PCI DSS puede parecer un tema intimidante y confuso. Para que puedas comprenderlo fácilmente, hemos creado una guía que te ayudará a comprender qué es y cómo se aplica PCI DSS a tu negocio. Editar Editar fecha y hora
A menos que tengas una de esas empresas que solo aceptan efectivo y Bitcoin Necesitará comprender cómo cumplir con las regulaciones sobre la aceptación de tarjetas de crédito como forma de pago. Esta guía está dirigida a empresas que procesan tarjetas de crédito y que comprenden la importancia de la seguridad de los datos para una experiencia de compra segura en la actualidad.
La gente suele perder la cabeza cuando les roban la información de su tarjeta de crédito; más aún, las empresas que aceptan y procesan tarjetas de crédito están obligadas por ley a garantizar que todos los archivos que tocan estén seguros.
PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) es un conjunto de estándares que ayudan a los propietarios de pequeñas y medianas empresas a mantenerse al día con los estándares de seguridad.
En septiembre de 2006, cinco importantes compañías de tarjetas de crédito (MasterCard, Visa International, JCB, American Express y Discover) se unieron para formar PCI SSC (Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago).
El consejo es un organismo independiente encargado de supervisar el perfeccionamiento del PCI DSS manteniendo altos niveles de seguridad en cada segmento de un proceso de transacción.
Las empresas que aceptan transacciones con tarjetas de crédito son responsables ante las instituciones financieras y la compañía de tarjetas de crédito que maneja el dinero, no ante el ayuntamiento.
Sin embargo, el consejo garantiza que haya rendición de cuentas en los sistemas y evalúa las tendencias y debilidades tecnológicas para mantener altos niveles de seguridad.
Toda empresa, institución o entidad que acepte, transmita y almacene información del titular de la tarjeta está obligada a cumplir con las normas y regulaciones PCI DSS. PCI define la información del titular de la tarjeta como PAN (Número de Cuenta Principal). El PAN contiene la siguiente información:
PCI DSS solicita a las empresas que mantengan protegidos los siguientes datos:
Un sistema aplicable independientemente del tamaño o número de transacciones. La forma en que cada empresa gestiona los datos de los titulares de tarjetas se clasifica en uno de los cuatro niveles creados por Visa.
El nivel se determina por el número de transacciones Visa realizadas por el comerciante DBA (cuyo nombre comercial es "Doing Business As") en un período de doce meses. En los casos en que las entidades corporativas tienen varios comerciantes DBA, se evalúa el total de transacciones de la empresa.
En las entidades donde las empresas no interactúan con datos en nombre de sus comerciantes, se evalúan los DBA individuales para determinar sus niveles.
Definición de minorista según PCI DSS como cualquier entidad que acepte pagos con tarjetas que lleven los logotipos de las cinco principales compañías de tarjetas de crédito mencionadas al principio de este artículo.
Un comerciante también puede ser un proveedor de servicios. Los niveles se determinan de la siguiente manera:
Nivel 1: Comerciantes que procesan más de seis millones de transacciones Visa anualmente (por correo, en persona, comercio electrónico o teléfono).
Nivel 2: Los comerciantes procesan entre uno y seis millones de transacciones Visa anualmente a través de todos los canales de aceptación.
Nivel 3: Los comerciantes procesan entre 20.000 y 1 millón de transacciones de comercio electrónico con Visa anualmente.
Nivel 4: Comerciantes que procesan 20 000 o menos ventas de comercio electrónico con Visa anualmente a través de todos los canales de aceptación.
Para cumplir con las normas y estándares establecidos, los comerciantes deben seguir una serie de pasos. Primero, cada comerciante debe completar un Cuestionario de Autoevaluación (SAQ) para determinar su nivel de cumplimiento.
Después de completar el cuestionario, los comerciantes deben completar y recopilar evidencia de aprobación junto con un escaneo de vulnerabilidades de un ASV (proveedor de escaneo aprobado por PCI SSC). Las empresas que utilizan un único método de aceptación deben cumplir en su totalidad con los estándares PCI DSS, al igual que los comerciantes que utilizan procesadores de terceros.
Las empresas con varias ubicaciones deben validar anualmente todas las áreas si utilizan el mismo NIF. Si bien todas las empresas que gestionan datos de tarjetas de débito o crédito deben cumplir con los estándares PCI, las empresas que no almacenan datos tienen mayor facilidad para gestionar el proceso de cumplimiento.
