Cumplimiento normativo de la PCI

El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI) (organización formada por todas las principales marcas de tarjetas de crédito) diseñó la Normativa de Seguridad de Datos de la Industria de Tarjetas de Pago en 2006, justo cuando internet comenzaba a convertirse en una herramienta global importante para las empresas. El cumplimiento normativo de la PCI es una certificación proporcionada por el PCISS, requerida a las empresas que procesan transacciones con tarjetas de crédito.

A medida que internet fue expandiéndose a principios de siglo, las empresas empezaron a implementar sistemas de procesamiento de pagos en línea. El aumento de la actividad empresarial en internet ha ido de la mano del nivel de comodidad con que los consumidores utilizan tarjetas de crédito para comprar en línea.

La Normativa de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) define normas de seguridad de pago que garantizan que todos los vendedores acepten, almacenen, procesen y transmitan de forma segura los datos del titular de la tarjeta durante una transacción con tarjeta de crédito. En respuesta al aumento del robo de datos, las cinco empresas de tarjetas de crédito principales (Visa, MasterCard, Discover, American Express y JCB) crearon la PCI DSS.

La PCI DSS se creó para controlar y prevenir las brechas de datos de consumidores y bancos. Con la creación de esta normativa, así como del Consejo de Normas de Seguridad de la PCI (organismo independiente formado para supervisar y validar el cumplimiento normativo para las empresas), el cumplimiento de la PCI se convirtió en un paso esencial para regular la seguridad de la industria de pagos con tarjeta de crédito y proteger frente a ciberataques a consumidores y empresas.

El propio Consejo es responsable de establecer las normas y los requisitos que deben cumplir los vendedores, pero una parte importante de la política promulgada por PCI SSC exige el cumplimiento normativo de la PCI autorregulado. Se transfirió la responsabilidad del mantenimiento del cumplimiento normativo a las compañías de tarjetas de crédito, que deben aplicar las normas a los vendedores y las organizaciones.

Todo comercio con un identificador capaz de aceptar tarjetas de pago debe seguir estas normas para protegerse contra las brechas de datos. Los requisitos van desde establecer políticas de seguridad de datos para su empresa y sus empleados, hasta eliminar los datos de las tarjetas de su sistema de procesamiento y terminales de pago.

Requisitos de cumplimiento normativo de la PCI

Construir y mantener una red segura. Las empresas deben crear su propia política de configuración de cortafuegos y desarrollar un procedimiento de prueba de la configuración diseñado para proteger los datos del titular de la tarjeta.

Proteger los datos del titular de la tarjeta. Es un requisito exclusivo para las empresas que retienen la información del titular de la tarjeta entre transacciones. Las empresas que no almacenan automáticamente los datos del titular de la tarjeta evitan posibles brechas de seguridad de datos y pueden lograr el cumplimiento normativo más fácilmente.

Mantener un programa de gestión de vulnerabilidades. El software antivirus debe utilizarse y actualizarse frecuentemente como protección contra nuevas formas de malware. Si sus datos se alojan en servidores subcontratados, la responsabilidad de contar con un software antivirus adecuado recae en el proveedor de dichos servidores.

Implementar medidas sólidas de control de accesos. Limitar el número de personal es un paso necesario para reducir las probabilidades de una brecha de seguridad. Para ello, puede asignarse un identificador único a cada persona con acceso a un ordenador.

Mantener una política de seguridad de la información. Esta política debe definir los usos aceptables de la tecnología, las revisiones y los procesos anuales para el análisis de riesgos, los procedimientos de seguridad operativa y otras tareas administrativas generales.

Los requisitos de la PCI enumerados se aplican a todos los componentes de hardware y aplicaciones web:

• Lectores de tarjetas
• Sistemas de punto de venta
• Redes de almacenes y enrutadores de acceso inalámbrico
• Almacenamiento y transmisión de datos de tarjetas de pago
• Datos de tarjetas de pago almacenados en registros impresos
• Aplicaciones de pago en línea y carritos de la compra

Alcanzar y mantener la conformidad con los requisitos de PCI puede suponer un gran desafío. A menudo implica implementar controles de seguridad, contratar consultores externos costosos para instalar software y hardware especializado, y firmar contratos vinculantes en los que usted acepta las condiciones del banco para el cumplimiento anual de la normativa PCI. Por lo general, también se requieren autoevaluaciones anuales.

Las tecnologías que permiten la eficiencia empresarial día a día también facilitan el acceso de los hackers a información importante. Por eso, una empresa que acepta tarjetas de crédito, aunque sea una pequeña cantidad, está igual de obligada a proteger esos datos que un gran minorista que procesa millones de transacciones.

Por lo tanto, cuando se implementan correctamente, los requisitos del PCI DSS proporcionan a todas las empresas una sólida defensa contra la ciberdelincuencia y la responsabilidad, al mismo tiempo que garantizan un alto nivel de satisfacción y seguridad para el cliente.