Niveles de cumplimiento de PCI DSS: a menudo nos preguntan sobre los niveles de cumplimiento de PCI DSS. Intentaremos explicarlo; ¿Está considerando aceptar tarjetas de crédito como forma de pago? ¿O ya acepta tarjetas de crédito y ha experimentado un crecimiento sustancial en su volumen anual de transacciones? ¿Cuáles son sus responsabilidades como comercio o proveedor de servicios? ¿Has respondido la mayoría de las preguntas con sí? ¡Agárrate fuerte ya que es un proceso divertido que debe completarse anualmente!
Niveles de cumplimiento de PCI DSS para comercios
Afortunadamente, el Consejo de Seguridad PCI y las 5 marcas de tarjetas (Visa, MasterCard, American Express, Discover y JCB) han descrito con detalle lo que se espera de los comercios. Un comercio se define como alguien que almacena, procesa y transmite información de tarjetas de crédito y tiene una identificación a tal efecto (merchant ID). Cada comercio se clasifica como un “nivel”, en función de la cantidad de transacciones que procesan en un año, resumidas de la siguiente manera:
- Nivel 1 ( > 6 millones de transacciones)
- Nivel 2 ( de 1 millón a 6 millones de transacciones)
- Nivel 3 ( de 20k a 1 millón de transacciones)
- Nivel 4 (<20k transacciones)
Determinar el nivel de PCI DSS a menudo plantea preguntas. Las marcas de tarjetas de crédito recomiendan que los comercios se comuniquen con su entidad adquirente y, con la asistencia del banco, completen los siguientes pasos:
- Determine el nivel del comercio utilizando el volumen de transacciones del período de 52 semanas más reciente.
- Confirme los requisitos de validación PCI necesarios.
- Involucre a un proveedor certificado (PCI-QSA), según le corresponda, y siga los procedimientos de validación.
Una vez que un comercio ha sido verificado como conforme con el standard PCI DSS, debe presentar los requisitos de validación a su banco adquirente, que luego informará a las marcas de tarjetas el estado de cumplimiento PCI del comercio.
Niveles PCI DSS para proveedores de servicios
Entonces, si no tiene un ID de comercio, ni está utilizando una marca de pago por tarjeta… ¿qué debe hacer? Lo siguiente es la definición del PCI Standard Security Council (SSC) de un proveedor de servicios:
Entidad empresarial que no es una marca de pago, directamente involucrada en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta. Esto también incluye compañías que brindan servicios que controlan o podrían afectar la seguridad de los datos de la tarjeta.
Para los proveedores de servicios hay dos niveles, en función del volumen de transacciones que se procesan:
- Nivel 1 (más de 300k transacciones anuales)
- Nivel 2 (menos de 300k transacciones anuales)
Dicho esto, si su organización opera como un proveedor de servicios (sin importar en qué nivel se considere), es posible que desee considerar el valor para su negocio de completar una Auditoría PCI Nivel 1, también conocida como PCI ROC (Report on Compliance – Informe de cumplimiento). Este proceso debe completarse utilizando un asesor Qualified Security Assessor (QSA), que validará el estado de cumplimiento PCI de su organización y, si es conforme con todos los requisitos, le emitirá un certificado de cumplimiento (AOC Attestation of Compliance) que puede utilizar ante terceras partes para demostrar su estado de cumplimiento PCI PCI Compliance status.
Los proveedores de servicios por debajo del umbral de procesamiento de 300k transacciones anuales, pueden completar SAQ-D (el único SAQ que a los proveedores de servicios les es permitido completar por el PCI SCC)
Esfuerzo empresarial
Ahora que hemos esbozado cuáles son los diversos niveles de cumplimiento PCI DSS, debe averiguar qué nivel actual tiene y luego iniciar el proceso de cumplimiento. Recomendamos involucrar en este proceso a sus departamentos de finanzas, TI y negocio, ya que el cumplimiento de PCI no es solo un problema de TI, es un problema de toda la operativa de negocio.
¿Necesita ayuda para moverse por el complejo mundo del cumplimiento PCI? Contáctenos si tiene alguna pregunta.