Es probable que acepte pagos con tarjeta de crédito y débito todos los días. Pero con tantos datos confidenciales, necesita una protección sólida contra los piratas informáticos. Afortunadamente, existe una lista de verificación estandarizada de medidas para defenderse del fraude.
Estos protocolos de seguridad se denominan Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Como esto es un bocado, la gente simplemente dice que una empresa “cumple con PCI” para significar que sigue estas estrictas medidas de protección. Las principales compañías de tarjetas de crédito hacen cumplir estas reglas.
Analicemos por qué su pequeña empresa debe cumplir con PCI.
¿Qué es el cumplimiento de PCI?
El cumplimiento de PCI es una prescripción de pautas de seguridad destinadas a proteger los datos de los titulares de tarjetas durante las transacciones. Los estándares fueron encarnados en 2004 por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). Este organismo está compuesto por las principales compañías de tarjetas de crédito como Visa, MasterCard, American Express, Discover y JCB.
Cualquier empresa que maneje información de tarjetas de crédito debe cumplir con estas regulaciones. Esto se debe a que el cumplimiento de PCI también protege a las empresas. Los protocolos reducen el riesgo de violaciones de datos y fraude con tarjetas de crédito. Los consumidores también confían en entidades que se toman en serio la seguridad. Esta combinación de beneficios hace que su organización sea más segura y más exitosa.
Por qué el cumplimiento de PCI es crucial para las pequeñas empresas
Existen ventajas en el mundo real al seguir estos estrictos fundamentos de seguridad. Estos son los tres motivos principales detrás del cumplimiento:
- Protege los datos del cliente: El cumplimiento de PCI garantiza que los datos de los clientes se manejen de forma segura, lo que reduce el riesgo de filtraciones de datos destructivas para que usted y sus clientes duerman mejor por la noche.
- Evita Sanciones Financieras: El incumplimiento puede dar lugar a fuertes multas por parte de las compañías de tarjetas de crédito o los bancos. Estas multas pueden ascender a seis cifras, lo que puede paralizar rápidamente a una pequeña empresa.
- Fortalece la confianza del cliente: Se necesita mucho trabajo y mucho tiempo para ganarse la confianza de una persona. El cumplimiento de PCI acelera este proceso a medida que genera tranquilidad entre su base de clientes.
Comprender los requisitos esenciales de cumplimiento de PCI
PCI DSS implica doce requisitos principales. Algunos mandatos implican más conocimientos técnicos para implementar. Pero todos son cruciales para un entorno de pago seguro.
Exploremos cada uno de los requisitos fundamentales.
- Instalar y mantener una red segura: Este paso incluye el uso de firewalls para proteger los datos y bloquear el acceso no autorizado a su red.
- Utilice contraseñas sólidas y configuraciones de seguridad: Evite el uso de contraseñas predeterminadas o débiles para sistemas y dispositivos. Utilice contraseñas seguras y únicas que sean difíciles de adivinar.
Relacionado: Cómo crear una contraseña segura
- Proteja los datos almacenados del titular de la tarjeta: Cifre datos confidenciales, como números de tarjetas de crédito, al almacenarlos. Almacene únicamente los datos necesarios para las operaciones comerciales y asegúrese de que estén protegidos.
- Cifrar la transmisión de datos del titular de la tarjeta: Utilice protocolos de cifrado como SSL o TLS para proteger los datos cuando se transmiten a través de redes públicas.
- Utilice y mantenga el software antivirus: El software antivirus ayuda a evitar que el malware y otras amenazas comprometan sus sistemas. Mantenga este software actualizado para asegurarse de que pueda defenderse contra nuevas amenazas.
- Desarrollar y mantener sistemas y aplicaciones seguros: Actualice el software periódicamente, incluidos los parches de seguridad, para protegerse contra vulnerabilidades conocidas.
- Restringir el acceso a los datos del titular de la tarjeta: Limite el acceso únicamente a los empleados que lo necesiten para sus tareas laborales. Este paso reduce el riesgo de que personas no autorizadas accedan a los datos.
