¿Qué es PCI DSS?
El estándar PCI DSS (Payment Card Industry Data Security Standard) hace mención a una serie de requisitos de obligado cumplimiento cuyo objetivo es el de garantizar la seguridad de la información privada de los usuarios que disponen de tarjetas de crédito y/o débito.
Los requisitos marcados por el estándar PCI DSS deben de cumplirse por todas aquellas empresas que manejan datos de titulares de tarjetas de pago.
El nacimiento de esta normativa se debe a la gran cantidad de violaciones de seguridad y filtraciones de datos que se llevaron a cabo con las tarjetas de crédito y débito. De este modo, las principales marcas de tarjetas como American Express, Visa, Mastercard, Discover y JCB formaron el PCI SSC (Payment Card Industry Security Standards Council) en 2006 con el fin de crear un marco regulatorio que garantice la seguridad entre todas las transacciones realizadas a través de tarjetas de pago.
Es importante destacar que el estándar PCI DSS no está contemplado dentro del marco jurídico de cada país, pero la obligación de cumplir con estos requisitos se puede ver reflejada a través de contratos entre comerciantes, bancos adquirientes y marcas de pago. Además, no cumplir con este estándar puede suponer el incumplimiento del Reglamento General de Protección de Datos (RGPD).
¿Qué establece esta normativa?
El estándar PCI DSS es de aplicación para cualquier organización que pueda procesar, almacenar o transmitir datos de titulares de tarjetas de crédito o débito. Con el fin de determinar los requisitos que aplican a cada negocio de forma individual, PCI SSC creó un sistema de cuatro niveles para clasificar a las empresas en función de su tamaño y riesgo.
Estos niveles de riesgo se basan en el número total de operaciones con tarjeta de pago que una organización realiza anualmente:
- Nivel 1: organizaciones que procesan más de 6 millones de transacciones al año.
- Nivel 2: organizaciones que procesan entre 1 y 6 millones de transacciones al año.
- Nivel 3: organizaciones que procesan entre 20.000 y 1 millón de transacciones al año.
- Nivel 4: organizaciones que procesan menos de 20.000 transacciones al año.
Cómo implementar la normativa PCI DSS
El estándar PCI DSS está compuesto por doce requisitos a cumplir, clasificados en 6 aspectos fundamentales:
1. Desarrollar y mantener una red segura.
- Instalar y mantener una configuración firewall para proteger los datos.
- No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
2. Proteger los datos de los titulares de las tarjetas.
- Salvaguardar la información personal de los propietarios de las tarjetas.
- Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
3. Establecer un programa de gestión de vulnerabilidades.
- Usar y actualizar regularmente un software antivirus.
- Desarrollar y mantener sistemas y aplicaciones seguras.
4. Implementar medidas sólidas de control de acceso.
- Limitar el acceso a la información únicamente a las empresas que lo necesiten.
- Asignar una identificación única a cada persona con acceso al sistema.
- Restringir el acceso físico a los datos solo a los propietarios de la tarjeta.
5. Monitorizar y testar regularmente las redes y los accesos.
- Rastrear el acceso a los recursos de la red y datos de los propietarios de tarjetas.
- Realizar pruebas periódicas en los sistemas y procesos de seguridad.
6. Mantener una política de seguridad de la información.
- Crear una política que contemple y mantenga actualizada los aspectos relacionados con seguridad de la información.
Cómo certificarse en PCI DSS
Para obtener la certificación bajo este estándar, será necesario definir una estrategia que cumpla con los requerimientos de aplicación en base al nivel asignado, así como disponer de las evidencias documentales que así lo avalen. En el caso de empresas que realicen grandes cantidades de transacciones, será necesario ejecutar una auditoría externa por parte de una entidad avalada por el PCI SSC. El resto de las organizaciones a las que no sea de aplicación la realización de una auditoría externa, únicamente será necesario llevar a cabo una autoevaluación.
Independientemente del caso, será conveniente someterse a un escaneo trimestral de la red con el fin de asegurar un nivel alto de seguridad.
Global Technology tu aliado para la protección empresarial
Tal y como se ha desarrollado en los apartados anteriores, el estándar PCI DSS es de aplicación a:
- Comerciantes.
- Entidades emisoras.
- Procesadores.
- Proveedores de servicios de pago.
- Adquirente (institución que procesa pagos con tarjetas de crédito o débito).
Además, si una empresa considera necesario formar parte del sistema de pago a través de tarjetas para prestar su servicio o trabajando con empresas que sí disponen de PCI DSS, también deberán cumplir con este requisito. Algunas de ellas son:
- Proveedores de servicios gestionados, en la nube o de centros de datos.
- Proveedores de infraestructura tecnológica.
- Servicios de alojamiento web.
- Proveedores de desarrollo de software.
- Servicio de externalización de personal (outsourcing).
En estos casos, aunque el estándar PCI DSS no les pueda aplicar directamente, sí que podrían participar en las evaluaciones de sus clientes.
Desde Global Technology te ayudamos en todas las fases para certificarte en el estándar PCI DSS. Gracias a su cumplimiento, obtendrás importantes beneficios como:
- Construir una reputación fundamentada en la transparencia y en la confianza ya que los clientes podrán procesas sus datos de pago de una forma segura.
- Controlar el riesgo de sufrir incidentes relacionados con la seguridad de la información. Al implantar los controles necesarios para salvaguardar los datos de pago, se reduce la posibilidad de sufrir cualquier tipo de riesgo, como por ejemplo, un ciberataque.
- Evitar sanciones derivadas de incumplimientos legales. Por ejemplo, el Reglamento General de Protección de Datos (RGPD).
Si necesitas adaptar tu sistema de cobro con tarjeta a esta normativa, no dudes en contactar con nosotros.
Consultora de GRC