Si su empresa debe cumplir con PCI-DSS y no tiene idea de qué se trata, le damos 5 respuestas fáciles de entender, que lo ayudarán a conocer y comenzar a comprender de qué se trata PCI-DSS para enfrentar este nuevo desafío con éxito.
5 preguntas fáciles de entender
1. ¿Qué es PCI-DSS?
PCI DSS – en inglés, Payment Card Industry Data Security Standard– es un estándar de seguridad desarrollado para proteger las transacciones con tarjetas de pago y es administrado por el PCI SSC – en inglés, Payment Card Industry Security Standards Council). Este organismo ha sido fundado en 2006 por los cinco principales proveedores de tarjetas de crédito: MasterCard, Visa, Discover, Amex y JCB International. El consejo PCI SSC garantiza que los proveedores de servicios y comerciantes (vendedores y organizaciones) protejan la información de tarjetas de crédito de sus clientes almacenada y durante la ejecución de sus transacciones.
El cumplimiento con PCI DSS no es un requerido por ley. Sin embargo, es muy recomendable que los comerciantes que aceptan pagos con tarjeta sigan las normas establecidas por el consejo PCI SSC para evitar cualquier posible infracción de datos y evitar fuertes multas por su incumplimiento. Los requisitos para cumplir con PCI son relativos al funcionamiento de su empresa.
2. ¿Qué necesito para empezar a cumplir con PCI DSS?
Existen varios niveles de cumplimiento de PCI que dependen de transacciones con tarjetas de pago que su empresa procesa cada año (período de 12 meses). Hay un componente que sigue siendo necesario en todos los ámbitos, que es que una empresa realmente debe lograr el 100% de cumplimiento de PCI, a fin de mantener seguros los datos de tarjetas de pago y de sus clientes.
El estándar engloba 6 objetivos principales que se dividen en 12 requerimientos que se describen a continuación:
Desarrolle y mantenga redes y sistemas seguros.
- Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta.
- No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
Proteger los datos del titular de la tarjeta.
- Proteja los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
- Cifrar la transmisión de los datos del titular de la tarjeta en las reded públicas abiertas.
Mantener un programa de administración de vulnerabilidad.
- Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.
- Desarrollar y mantener sistemas y aplicaciones seguros.
Implementar medidas sólidas de control de acceso.
- Restringir el acceso a los datos titular de la tarjeta según la necesidad de saber que tenga la empresa.
- Identificar y autenticar el acceso a los componentes del sistema.
- Restringir el acceso físico a los datos del titular de la tarjeta.
Supervisar y evaluar las redes con regularidad.
- Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
- Probar periódicamente los sistemas y procesos de seguridad.
Mantener una política que aborde la seguridad de la información.
- Mantener una política que aborde la seguridad de la información para todo el personal.
En algunos casos, no se requiere para llevar a cabo el proceso de auditoría PCI DSS, en su lugar, se realiza el cuestionario de autoevaluación (SAQ). Existen varios tipos de SAQ, cada uno depende de qué nivel sea aplicable a su negocio.
En cada tipo de SAQ, se requiere que la compañía complete el Cuestionario de autoevaluación (SAQ) PCI DSS correspondiente y proporcione evidencia de que la compañía ha completado y aprobado un escaneo de vulnerabilidad con un proveedor de escaneo aprobado por PCI SSC (ASV).
Si desea alguna aclaración sobre la información aquí, visite el sitio web PCI Security Standards Council’s website.
3. ¿A quién se aplica el cumplimiento PCI?
El cumplimiento de PCI se aplica a CUALQUIER organización o comercio (incluyendo mercados y organizaciones internacionales) que almacene, procese o transmita datos de titulares de tarjetas. Algunos tipos de negocios a los que generalmente llega el estándar PCI-DSS son el comercio electrónico, los servicios de pago en línea, los bancos, los supermercados, las agencias de viajes y los procesadores de pagos.
4. ¿Qué sucede si no soy compatible con PCI?
Como se mencionó anteriormente, la ley no exige el cumplimiento de PCI, sin embargo, su empresa podría verse afectada por la pérdida de contratos, daños a la reputación y multas si se infringen los datos de sus clientes. A largo plazo, le costará mucho menos a su empresa cumplir con los requisitos de PCI DSS.
El mayor riesgo que tienen las empresas por no cumplir con PCI-DSS será desconfianza por parte de sus clientes y socios por no haber dado importancia a la seguridad. El estándar PCI-DSS contiene muy buenas recomendaciones para asegurar su negocio. Minimizará el riesgo de comprometer la confidencialidad, la integridad y el acceso a la información. Sus clientes y socios comerciales estarán muy agradecidos por no exponer su información.
5. ¿Con qué frecuencia se requiere validar el estándar PCI-DSS?
Los comercios deben demostrar el cumplimiento anualmente a través de un cuestionario de autoevaluación (SAQ) o un informe de cumplimiento (ROC) y su correspondiente documento AoC (en inglés, Attention of Compliance).
El cumplimiento requiere establecer y mantener un programa de PCI que incorpore políticas, procedimientos y tecnologías comerciales adecuadas para garantizar el cumplimiento continuo a través de la protección continua de los datos de las tarjetas de pago.
El estándar PCI-DSS, así como su negocio, se están adaptando continuamente a las nuevas necesidades del mercado. Motivo por el cual se desarrolla un proceso continuo en el que nuevas acciones y controles de seguridad fueron evaluados, corregidos e implementados año tras año.
Sobre el Autor:
Natalia Morando es profesional de seguridad en PCI con más de 12 años de experiencia