El nivel de rigurosidad del cumplimiento de PCI que su empresa está obligada a seguir depende de en cuál de los cuatro niveles se encuentre su empresa.
La industria de tarjetas de pago, o PCI, está formada por las principales marcas de tarjetas de crédito como MasterCard, Discover, American Express y Visa, que establecen los estándares de seguridad para cualquier empresa que se ocupe de la información de tarjetas de crédito.
El Cumplimiento de PCI, por lo tanto, se refiere a la práctica de adherirse a los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Estos estándares están destinados a proteger los datos de las tarjetas de crédito de los consumidores contra el robo.
Además de ser bueno para sus consumidores, la mayoría de los proveedores cuenta mercantil. Las empresas de todos los tamaños deben cumplir con PCI, o se arriesgan a pagar tarifas y multas. A continuación, le mostramos cómo asegurarse de que su empresa cumpla con PCI.
Los cuatro niveles de cumplimiento de PCI
Una razón por la que los comerciantes luchan para asegurarse de que cumplen con PCI es porque hay cuatro niveles de cumplimiento, cada uno con diferentes estándares. Los cuatro niveles se establecen en función de la cantidad de transacciones con tarjetas de pago que realiza una empresa cada año.
- Nivel uno: empresas que procesan más de seis millones de transacciones de comercio electrónico cada año.
- Nivel dos: empresas que procesan entre un millón y seis millones de transacciones de comercio electrónico cada año.
- Nivel tres: empresas que procesan entre 20.000 y un millón de transacciones de comercio electrónico al año.
- Nivel cuatro: empresas que procesan menos de 20.000 transacciones de comercio electrónico por año, o menos de 1.000.000 de transacciones al año de todos los canales de venta (por ejemplo, comercio electrónico y minoristas).
Si no está seguro de en qué nivel se encuentra su empresa, es posible que sus informes de punto de venta (POS) puedan decírselo. “Todos los volúmenes de transacciones de tarjetas de crédito que procesa su organización se agregan a través de múltiples canales (es decir, terminales de punto de venta minorista en la tienda y pasarelas de pago en línea) y se resumen para determinar un nivel de cumplimiento de PCI apropiado”, explicó BigCommerce.
Las empresas que cumplen con el umbral del nivel uno tienen requisitos de cumplimiento de PCI más estrictos que cumplir que las empresas del nivel cuatro. Si bien este artículo abordará los requisitos para las empresas en el nivel cuatro, vale la pena saber que cualquier negocio, independientemente del número de sus transacciones anuales, puede pasar al nivel uno si sufre una violación de datos.
Una de las formas más sencillas de garantizar el cumplimiento de PCI es utilizar un sistema POS moderno.
Los 12 requisitos de las PCI DSS
La Guía oficial de referencia rápida de PCI DSS establece 12 requisitos que las empresas deben seguir para mantener seguros los datos de los clientes.
- Instale un firewall para proteger los datos del titular de la tarjeta.
- No utilice valores predeterminados proporcionados por el proveedor para contraseñas y otros parámetros de seguridad.
- Cifre los datos de los titulares de tarjetas que se transmiten a través de redes públicas abiertas.
- Almacene los datos del titular de la tarjeta de forma segura.
- Actualice periódicamente los programas antivirus y la protección contra malware.
- Mantener sistemas y aplicaciones seguros.
- Restrinja el acceso a los datos del titular de la tarjeta solo a aquellos que lo necesiten en su negocio.
- Restrinja el acceso físico a los datos del titular de la tarjeta (por ejemplo, acceso al dispositivo).
- Exigir que los usuarios inicien sesión o se autentiquen para acceder a los componentes del sistema.
- Rastree y monitoree el acceso a los recursos de la red y los datos de los titulares de tarjetas.
- Pruebe los sistemas de seguridad con regularidad.
- Cree y actualice periódicamente una política de seguridad de la información.
Estos son requisitos relativamente amplios, pero tienen implicaciones específicas. Por ejemplo, asegúrese de usar y actualizar regularmente contraseñas seguras («12345» es un ejemplo de contraseña débil). Agregue protección de firewall a su red y computadoras; y asegúrese de que el enrutador inalámbrico de la tienda esté protegido con contraseña.
Una de las formas más sencillas de garantizar el cumplimiento de PCI es utilizar un sistema POS moderno. «Los sistemas de procesamiento de pagos modernos utilizan la tokenización y el cifrado para proteger estos datos cuando se procesa una venta», explicó Merchant Maverick. “Nunca hay una buena razón para almacenar esta información digitalmente, ya sea en su disco duro o en el servidor de su sitio web. Esto se duplica para almacenar físicamente la información de la tarjeta de crédito. Nunca escriba el número de tarjeta de crédito de un cliente, la fecha de vencimiento o el CVV a menos que sea absolutamente necesario «.
Cómo comenzar con el cumplimiento de PCI
¿No está seguro de si su empresa cumple al 100% con PCI? Puede lograr una mayor seguridad para los datos de sus clientes en tres pasos.
Primero, audite los datos de titulares de tarjetas que recopila actualmente, haga un inventario de sus activos de TI y evalúe qué procesos tiene actualmente para recopilar información del cliente. Analice estos elementos de sus operaciones comerciales en busca de vulnerabilidades que un pirata informático pueda aprovechar para robar datos de titulares de tarjetas.
A continuación, tome medidas para abordar esas vulnerabilidades. Esto podría incluir actualizar la seguridad en su sitio de comercio electrónico o dejar de almacenar datos de titulares de tarjetas. A menos que esté utilizando algún tipo de sistema de facturación recurrente, no es necesario mantener los datos del titular de la tarjeta en el archivo. Los programas de lealtad se pueden ejecutar simplemente usando el correo electrónico de alguien o el historial de transacciones, lo que no requiere almacenar números PIN y números de tarjeta.
Por último, envíe sus informes de cumplimiento al banco o las marcas de tarjetas con las que hace negocios (por ejemplo, Visa, MasterCard, American Express o Discover). Esto lo ayudará a evitar multas o tarifas que pueden acumularse rápidamente al no mantener el cumplimiento de PCI.
Conoce mas sobre todas aplicaciones para conseguir casas para limpiar por tu cuenta lee nuestra guía al respecto.
