El comercio evoluciona. Las empresas, los consumidores, el mercado… Y, por tanto, las normativas que los regulan, también.
Fruto de dicha evolución surge el PCI DSS o Data Security Standard, una normativa que nace para proteger la información sensible de las tarjetas de crédito y débito. En definitiva, para aumentar la seguridad de los usuarios en todos aquellos comercios que procesan, almacenan o transmiten datos de las tarjetas de sus clientes. Teniendo en cuenta el crecimiento del eCommerce en el último año, así como la implementación de los pagos contactless, cada vez son más las empresas que necesitan obtener el certificado PCI DSS.
¿Cómo obtenerlo? ¿A quién está dirigido? ¿Cuál es su objetivo? ¿Qué requisitos establece? Te invitamos a acompañarnos en este post para descubrirlo por ti mismo.
Let’s go!
¿Qué es PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) es un estándar de seguridad que requiere una serie de pautas para mantener protegida la información sensible de las tarjetas de crédito y débito.
Dicho de otra forma, se trata de una especie de guía con un conjunto de estándares de seguridad que ayuda a evitar los fraudes que afectan a las tarjetas de crédito y débito, tanto a los datos de los titulares como a los confidenciales de autenticación. Su principal objetivo es aumentar la seguridad en la gestión de estos datos, evitando el robo y el fraude. Así de simple.
Por tanto, la certificación PCI DSS es lo que obtienen las empresas cuando cumplen con una serie de requisitos. Poseerla es sinónimo de confianza y atracción de nuevos clientes.
Esta normativa surgió porque, antiguamente, las compañías de las tarjetas de crédito y débito, como Mastercard, Visa, American Express, etc., tenían sus propios estándares de seguridad. Si una empresa trataba con datos de tarjetas de otra compañía, la gestión se convertía en una odisea.
Al final, todas debían cumplir con diferentes requisitos, por lo que se decidió crear un único estándar a cumplir, ¡el PCI DSS!
12 requisitos de la normativa PCI DSS
Puede que en la práctica estés cumpliendo con la normativa, pero, aparte de hacerlo, tiene que parecerlo.
Si eres una empresa que procesa, almacena o transmite datos de tarjetas de crédito o débito, estás obligado a cumplir con la certificación PCI DSS. No creas que está pensada únicamente para las entidades bancarias, pues si gestionas pagos en tu tienda online, esto te interesa.
Estás obligado a demostrar el cumplimiento de forma periódica, ante auditores externos autorizados, salvo si procesas menos de 80.000 transacciones al año, donde puedes realizar una autoevaluación empleando un cuestionario.
A continuación, te contamos los requisitos de la normativa PCI DSS:
- Seguridad en la red
- Disponer de un firewall o cortafuegos para proteger los datos, así como el entorno de la información confidencial de las tarjetas.
- Asegurarse de que las contraseñas son cambiadas para diferenciarse de las que vienen de fábrica.
- Protección de la información de los titulares de las tarjetas
- Si hay datos de tarjetas de débito o crédito, debe cifrarse la información. El objetivo es proteger los datos de los titulares.
- Dotar de protección a los sistemas de almacenamiento.
- Gestionar vulnerabilidades
- Los sistemas desplegados deben ser lo más ciberseguros posibles.
- Disponer de aplicaciones antivirus y antimalware actualizadas.
- Crear medidas de control de acceso
- Restringir y limitar el acceso a las personas necesarias, así como registrar dichos accesos a los datos.
- Las credenciales deben ser únicas y debe evitarse la asignación de un solo login o credencial para un grupo de usuarios.
- Limitar o restringir el acceso físico al almacenamiento u otro soporte donde se encuentren los datos confidenciales de las tarjetas.
- Monitorizar las redes
- Monitorizar y rastrear los accesos producidos a la red.
- Poner a prueba los sistemas y los procesos de seguridad constantemente.
- Mantener una política de seguridad de la información
- Disponer de una política de seguridad que abarque los sistemas de información transversal.
¿Conocías estos requisitos?
¿Qué ocurriría si no protegiésemos los datos financieros de nuestros clientes?
La falta de una debida protección de datos puede afectar gravemente al comercio electrónico. Según el PCI SSC (Payment Card Industry Security Standards Council):
- Puede costar hasta 3.8 millones de dólares.
- Puede afectar gravemente a la reputación de la empresa.
Por tanto, un paso fundamental debe ser el cumplimiento de las normas de seguridad, así como de los requisitos mencionados en el párrafo anterior. El estándar universal ha sido adoptado por los emisores de las tarjetas con el fin de evitar el robo de datos o el fraude.
Estos requisitos técnicos y operativos son vitales para todos esos comercios que reciben pagos a través de tarjeta, no solo para reducir el fraude, sino para proteger la información del titular y reducir las posibilidades de sufrir una violación de las políticas de acceso.
Nueva versión PCI en 2020
En junio de 2020, se publicó una nueva versión de la normativa, lo que introdujo nuevos cambios y actualizaciones. La seguridad de la información sigue siendo un requisito importante y fácil de cumplir cuando se cuenta con aliados tecnológicos como PayXpert.
Los cambios introducidos en la normativa están orientados a dar soporte a una amplia gama de metodologías y tecnologías para alcanzar la seguridad. Algunas de estas modificaciones son:
- Reestructurar los módulos, las integraciones y las interfaces, entre otras cosas, para reflejar la diversidad de los dispositivos soportados bajo la aplicación de los requisitos.
- Requerir que los dispositivos que acepten tarjetas habilitadas para EMV admitan la criptografía de curva elíptica o ECC.
- Mejorar el soporte para aceptar las tarjetas de banda magnética en pagos móviles.
En definitiva, la PCI DSS establece que la seguridad de los datos debe ser una de las prioridades de los comercios que gestionan operaciones con tarjetas de crédito o débito.
¿Y tú? ¿Cumples con los requisitos exigidos por la industria? ¿Cómo asegurar las operaciones que realizas día a día? ¿Cómo proteger los datos financieros de tus clientes?
Para ello, existen herramientas como la tokenización, lo que aporta mayor seguridad para tu negocio y mejor experiencia de usuario para tus clientes.
Si quieres saber más detalles acerca de la normativa, acompáñanos cada semana en nuestro blog y no te pierdas nada.