BOTÓN DE PAGOS

Guía de validación
previo a la Certificación
de Seguridad

Área de Seguridad de la Información

Versión 1.0
Agosto 2020
 Certificado y Protocolos de Seguridad

El contenido de la página debe ser seguro y afianzado

1 con un Certificado Digital HTTPS.

2
Para evaluar que si el sitio web cumple los requisitos de
Certificado y Protocolos puede realizar un escaneo de la
URL de manera gratuita utilizando la herramienta
3 online Digicert https://www.digicert.com
Guía de apoyo:
Diríjase al menú de Apoyo > Herramientas
>Diagnóstico de instalación de SSL
Registre el dominio de la URL que desea escanear y
seleccione la casilla ¨Verificar vulnerabilidades
comunes¨

5
 Certificado y Protocolos de Seguridad

5
2y3

6 4

La Herramienta facilita un informe con las secciones del

Certificado TLS, Protocolo de apoyo, Cifrados
compatibles, Caducidad de Certificado TLS, en las cuales
debe verificar que la URL cumpla con los requisitos listados a
continuación:
1. Protocolo criptográfico: TLS 1.2 o superior(No se aceptan que
existan versiones inferiores habilitadas, ej.: TLS 1.0 y TLS 1.1).
2. Algoritmo de firma: SHA 256 RSA o superior (algoritmo de
cifrado).
3. Algoritmo Hash de firma: SHA 256 o superior.
4. Cifrado mínimo : AES 256 bits o superior.
5. Clave pública: RSA 2048 bits.
6. Protocolo de intercambio de claves: ECDH de 256 bits o superior.
7. Certificado vigente: la fecha del certificado no debe estar
caducado.
8. Certificado https instalado de manera correcta.
 Certificado y Protocolos de Seguridad

En caso de que su certificado no tenga completo el nivel de seguridad debe remediar los puntos de
incumplimiento antes de solicitar la certificación de Seguridad.

Ejemplos de errores comunes:

www.almacenesxyz.com
 Información de Sitio Web

La página web del comercio, debe contener la siguiente información, cada una en una sección
independiente.

Políticas de Envío y Entrega: (no aplica en Política de Privacidad: Documento legal que
comercios cuyos giros son servicios). Debe detallar plantea cómo el comercio retiene, procesa o maneja
los términos de envío y entrega con relación al stock los datos de su cliente.
de producto del comercio, estipular los medios por
los cuales realiza los despachos nacionales y/o
internacionales, determinar los tiempos de entrega,
informar a su cliente la fecha de despacho del envío,
definir los costos de envío, entre otros factores
acorde al negocio del comercio.

Contacto: El comercio debe disponer de un numero

de teléfono sea este convencional o celular y una
correo para contacto de sus clientes.
Términos y condiciones: Este apartado es dirigido Contacto
del comercio hacia su cliente, en el cual debe Escríbenos
estipular las condiciones de uso y contratación, este servicioalcliente@almacenesxyz.com
apartado regula la relación respecto al acceso de los Llamanos 24/7
contenidos y de los servicios/productos que se
ponen a disposición a través de la página web.
 Análisis de contenido web y términos
establecidos por Marcas de Tarjetas

Análisis de contenido Web y términos de Servicio

establecidos por las Marcas de Tarjeta MasterCard
(BRAM) y Visa (GBPP): todos los productos que se
comercializan deben ser los permitidos por las
marcas.

Ejemplos de contenido/enlaces no permitido:

• Contenido/Enlaces a sitios farmacéuticos:
redirección a contenido que fomentan la compra o la
venta no autorizada de drogas o de medicamentos
que necesitan prescripción médica.
• Contenido/Enlace inadecuado: redirección a
contenido que fomentan la violencia, el terrorismo,
venta de productos peligrosos, pornografía, etc.

Contenido de malware: el ecosistema web debe

ser seguro para los usuarios, es decir no se admiten
sitios web donde su código puede, capturar
información de forma oculta, ni puede contener
elementos como troyanos, phishing, etc.
Contenido/Enlaces desconocidos: El sitio web
no debe contener enlaces a contenido que no se
relaciona con el negocio del comercio.
 Otros puntos de análisis
Web Host PCI DSS: el proveedor de Web Host del
sitio web debe ser de preferencia PCI DSS sino el
comercio deberá garantizar las seguridades sobre
le sitio que se esta alojando en la pagina web.
Contenido/Malware: en el proceso de escaneo
realiza una verificación de código malicioso y virus,
el ecosistema de la página web debe ser seguro
para los usuarios, no se admiten sitios web donde
su código pueda capturar información de forma
oculta o contener elementos como troyanos,
phishing, etc.
Alojamiento de otros dominios: La IP debe ser
única y no debe alojar otros dominios.
HTML Spam: El sitio no debe tener contenido
HTML Spam, un ejemplo de esto es la sección de
comentarios diseñada para usuario (las páginas o
artículos de blog son una ubicación común para
este tipo), esto es una brecha de seguridad
donde un usuario X podría inyectar código
malicioso.
Nota:
• Posterior al escaneo inicial, se efectuarán
escaneos mensuales para validar la
continuidad del cumplimiento.
• Es responsabilidad del comercio comunicar
a Datafast cualquier cambio sobre el portal
que pueda afectar la seguridad.
La Seguridad es compromiso de todos.