Aug 15, 2024

Es fundamental que los clientes puedan confiar en tu empresa, y una manera de lograr esto es asegurando que sus datos estén protegidos en la plataforma de pago. Para ello, tu negocio debe cumplir con los estándares globales llamados Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).

Este conjunto de estándares de seguridad de datos ha sido diseñado por el PCI Security Standards Council [1] para mejorar las medidas de seguridad existentes y asegurar la protección de los datos de los titulares de tarjetas.

El cumplimiento con PCI DSS se aplica a cualquier organización que procese datos de tarjetas de crédito de emisores importantes como Visa, Mastercard y American Express, ya sea que almacenen, procesen o transmitan dichos datos. En caso de incumplimiento, tu negocio podría enfrentar multas, acciones legales, así como pérdida de reputación y de confianza de los clientes.

Los ciberataques son cada vez más comunes, por lo que es clave que las empresas, especialmente las pequeñas y las de propiedad independiente, implementen medidas de seguridad robustas para protegerse tanto a sí mismas como a sus clientes de posibles brechas de datos. El cumplimiento del PCI DSS permite a las empresas establecer y mantener políticas y procedimientos de seguridad para proteger la información sensible, y también puede ayudar a fomentar una mayor confianza del cliente en sus servicios.

Para ayudarte a garantizar que tu empresa cumpla con el PCI, hemos creado una lista de verificación y un conjunto de requisitos de cumplimiento a considerar:

Lista de verificación de cumplimiento del PCI

Para obtener la certificación, las organizaciones deben cumplir con 12 requisitos establecidos en el PCI DSS. Esta lista de verificación te ayudará a comprender qué se necesita hacer para cumplir:

  1. Primero, debes instalar un firewall en tu servidor para proteger los datos de los titulares de tarjetas. Los firewalls son esenciales para controlar el tráfico de red y deben denegar el acceso público y el tráfico no confiable, salvo para los protocolos necesarios. Para mantener la seguridad, deben revisarse al menos cada seis meses.
  2. Evita el uso de contraseñas predeterminadas, ya que estas tienen patrones predecibles, y asegúrate de que los servidores de tu empresa estén protegidos con contraseñas únicas [2].
  3. Tu empresa debe proporcionar protección de datos para los titulares de tarjetas, incluyendo la protección de elementos de datos en almacenamiento, tránsito, procesamiento o forma física. Para ello, debes proteger los datos de los titulares de tarjetas en todo momento, asegurándolos durante el almacenamiento, la transmisión, el procesamiento y en su forma física. Limita el acceso a la información sensible, asegúrate de que esté debidamente protegida y permite solo a personal autorizado manejarla.
  4. Para garantizar la máxima seguridad, se deben tomar diferentes medidas según el lugar donde se encuentre la información sensible y quién tenga acceso a ella. El estándar requiere limitar el tiempo de almacenamiento y retención de datos y no almacenar datos de autenticación sensibles después de la autorización [3].
  5. Los ciberdelincuentes idean muchas formas ingeniosas de introducir malware malicioso en correos electrónicos o explotando vulnerabilidades. Por lo tanto, es vital detectar rápidamente el malware malicioso con software anti-malware y antivirus. También puedes capacitar al personal para que identifique correos electrónicos potencialmente dañinos, gracias a herramientas como los cursos gratuitos [4] ofrecidos por INCIBE.
  6. Corrige vulnerabilidades adoptando prácticas de codificación segura y siguiendo procedimientos de control de cambios y otras prácticas de desarrollo seguro de software. Esto te ayudará a proteger tus sistemas y aplicaciones.
  7. Restringir el acceso a los datos de los titulares de tarjetas, limitándolo solo a quienes necesiten saberlo, es un requisito.
  8. Para evitar que los datos caigan en manos equivocadas, será necesario determinar qué información es relevante para qué función y dar acceso específico solo a esa información a ciertos empleados.
  9. Restringe el acceso físico a los datos de los titulares de tarjetas con tarjetas de acceso, archivadores con llave y registros de visitantes para mantener un rastro de auditoría física de quién entra y sale de las áreas restringidas del edificio.
  10. También se requiere que el acceso de los empleados a la red y a los datos de los titulares de tarjetas sea monitoreado a través de mecanismos de registro para rastrear y analizar cualquier anomalía en el sistema, si es necesario.
  11. Revisa regularmente tus sistemas y procesos de seguridad. Además, es importante actualizar y parchear las aplicaciones para mantenerse al día frente a amenazas de malware y virus.
  12. Como paso final en la lista de verificación de cumplimiento de PCI en España, debes crear y mantener una política de seguridad de la información que refleje el compromiso de tu empresa con el cumplimiento de dicha normativa, incluyendo planes para implementar defensas tecnológicas y programas de capacitación para el personal.