- Identificar y autenticar el acceso a los componentes del sistema: Implemente ID de usuario y contraseñas para monitorear quién accede a los datos de los titulares de tarjetas y a los componentes del sistema.
- Restringir el acceso físico a los datos del titular de la tarjeta: Asegúrese de que cualquier copia física de los datos del titular de la tarjeta, como recibos y fotocopias, se almacene de forma segura y solo sea accesible para el personal autorizado.
- Seguimiento y monitoreo del acceso a los recursos de la red: Utilice mecanismos de registro para monitorear el acceso a los recursos de la red y a los datos de los titulares de tarjetas. Revise periódicamente estos registros para detectar cualquier actividad sospechosa.
- Pruebe periódicamente los sistemas y procesos de seguridad: Realice análisis de vulnerabilidades y pruebas de penetración para identificar y resolver debilidades en sus sistemas de seguridad.
- Mantener una Política de Seguridad de la Información: Desarrolle una política de seguridad escrita que describa claramente el enfoque de su organización respecto del cumplimiento de PCI y la protección de datos.
Los cuatro niveles de cumplimiento de PCI
El cumplimiento de PCI se clasifica en cuatro niveles según la cantidad de transacciones con tarjeta de crédito que su empresa procesa anualmente. Comprender estos niveles puede ayudarle a determinar qué requisitos se aplican a su situación.
| Nivel 1 | Más de 6 millones de transacciones con tarjeta al año desde todos los canales de venta. | Debe someterse a una evaluación anual in situ realizada por un asesor de seguridad calificado (QSA). |
| Nivel 2 | 1 a 6 millones de transacciones con tarjeta anualmente desde todos los canales de venta. | Debe completar un Cuestionario de autoevaluación (SAQ) anual y realizar un escaneo de red trimestral por parte de un Proveedor de escaneo aprobado (ASV). |
| Nivel 3 | Entre 20.000 y 1 millón de transacciones de comercio electrónico al año. | Debe completar un SAQ anual y someterse a análisis de red trimestrales. |
| Nivel 4 | Menos de 20.000 transacciones de comercio electrónico al año, O 1 millón o menos de transacciones de todos los canales de ventas. |
Debe completar un SAQ anual y realizar exploraciones trimestrales. |
La mayoría de las pequeñas empresas se encuentran en el Nivel 3 o 4. Como resultado, a menudo pueden gestionar el cumplimiento por sí mismas con las herramientas y la orientación adecuadas.
Lograr el cumplimiento de PCI para su pequeña empresa
Lograr el cumplimiento de PCI puede resultar abrumador. Sin embargo, cada paso es manejable incluso entre organizaciones más pequeñas. Aquí hay una guía paso a paso para ayudarlo a comenzar:
Paso 1: determine su nivel de cumplimiento de PCI
Identifique su nivel en función del volumen de transacciones con tarjetas de crédito que su empresa procesa anualmente. Esta cifra dicta el tipo de evaluación y documentación que debe completar.
Paso 2: Complete un cuestionario de autoevaluación (SAQ)
El SAQ es una serie de preguntas que evalúan las prácticas de seguridad de su organización. Elija el formulario que coincida con su modelo de negocio y métodos de pago. Por ejemplo, SAQ A es adecuado para comerciantes que subcontratan todas las funciones de datos de titulares de tarjetas a un tercero.
Consejo: Los SAQ y recursos relacionados se pueden encontrar en el sitio web del PCI Security Standards Council.
Paso 3: realizar un análisis de vulnerabilidades
Trabaje con un proveedor de escaneo aprobado (ASV) para realizar una auditoría de vulnerabilidad de sus sistemas. Este procedimiento pone de manifiesto las debilidades de seguridad en su red.
Paso 4: abordar cualquier brecha de seguridad
Analice los resultados del SAQ y del escaneo de vulnerabilidades para abordar cualquier debilidad identificada. Esta respuesta podría implicar actualizar su firewall, mejorar las prácticas de contraseñas o implementar un cifrado más sólido.
