Si tu negocio procesa pagos con tarjeta de crédito, debes cumplir con PCI DSS. Los estándares de seguridad PCI tienen 12 requisitos que pueden parecer simples, pero se desglosan en cientos de sub-requisitos detallados. Para cumplirlos, es necesario adoptar una rigurosa política de seguridad de la información. Aquí aprenderás qué es el cumplimiento de PCI, incluyendo una lista de verificación de cumplimiento (checklist) que puede ayudarte a cumplir con el mismo.
PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago) es el estándar global de seguridad de datos adoptado por las marcas de tarjetas de pago para todas las entidades que procesan, almacenan o transmiten datos del titular de la tarjeta y/o datos de autenticación sensibles. Se trata de una iniciativa respaldada por compañías de tarjetas de crédito y comerciantes, que proporciona una estrategia unificada para la protección de la información de los usuarios de tarjetas de crédito. Esto con la finalidad de combatir el fraude con tarjetas de crédito y las violaciones de seguridad relacionadas.
Para entenderla un poco mejor, es necesario indicar que existen cuatro niveles de cumplimiento, asignados a empresas en función del volumen de transacciones anuales que procesan. Estos niveles son: Nivel 1: Más de 6 millones de transacciones al año o empresas que han experimentado una violación; Nivel 2: Entre 1 y 6 millones de transacciones; Nivel 3: Entre 20,000 y 1 millón de transacciones en línea; Nivel 4: Menos de 20,000 transacciones en línea o menos de 1 millón de transacciones físicas con tarjeta.
Las empresas de Nivel 1 deben realizar una auditoría interna anual y un escaneo de PCI trimestral por un proveedor externo aprobado. Aquellas en los niveles 2-4 deben realizar una autoevaluación anual utilizando un cuestionario designado, y pueden ser requeridas para un escaneo de PCI trimestral (pero no es obligatorio).
La norma contiene controles diseñados para proteger los datos de las tarjetas de crédito que deben practicarse diariamente en todas las operaciones de pago. El cumplimiento de PCI DSS puede diferir en los detalles según las actividades realizadas por cada empresa. Sin embargo, para seguir cumpliendo, todas las empresas deben considerar cinco principios básicos:
A grandes rasgos, se deben considerar y cumplir 12 requisitos. Estos son: 1. Mantener un firewall; 2. Usar contraseñas únicas y cambiarlas regularmente; 3. Implementar medidas físicas y virtuales para proteger datos almacenados; 4. Cifrar la transmisión de datos a través de redes públicas; 5. Utilizar y actualizar regularmente el antivirus; 6. Desarrollar y mantener sistemas y aplicaciones seguros; 7. Restringir el acceso a datos sensibles; 8. Limitar el acceso a los componentes del sistema con autenticación; 9. Restringir el acceso físico a los datos; 10. Monitorear el acceso a recursos de red y datos para proporcionar un registro de auditoría; 11. Probar regularmente sistemas y procesos de seguridad y; 12. Mantener una política de seguridad clara para todo el personal.
Aunque la certificación PCI puede ser un proceso prolongado (de 6 meses hasta 1 año), en algunos casos no es necesaria. En tales situaciones, es esencial utilizar el checklist de los 12 requisitos y sus subapartados como una guía para asegurar el cumplimiento de los estándares de seguridad PCI. Este enfoque permite a las empresas evaluar y mejorar continuamente sus prácticas de seguridad de datos, mitigando riesgos y fortaleciendo la protección de la información confidencial de los titulares de tarjetas.
Además, adoptar una mentalidad de cumplimiento proactivo y permanente, más allá de la certificación formal, refleja un compromiso sólido con la seguridad de los datos y la confianza del cliente. En última instancia, el cumplimiento efectivo de los estándares PCI no solo es una obligación, sino también una oportunidad para fortalecer la reputación y la credibilidad de tu empresa en el mercado.