Requisitos de Cumplimiento PCI

Los niveles de cumplimiento pueden variar si tu empresa vende productos o servicios. Las empresas enfocadas en ventas en línea están sujetas a cuatro niveles de cumplimiento diferentes, cada uno con ligeras variaciones según el sistema de tarjetas de crédito que usen.

Para determinar estos niveles, las empresas deben evaluar el número de transacciones que procesan anualmente a través de sus respectivos proveedores de tarjetas de crédito.

Visa y Mastercard tienen sus propios niveles de cumplimiento, y los requisitos para cada uno de ellos son los siguientes:

  • Cumplimiento PCI Nivel 1. Este es el nivel más alto y se aplica a las empresas que procesan más de seis millones de transacciones por año o a los intermediarios de pago que procesan más de 300,000 transacciones por año. Requiere una autoevaluación anual utilizando el cuestionario de autoevaluación PCI SSC, además de escaneos trimestrales de vulnerabilidades en la red realizados por un proveedor de escaneo aprobado. Otro método es un programa de gestión de riesgos, un formulario de declaración de cumplimiento, el envío de documentación específica junto con la finalización de un Informe de Cumplimiento Anual (ROC), un escaneo de red trimestral y una declaración de cumplimiento por un Asesor de Seguridad Cualificado (QSA).
  • Cumplimiento PCI Nivel 2. Aplica a empresas que procesan entre uno y seis millones de transacciones por año, y a intermediarios de pago que procesan menos de 300,000 transacciones por año. Este nivel requiere una autoevaluación anual usando un cuestionario de autoevaluación PCI SSC, escaneos trimestrales de red por un proveedor autorizado, y un formulario de declaración de cumplimiento y cierta documentación.
  • Cumplimiento PCI Nivel 3. Se aplica a pequeñas empresas en línea que procesan entre 20,000 y un millón de transacciones por año. Los requisitos a cumplir son los mismos que en el nivel anterior.
  • Cumplimiento PCI Nivel 4. Finalmente, este nivel se aplica a empresas que procesan menos de 20,000 transacciones por año. Este nivel requiere los mismos requisitos que los niveles anteriores.

¿Listo para aceptar pagos inteligentes con Dojo?

¿Eres nuevo en los pagos con tarjeta? ¿Buscas la última tecnología de vanguardia, un servicio al cliente cercano y tarifas competitivas? El datáfono Dojo Go te permite ofrecer un servicio inigualable a tus clientes con transacciones ultrarrápidas. ¡Puedes comenzar hoy mismo con Dojo Go!

Este artículo tiene únicamente fines informativos y no debe considerarse asesoramiento profesional, financiero, técnico o jurídico. Consulte siempre a un profesional autorizado para obtener orientación específica para sus circunstancias particulares.


Fuentes

  • [1] https://www.pcisecuritystandards.org/lang/es-es/
  • [2] https://www.incibe.es/ciudadania/blog/contrasenas-seguras-te-explicamos-como-conseguirlo
  • [3] https://listings.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf
  • [4] https://www.incibe.es/empresas/formacion/ciberseguridad-para-micropymes-y-autonomos
Volver arriba

    Paymentsense Ireland Limited, que opera con el nombre comercial Dojo, está regulada por el Banco Central de Irlanda. Nuestro número de sociedad es 542166 y nuestro domicilio social está situado en 9 Clare Street, Dublín 2, Dublín, D02 HH30 (Irlanda). CIF: 3274075SH. Paymentsense Ireland Limited opera en España a través de su sucursal Paymentsense Ireland Limited, Sucursal en España, inscrita en el Banco de España con número 6728, con domicilio social en Paseo de la Castellana, 259C, planta 16, 28046 Madrid, Registro Mercantil de Madrid, T 46027, F 90, S 8, H M 808794, I/A 1 (5.12.23), CIF: W0284391J. Paymentsense Ireland Limited ofrece productos regulados y no regulados.