Seguridad

La seguridad es una de las mayores consideraciones en todo lo que hacemos.

PAGOS360 usa el protocolo TLS para encriptar las comunicaciones y mantenerlas seguras.

Utilizamos HSTS para garantizar que la transmisión de datos, entre un cliente (la aplicación o el navegador del usuario) y nuestra plataforma ocurra solo a través de HTTPS.

Consideraciones de Seguridad

Utilizá TLS 1.2 o superior

TLS 1.2 es el estándar de la industria desde 2008. Tanto el Consejo sobre Normas de Seguridad de Payment Card Industry (PCI SSC) como el Instituto Nacional de Estándares y Tecnología (NIST) avalan TLS 1.2 para una mayor seguridad en la Web ya que reduce significativamente el riesgo de un ataque de intermediario.

Tanto TLS 1.0 y 1.1 como SSL 1.0, 2.0 y 3.0 son protocolos más antiguos con vulnerabilidades conocidas que han quedado en desuso.

Dejá que el protocolo negocie la versión

Debido a que los protocolos de Internet cambian con frecuencia en respuesta a amenazas, no recomendamos que codifiques tu integración en una versión específica. En su lugar, te recomendamos que permitas que el protocolo negocie la versión automáticamente.

Puede que tu integración funcione actualmente, pero si PAGOS360 decide deshabilitar ciertos conjuntos de cifrado o versiones de protocolo, tu integración puede estar en riesgo, y lo más importante, es que podés comprometer la integridad de los datos de los usuarios.

¿Cómo configurar TLS?

Para utilizar TLS, se necesita un certificado digital (un archivo emitido por una autoridad de certificación – CA). Cuando se instala este certificado se asegura al cliente que realmente se está comunicando con el servidor con el que espera hablar y no con un impostor.

Podés obtener un certificado digital de un proveedor de certificados acreditado, como:

Los certificados pueden variar en costo, dependiendo del tipo de certificado y proveedor. Let's Encrypt es una autoridad de certificación que proporciona certificados de forma gratuita.

Conceptualmente, configurar TLS es muy sencillo, sin embargo, en la práctica, el proceso tiende a ser algo complejo y te recomendamos que sigas la guía de instalación del proveedor que elijas.

Como TLS es un conjunto complejo de herramientas criptográficas, es fácil pasar por alto algunos detalles. Recomendamos utilizar la prueba de servidor SSL de Qualys SSL Labs para asegurarte de que tenés todo configurado de forma segura.

Consideraciones adicionales

Puede ser un riesgo de seguridad incluir JavaScript de otros sitios, ya que tu seguridad se vuelve dependiente de ellos. Si alguna vez se ven comprometidos, un atacante puede ejecutar código arbitrario en tu página. En la práctica, muchos sitios utilizan JavaScript para servicios como Google Analytics, incluso en páginas seguras. Sin embargo, es algo a tener en cuenta, y lo ideal es minimizarlo.

Si usas webhooks, te recomendamos que uses TLS en el endpoint para evitar que el tráfico sea interceptado y las notificaciones se alteren (PAGOS360 no transmite información confidencial vía webhook).

Mantené tu aplicación actualizada

Tu integración no es una actividad de una única vez. Las amenazas de ciberataques requieren actualizaciones constantes. Para reducir tu vulnerabilidad, verificá tu integración siguiendo las mejores prácticas de la industria al menos una vez al año.

Algunos buenos recursos para aprender sobre seguridad web son:

Type to search, ESC to discard
Type to search, ESC to discard
Type to search, ESC to discard
Siguiente lectura:
API PAGOS360
Tabla de Contenido
SeguridadConsideraciones de SeguridadUtilizá TLS 1.2 o superiorDejá que el protocolo negocie la versión¿Cómo configurar TLS?Consideraciones adicionalesMantené tu aplicación actualizada