sistemas externos. La aplicación de referencia de SiteGenesis utiliza la plataforma de forma correcta para garantizar que todas las partes confidenciales de una sesión de consumidor están protegidas. Esto también se aplica a la aplicación administrativa de Business Manager.

     5.      Donde corresponda, Commerce Cloud busca virus y/o malware.

     6.      Commerce Cloud sigue las prácticas de codificación estándar del sector y supervisa las listas de correo de seguridad para garantizar que cualquier desarrollo de componente principal se realiza de forma segura. También realizamos pruebas de exploración de vulnerabilidad como parte de nuestro proceso de QA. El cliente es responsable de realizar análisis de vulnerabilidad y revisiones de código en cualquier personalización que haya creado en el servicio.

     7.      Commerce Cloud restringe intensamente el acceso a datos de clientes únicamente al personal interno que tiene un requisito comercial que justifica el acceso. Estas personas pasan por comprobaciones de antecedentes como parte de su empleo con Commerce Cloud.

     8.      Para el entorno Commerce Cloud Commerce Platform completo, el acceso de usuarios está protegido por un seguimiento de auditoría que permite identificar a un usuario a través de su Id. exclusivo. Para el personal de Commerce Cloud esto se aplica por políticas y procedimientos de Commerce Cloud.

     9.      El acceso físico se restringe según los requisitos de DSS de PCI en todas las instalaciones de la plataforma Commerce Cloud Commerce.

     10. Commerce Cloud supervisa el tráfico inesperado en la conectividad externa e interna. Además, Commerce Cloud mantiene archivos de registro internos integrales y ofrece a los clientes la capacidad de descargar registros personalizados y de seguridad durante 30 días. 

     11. Commerce Cloud prueba nuestro servicio como parte de nuestro proceso de garantía de la calidad así como las pruebas de gravedad y escaneo de vulnerabilidad programadas regularmente con nuestro auditor de seguridad externo. El cliente es responsable de probar su escaparate, personalizaciones y cualquier integración de otros servicios. 

     12. Commerce Cloud tiene políticas internas y procedimientos bien definidos sobre la seguridad de la información.


Responsabilidad del cliente

Según lo anterior, para cualquier integración o personalización externa construida sobre Commerce Cloud Commerce Platform, el cliente es responsable de garantizar el cumplimiento de DSS de PCI. Entre los ejemplos comunes se incluyen los siguientes:

  • Integración externa con OMS y otros servicios: ¿Está sobre TLS y con restricciones de cortafuegos apropiadas?
  • En relación con las reglas de cortafuegos, los clientes son responsables de los puertos salientes que solicitan abrir desde Commerce Cloud. Los clientes deben tener en cuenta los puertos inseguros y cómo esto puede afectar al cumplimiento de PCI. Consulte a su QSA si tiene preguntas. Los clientes deben revisar la necesidad de que los puertos de salida solicitados estén abiertos cada 6 meses y notificar a Commerce Cloud si esos puertos ya no son necesarios para poder eliminarlos.
  • Los clientes son responsables de definir por cuánto tiempo conservan los datos de pago. Esto se puede gestionar en Business Manager definiendo la Retención de información de pago.
  • Las exportaciones personalizadas se cifran y se tratan correctamente.
  • Cualquier personalización se realiza con una comprensión de las posibles ramificaciones de seguridad. El cliente es responsable de garantizar que sus personalizaciones no capturan información confidencial o de tarjetas de crédito a través de medios inseguros. El almacenamiento de texto sin cifrar de la información de tarjetas de crédito (incluyendo los archivos de registro) no se permite nunca y los clientes son responsables de cumplir este requisito
  • Las pruebas de sensibilidad y Penetración se realizan por una QSA/ASV externa.
  • Mantener registros personalizados específicos para la seguridad y el control de acceso del cliente, es decir, el cliente que utiliza el marco de trabajo de registros de Commerce Cloud, el error, el error personalizado, la seguridad u otros registros. Los registros personalizados y otros registros de seguridad deben descargarse en un plazo de 30 días y estar archivados por el cliente según el requisito DSS de PCI.
  • La autenticación de dos factores debe estar vigente para las actualizaciones de código (a través de Commerce Cloud Studio) al sistema de ensayo de clientes. Este certificado de dos factores es gestionado por el cliente y puede seguir sus propias políticas de seguridad que tienen lugar para las implementaciones de código en el servicio de Commerce Cloud.

NOTA: Esta lista no es exhaustiva: debe consultar con su asesor o asesor de DSS de PCI para determinar todos los requisitos y responsabilidades que tiene para mantener el cumplimiento de comerciante de DSS de PCI.


¿Cómo ayuda Commerce Cloud con mi auditoría?

La mayoría de los auditores están altamente familiarizados con el trabajo con socios externos que cumplen el estándar PCI. Puede descargar cualquier documentación relevante desde los vínculos anteriores; esto incluye nuestro listado como un proveedor de servicio con las empresas de tarjetas de crédito. También puede registrar un ticket con el servicio de asistencia para solicitar una copia de AOC de Commerce Cloud. Esto debe ser suficiente para que su auditor pueda utilizarla para identificar dónde finaliza nuestra responsabilidad como un proveedor de servicios y dónde comienza su responsabilidad. Commerce Cloud no ayuda a completar ninguna parte de la auditoría de PCI de un cliente, incluidos los cuestionarios de autoevaluación (SAQ).


Programación de auditorías/Exámenes de seguridad
Vea la información descrita en Evaluaciones de seguridad.


¿A quién contacto si tengo preguntas?

Si no puede encontrar la respuesta a su pregunta en este documento, publique una pregunta en la Sección Operaciones de plataforma del Foro de desarrolladores que se encuentra aquí. Cualquier pregunta publicada se responderá por un representante de Commerce Cloud.

Número del artículo de conocimiento

000391196

 
Cargando
Salesforce Help | Article