Cómo asegurarse de que su empresa cumpla con la política PCI

Se aplican diferentes niveles de cumplimiento de PCI a las empresas en función de su tamaño y ventas.

Los miembros de PCI incluyen las principales marcas de tarjetas de crédito como Mastercard, Discover, American Express y Visa.

Para garantizar la seguridad de los datos de los clientes, estos proveedores de tarjetas de crédito establecen estándares de seguridad para cualquier empresa que acepte sus tarjetas como forma de pago. Estos estándares se denominan Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Las empresas que se adhieren a estas reglas, que ayudan a prevenir el fraude con tarjetas de crédito y el robo de los datos de las tarjetas de crédito de los consumidores, se consideran «compatibles con PCI».

El cumplimiento de PCI protege el nombre de un cliente, el número de cuenta principal completo (PAN), la fecha de vencimiento y el código de seguridad de tres o cuatro dígitos de la tarjeta, también llamado valor de verificación de la tarjeta (CVV). Los estándares PCI-DSS también protegen los datos de autenticación confidenciales, que son datos incrustados en la banda magnética de la tarjeta o en el chip Europay, Mastercard, Visa (EMV) y se utilizan para procesar transacciones.

Al proteger tanto los datos de los titulares de las tarjetas como los de las tarjetas de crédito, los comerciantes pueden reducir el riesgo de fraude con tarjetas de crédito, que les costó a los estadounidenses $ 9,62 mil millones en 2019, según datos de El Informe Nilson.

Para ayudar a mitigar el fraude, la mayoría de los proveedores de cuentas comerciales requieren que sus clientes mantengan el cumplimiento de PCI y verificarán si una empresa cumple con PCI antes de permitir que ese comerciante use sus redes.

Si su empresa no cumple con la normativa PCI, puede enfrentarse a fuertes multas. La guía de cumplimiento de PCI dice que las multas y sanciones no se publican pero pueden van desde $ 5,000 a $ 100,000 por mes al comerciante. Y si no logra el cumplimiento de PCI, no solo se sumarán las tarifas, sino que el comerciante de su tarjeta de crédito puede dejarlo como cliente.

Si es víctima de una violación de datos mientras no cumple, puede enfrentar acciones legales y sanciones adicionales. Simplemente no vale la pena correr el riesgo.

¿Cómo puede asegurarse de que su empresa cumpla con PCI? ¿Y qué pasos puede tomar si no cumple con los estándares de cumplimiento de PCI en este momento?

Explicación de los niveles de PCI DSS: ¿Quién debe cumplir con PCI?

Si su empresa acepta pagos con tarjeta de crédito en línea, por teléfono o en el punto de venta (POS), debe cumplir con PCI. Los pasos que debe seguir para garantizar el cumplimiento dependen del volumen de negocios de tarjetas de crédito que escriba su empresa y si está escribiendo ese negocio en POS o mediante transacciones de comercio electrónico.

Los comerciantes más pequeños enfrentan menos requisitos para lograr el cumplimiento, mientras que las empresas más grandes que procesan millones de transacciones por año tienen requisitos más estrictos. Los comerciantes en el nivel uno de cumplimiento deben tomar las medidas de seguridad más estrictas, mientras que los comerciantes en el nivel cuatro deben tomar menos medidas para garantizar el cumplimiento.

¿Qué nivel de PCI DSS tiene su negocio?

Para determinar su nivel de PCI DSS, necesitará saber cuántas transacciones con tarjeta de crédito completa anualmente. Si no está seguro de en qué nivel se encuentra su negocio, es posible que sus informes de POS, así como los informes y análisis de su tienda de comercio electrónico, puedan decírselo.

Todos los niveles de cumplimiento de PCI, del uno al cuatro, tienen en cuenta todas las transacciones con tarjeta de crédito, incluidas las pasarelas de pago en línea, los terminales de punto de venta minoristas en la tienda y los sistemas de pago en la aplicación.

  • Nivel uno: Empresas que procesan más de 6 millones de transacciones con tarjeta al año, independientemente del canal.
  • Nivel dos: Empresas que procesan entre 1 y 6 millones de transacciones con tarjeta al año, independientemente del canal.
  • Nivel tres. Empresas que procesan entre 20.000 y 1 millón de transacciones de comercio electrónico al año.
  • Nivel cuatro: Empresas que procesan menos de 20.000 transacciones de comercio electrónico al año o menos de 1 millón de transacciones al año desde todos los canales de venta, incluido el comercio electrónico y el comercio minorista.

Es importante tener en cuenta que cualquier comerciante que la compañía de tarjetas de crédito considere de «alto riesgo» por cualquier motivo o cualquier comerciante que sufra una violación de datos que resulte en preocupaciones de seguridad sobre los datos de la tarjeta de crédito del cliente puede ser escalado al PCI DSS nivel uno a discreción del proveedor de la cuenta mercantil.

Los pasos que debe seguir para garantizar el cumplimiento dependen del volumen de negocios de tarjetas de crédito que escriba su empresa y si está escribiendo ese negocio en POS o mediante transacciones de comercio electrónico.

