¿Qué es PCI DSS?

PCI DSS significa Payment Card Industry Data Security Standard. Es un conjunto de requisitos para las organizaciones que manejan información de tarjetas de crédito para mantener esa información segura. El estándar fue lanzado en septiembre de 2006 por el PCI Security Standards Council, un consorcio de las principales marcas de tarjetas.

Todos los comerciantes y proveedores de servicios que aceptan tarjetas de crédito como método de pago están sujetos a los términos del PCI DSS. Si un comerciante no cumple con el PCI DSS, puede enfrentar importantes sanciones financieras, daños a la reputación y la posible pérdida de negocio.

Todas las empresas que obtienen, gestionan, almacenan o transmiten datos de titulares de tarjetas deben cumplir con el PCI DSS. Esto abarca a minoristas, procesadores de pagos, bancos y otras organizaciones que puedan tener un efecto en la seguridad de los datos de los titulares de tarjetas, como desarrolladores de software y fabricantes de hardware.

Los bancos, las cooperativas de crédito, las empresas de hosting y otras organizaciones que reciben o manejan datos de titulares de tarjetas por teléfono deben cumplir con las normas. Para continuar aceptando pagos con tarjeta de crédito, cualquier empleado de una empresa que maneje datos confidenciales de titulares de tarjetas debe mantener el cumplimiento de PCI.

El volumen de transacciones que un comerciante o proveedor de servicios maneja cada año determina su grado de cumplimiento de PCI DSS. El Nivel 1 es el más alto de los cuatro niveles para comerciantes, y viene con los requisitos de informes más estrictos, como un Informe de Cumplimiento (RoC) anual de un auditor externo.

Para los Niveles 2 a 4, generalmente se completa un Cuestionario de Autoevaluación (SAQ). Los comerciantes de Nivel 1 deben completar un RoC anual y manejar más de 6 millones de transacciones con tarjeta anualmente.

La Declaración de Cumplimiento (AoC) de PCI es un documento que demuestra que una organización cumple con los requisitos de PCI DSS. Se emite después de que una organización ha completado una autoevaluación o una auditoría externa realizada por un Asesor de Seguridad Cualificado (QSA) y ha demostrado que cumple con los requisitos del estándar.

El AoC no es un obstáculo para el comercio, pero sí brinda a los clientes potenciales confianza en las prácticas de seguridad de la organización. El AoC no es un certificado de seguridad ni una garantía de seguridad, sino una declaración de la organización sobre su adhesión al PCI DSS.

el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de reglas y procedimientos diseñados para garantizar la seguridad de la información personal de los titulares de tarjetas. El estándar se compone de 12 partes o requisitos, que se dividen en seis grupos según la política de seguridad general. Estos grupos son los siguientes: 

1) Construir y mantener redes seguras; 

2) Proteger los datos del titular de la tarjeta; 

3) Utilizar criptografía sólida; 

4) Controlar el acceso a los datos del titular de la tarjeta; 

5) Supervisar y probar las redes; 

6) Implementar una política de seguridad de la información. 

La versión más reciente del estándar, PCI DSS 4.0, es una actualización y reestructuración de los 12 requisitos principales, que guían cómo emplear los controles de seguridad de manera efectiva. Este estándar es aplicable a cualquier comercio o proveedor de servicios que procese, almacene o transfiera datos de titulares de tarjetas. Las organizaciones deben comprender y aplicar estas reglas para proteger la información y mejorar la credibilidad.

Aunque no se rigen directamente por PCI DSS a menos que toquen los datos del titular de la tarjeta, las aplicaciones de pago son esenciales para el cumplimiento de PCI DSS. Esto se debe a que los comerciantes que deben adherirse a PCI DSS las emplean. Por lo tanto, las aplicaciones de pago deben desarrollarse e implementarse de manera que reduzcan las amenazas de seguridad y promuevan entornos de red seguros. 

Para ayudar a los minoristas a cumplir con las regulaciones PCI DSS, esto incluye funciones como la gestión de vulnerabilidades, encriptación, y almacenamiento seguro de datos. En última instancia, los comerciantes pueden reducir en gran medida su carga de trabajo y proteger los datos de los titulares de tarjetas al seleccionar una aplicación de pago que priorice la seguridad y facilite el cumplimiento de PCI DSS.

PCI DSS crea un estándar para el manejo y la protección de los datos de los titulares de tarjetas. Esto reduce la posibilidad de filtraciones de datos y robo de tarjetas de crédito. 

Es esencial comprender que la creación de un sistema para el manejo de datos ayuda a optimizar los procesos y las operaciones. Las empresas SaaS reciben un marco que deben seguir para establecer controles y mantener un entorno seguro. Además, las empresas de software se ven obligadas a vigilar constantemente sus seguridad y cumplimiento sistemas, asegurarse de que todo funcione sin problemas y garantizar que cumplan con las regulaciones de PCI DSS.

El incumplimiento del PCI DSS puede acarrear importantes repercusiones financieras y para la reputación, como fuertes sanciones, mayores costos de transacción, la terminación de asociaciones comerciales con bancos y compañías de tarjetas, y posibles acciones legales. 

Las marcas de tarjetas pueden aplicar sanciones monetarias por incumplimiento que van desde $5,000 a $100,000 por mes hasta que se logre el cumplimiento; las empresas más grandes pueden estar sujetas a multas mayores. Además de las multas monetarias, el incumplimiento puede ocasionar problemas operativos, daños a la marca, una disminución en la confianza del cliente, litigios y gastos de reparación en caso de filtraciones de datos, y posibles investigaciones regulatorias. El incumplimiento puede tener un costo general sustancial, que va más allá de las sanciones inmediatas para incluir los efectos a largo plazo de las filtraciones de datos y el daño a la reputación.

Para muchas empresas SaaS, lograr Cumplimiento con PCI DSS puede ser una tarea complicada. Algunos de los desafíos más frecuentes son identificar claramente el alcance de su entorno de datos de titulares de tarjetas, implementar medidas de seguridad como firewalls y cifrado, configurarlas y seguir reglas de acceso estrictas. 

Definir y clasificar con precisión el entorno de datos del titular de la tarjeta, que incluye todas las redes, sistemas y aplicaciones que manejan, almacenan o envían datos de pago confidenciales, es uno de los primeros desafíos. Debido a la falta de recursos o experiencia, las organizaciones pueden tener dificultades para cumplir con todos los estándares necesarios de PCI DSS. El incumplimiento de PCI DSS puede generar importantes repercusiones, como fuertes multas, daños a la reputación y posible interrupción del negocio.