Paso 5: Presentar la certificación de cumplimiento (AOC)
Una vez que haya superado las evaluaciones y escaneos necesarios, envíe su declaración de cumplimiento a su banco o procesador de pagos. Esta documentación demuestra que ha cumplido los requisitos de PCI DSS.
Paso 6: Mantener el cumplimiento continuo
El cumplimiento de PCI es un esfuerzo continuo. Supervise periódicamente sus prácticas de seguridad, realice análisis trimestrales y mantenga el software y los sistemas actualizados para mantenerse a salvo.
Relacionado: 14 mejores prácticas de seguridad de cumplimiento de PCI para su empresa
Mitos comunes sobre el cumplimiento de PCI desacreditados
Hay montones de afirmaciones falsas y rumores sobre el cumplimiento de PCI. Desmentimos las afirmaciones más comunes.
- “El cumplimiento de PCI es sólo para grandes empresas”: Las entidades de cualquier tamaño deben cumplir con PCI DSS para aceptar tarjetas bancarias. De hecho, los establecimientos más pequeños suelen ser más atractivos para los delincuentes debido a la percepción de una seguridad deficiente.
- “El cumplimiento de PCI garantiza una seguridad total”: El cumplimiento de PCI es sólo una parte de su estrategia más amplia de seguridad de datos. No es del todo infalible y aún pueden producirse violaciones de datos. Aún así, es una medida de protección importante que reduce drásticamente la probabilidad de ser víctima de fraude.
- “El cumplimiento de PCI es demasiado caro para las pequeñas empresas”: Las empresas más pequeñas disfrutan de un proceso de aprobación más laxo (y menos costoso). Además, independientemente del tamaño, la prevención es la mejor medicina. Una filtración de datos puede generar costos masivos y daños a la reputación, por lo que el cumplimiento de PCI es una ruta prudente y rentable.
Preguntas frecuentes
¿Qué significa PCI?
PCI significa Industria de tarjetas de pago. Este término se refiere al grupo de empresas que procesan transacciones con tarjetas bancarias. Algunas entidades destacadas son Visa, Mastercard y Discover.
¿Qué significa el cumplimiento de PCI?
El cumplimiento de PCI significa adherirse a los estándares descritos en el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). El objetivo del cumplimiento es operar su negocio de forma segura para salvaguardar los datos de los consumidores y minimizar el riesgo de fraude y ataques cibernéticos.
¿Cuáles son los cuatro niveles de cumplimiento de PCI?
Los cuatro niveles de cumplimiento de PCI giran en torno a la cantidad de transacciones con tarjetas de crédito que una empresa procesa anualmente. Aquí están los criterios para cada uno:
- Nivel 1: Más de 6 millones de transacciones al año.
- Nivel 2: De 1 a 6 millones de transacciones por año.
- Nivel 3: Entre 20.000 y 1 millón de transacciones de comercio electrónico cada año.
- Nivel 4: Menos de 20.000 transacciones de comercio electrónico o hasta 1 millón de transacciones en todos los canales cada año.
¿El cumplimiento de PCI es un requisito legal?
El cumplimiento de PCI no es un mandato legal. Es un requisito impuesto por las compañías de tarjetas de crédito y los bancos. El incumplimiento puede generar multas, aumento de las tarifas de transacción o la posibilidad de ser excluido del procesador de pagos.
¿Puedo cumplir con PCI yo mismo?
Sí, los propietarios de pequeñas empresas pueden lograr el cumplimiento de PCI por sí solos. Las entidades con menos de 20.000 transacciones de comercio electrónico al año, o menos de un millón de transacciones de cualquier canal de ventas, tienen requisitos de cumplimiento más laxos. Si su empresa se incluye en cualquiera de estas dos categorías, es más probable que usted mismo tenga éxito en el manejo del cumplimiento de PCI.