Los 12 requisitos de las PCI DSS

Aunque las empresas de nivel cuatro tienen menos requisitos que las empresas de nivel uno, los conceptos básicos de los requisitos de PCI DSS no cambian. Los detalles para el cumplimiento pueden variar según el nivel, pero estas mejores prácticas ayudarán a las empresas de cualquier nivel a lograr el cumplimiento del cliente de PCI para el almacenamiento y manejo seguros de los datos de las tarjetas de crédito.

La Guía de referencia rápida oficial de PCI DSS establece 12 requisitos que las empresas deben seguir para mantener seguros los datos de los clientes:

  1. Instale y mantenga un firewall para proteger los datos de los titulares de tarjetas.
  2. Utilice contraseñas únicas y otros parámetros de seguridad, nunca contraseñas predeterminadas proporcionadas por el proveedor u otros parámetros de seguridad.
  3. Utilice cifrado de nivel SSL si los datos del titular de la tarjeta se transmiten a través de las redes.
  4. Almacene los datos del titular de la tarjeta de forma segura.
  5. Actualice la protección antivirus y antimalware con regularidad.
  6. Mantener sistemas y aplicaciones seguros.
  7. Restrinja el acceso a los datos del titular de la tarjeta solo a los usuarios que lo necesiten.
  8. Restrinja el acceso físico a los datos del titular de la tarjeta, como el acceso al dispositivo.
  9. Exigir que los usuarios inicien sesión o se autentiquen para acceder a los componentes del sistema.
  10. Rastree y monitoree el acceso a los recursos de la red y los datos de los titulares de tarjetas.
  11. Pruebe los sistemas de seguridad con regularidad.
  12. Cree una política de seguridad de la información y actualícela con regularidad.

Estos son requisitos relativamente amplios, pero tienen implicaciones específicas. Por ejemplo, las aplicaciones pueden generar automáticamente contraseñas seguras que contengan cadenas aleatorias de números y letras para una máxima seguridad.

Todos los dispositivos, incluida su red y cualquier dispositivo en la red, deben tener protección de firewall. El enrutador inalámbrico de la tienda debe estar protegido con contraseña. Del mismo modo, cualquier computadora o servidor que se utilice para ejecutar su sitio de comercio electrónico debe estar protegido con contraseña y ser seguro.

Un sistema POS moderno facilita el mantenimiento de la seguridad mediante la tokenización y el cifrado, protegiendo los datos cada vez que se procesa una venta y liberando al comerciante para garantizar ese nivel de seguridad. Los comerciantes no deberían necesitar almacenar la información del titular de la tarjeta en un disco duro local o en el servidor de su sitio web.

Del mismo modo, nunca almacene copias físicas de los datos de la tarjeta de crédito de los clientes. No escriba el número de tarjeta de crédito de un cliente, la fecha de vencimiento o el CVV a menos que sea inevitable. Si es así, esa información debe triturarse inmediatamente después de su uso.

Evite pedir a los clientes que envíen correos electrónicos o mensajes de texto con la información de su tarjeta de crédito, ya que estos métodos de transmisión pueden no ser tan seguros como los sistemas de procesamiento de pagos.

Las empresas de comercio electrónico que utilizan software de terceros como servicio para administrar y mantener sus sitios web deben cumplir con las normas siempre que no eliminen los datos de los clientes de la plataforma para alojarlos localmente, por ejemplo.

Cómo comenzar con el cumplimiento de PCI

Si se pregunta cómo verificar si su empresa cumple con PCI, puede abordar tres preguntas para evaluar los procesos de seguridad de su empresa y ver si cumple con PCI.

Este puede ser su punto de partida para ver si tiene implementadas las medidas de seguridad adecuadas, y podría ser útil contar con la ayuda de expertos en cumplimiento si no está seguro si cumple con PCI según el tamaño y el volumen de su empresa. del negocio de tarjetas de crédito que escribe.

Primero, audite cómo recopila y almacena actualmente los datos de los titulares de tarjetas. Haga un inventario de sus activos de TI para buscar vulnerabilidades que un pirata informático podría explotar para robar datos de titulares de tarjetas:

  • ¿Tu red es segura?
  • ¿Están los sistemas protegidos con contraseña?
  • ¿Está actualizada su protección antivirus y antimalware?

A continuación, tome medidas para abordar esas vulnerabilidades. Esto podría incluir actualizar la seguridad en su sitio de comercio electrónico o dejar de almacenar datos de titulares de tarjetas. A menos que esté utilizando algún tipo de sistema de facturación recurrente, no es necesario mantener los datos del titular de la tarjeta en el archivo.

Puede ejecutar programas de lealtad a través del correo electrónico o el número de teléfono de una persona, y su plataforma de comercio electrónico debería poder realizar un seguimiento de las transacciones para las campañas de remarketing sin almacenar números de tarjetas de crédito u otros datos financieros.

Por último, envíe sus informes de cumplimiento al banco o las marcas de tarjetas con las que hace negocios (por ejemplo, Visa, MasterCard, American Express o Discover). Puede obtener orientación adicional para el cumplimiento y también evitar multas y tarifas que podrían surgir por no cumplir con los estándares de cumplimiento de PCI.