Cada empresa debe realizar análisis de vulnerabilidades trimestrales. Un proveedor de análisis autorizado (ASV) se encarga de analizar diversas aplicaciones web y redes de direcciones IP proporcionadas por el proveedor de servicios o el comerciante.
El análisis apunta y expone cualquier vulnerabilidad en los servicios, sistemas operativos y dispositivos de la empresa que los piratas informáticos pueden usar para obtener acceso a la red privada del comerciante.
Cuando un ASV realiza el escaneo, no se requiere la instalación de ningún software y los escaneos se realizan cada 90 días, ya que se solicita a los comerciantes que presenten informes de cumplimiento según el cronograma establecido por el adquirente.
Algunos comerciantes consideran trabajar con proveedores de servicios. Una entidad independiente de las cinco principales compañías de tarjetas de crédito, encargada del almacenamiento, procesamiento y transmisión de la información del titular de la tarjeta.
Los proveedores de servicios cuentan con una ruta de cumplimiento única, y es fundamental que la sigan rigurosamente. Las empresas que cumplen los requisitos para ser proveedores de servicios deben realizar un curso que les ayude a comprender claramente su mandato.
Las aplicaciones de pago se consideran aspectos que transmiten, almacenan o procesan la información del titular de la tarjeta. Estas aplicaciones abarcan procesos que van desde los sistemas de deslizamiento en restaurantes hasta el software utilizado en los carritos de compra del comercio electrónico.
El estándar de seguridad de datos de aplicaciones de pago (PA-DSS) es administrado y mantenido por el PCI SSC. El PA-DSS existe para garantizar que todos los proveedores de aplicaciones de pago que cumplen con los estándares PCI DSS no conserven los datos de los titulares de tarjetas.
Una pasarela de pago conecta a los comerciantes con un procesador o un banco adquirente que los conecta con el emisor de la tarjeta. Se conectan al procesador o a la institución financiera mediante una conexión web o por acceso telefónico.
En la mayoría de los casos, a los comerciantes les gusta tener la opción de conservar la información del titular de la tarjeta, lo que facilita que los clientes realicen transacciones repetidas. Asociarse con un proveedor externo es la forma más cómoda y sencilla de almacenar información de forma segura.
La información del titular de la tarjeta se elimina de posesión del comerciante, y un tercero especializado en protección de datos maneja los datos en nombre del comerciante.
Los comerciantes que optan por conservar los datos del titular de la tarjeta son sometidos a un riguroso proceso por parte de un asesor de seguridad calificado que acude al lugar para realizar una auditoría que confirme que el comerciante cumple con los estándares PCI DSS.
Las normas PCI recomiendan que los primeros seis o los últimos cuatro dígitos del PAN se impriman en la copia del recibo de transacción. Esto ayuda a evitar que se muestre el número completo.
Se establecen estándares para la seguridad del consumidor. Cuando los comerciantes no cumplen con los estándares PCI DSS, se enfrentan a numerosas consecuencias.
La mayoría de las veces, se les imponen fuertes multas que van desde $5000 a $100,000 mensuales.
La marca de pago cobra al banco adquirente, quien traslada los costos a la empresa. En la mayoría de los casos, la institución financiera rescinde la relación con el comerciante o aumenta considerablemente las comisiones por transacción.
Estas son sanciones que pueden arruinar a las pequeñas y medianas empresas y es importante que los comerciantes cumplan todas las reglas sin violarlas.
Si bien PCI no es una ley, los comerciantes que se niegan a cumplirla están sujetos y son responsables de absorber los costos generados por multas, costos de reemplazo de tarjetas, daños a la marca, costosas auditorías forenses y varias consecuencias cuando hay una infracción.
Esfuerzos iniciales y costos realizados después Cumplimiento de PCI DSS Evitar que los comerciantes tengan que gastar más dinero y tiempo lidiando con consecuencias graves, costosas, complicadas y devastadoras.
¡Felicitaciones por iniciar una pequeña o mediana empresa! Asegúrese de que todas las transacciones cumplan con las medidas de integridad y seguridad. Conozca los pormenores del cumplimiento normativo y proteja su negocio de los hackers, cada día más sofisticados.
"*" indica campos obligatorios
"*" indica campos obligatorios
"*" indica campos obligatorios
Deja una respuesta
Debes ser conectado para publicar un comentario.