proveedor
Entendiendo la Certificación PCI y su Proceso de Adquisición

Entendiendo la Certificación PCI y su Proceso de Adquisición

Las tarjetas de crédito se han consolidado como la opción de pago favorita de los usuarios, ya sea en tiendas físicas o en plataformas digitales. En 2021, el 62% de las adquisiciones online se efectuaron utilizando tarjetas de crédito (Estadística, 2022). Esto destaca la relevancia de habilitar pagos con tarjeta en su plataforma para potenciar sus ingresos. Pero, ¿ha reflexionado sobre las regulaciones que rigen las transacciones digitales con tarjetas? PCI DSS es el conjunto de normativas que las regula, y no todos los sistemas disponibles online las acatan.

Varios no poseen las garantías de seguridad PCI necesarias, relegando esta responsabilidad a las empresas. Dado este escenario, es posible que se pregunte sobre las obligaciones que debe cumplir al vender en su sitio web. Si su compañía necesita gestionar, enviar y guardar datos de tarjetas, sí, tiene que estar alineado con PCI. No obstante, le ofreceremos en este artículo toda la información clave para vender online bajo el marco de PCI, cómo conseguirlo y las opciones para simplificar este cumplimiento.

Definición de PCI DSS 

PCI DSS representa el estándar de seguridad de datos en el sector de tarjetas de pago. Es un requisito obligatorio para toda entidad o negocio que maneje tarjetas de crédito.

Acatar este estándar permite la gestión, envío y conservación de datos de tarjetas, o sea, información crítica del cliente que debe ser tratada acorde a los estándares técnicos propuestos por el PCI Security Standard Council. Este es un grupo internacional conformado por las principales entidades de tarjetas de crédito y débito global (American Express, Discover, JCB International, MasterCard y Visa Inc) encargado de la constante evolución, almacenamiento, promulgación y adhesión de estándares de protección de datos de cuenta.

En 2004, bajo el nombre de PCI SSC, se lanzó la primera edición del estándar de seguridad PCI DSS. Se espera la liberación de la versión 4.0, no obstante, pese a ser un estándar imperativo en la industria, aún no está respaldado por una ley, por lo que no hay sanciones legales por su incumplimiento. A pesar de esta ausencia legislativa, hay considerables desafíos y aspectos a considerar al gestionar pagos online y datos sensibles. Enseguida, detallaremos estos y los criterios de seguridad esenciales para resguardar la información de nuestros usuarios.

¿En qué consiste la adhesión a PCI?

Estar alineado con PCI va más allá de mostrar un emblema en su sitio. Ser «PCI Compliant» implica el compromiso de seguir los criterios de seguridad propuestos por PCI DSS, que involucra realizar implementaciones técnicas y ajustes en la operativa de una compañía, como Tadosi. En esencia, se refiere a instaurar prácticas en tres fases cruciales del proceso de transacciones con tarjeta:

  1. Gestionar y transmitir la información de manera segura.
  2. Guardar esos datos siguiendo los 12 estándares de seguridad PCI.
  3. Monitorear la eficacia de las medidas de seguridad y validarlas de manera recurrente.

Desde estas tres etapas fundamentales de gestión de tarjetas, podemos profundizar en cada uno de los criterios a integrar en los pasos mencionados.

adhesion a pci

¿Necesito cumplir con los estándares de PCI DSS?

Esta es una interrogante frecuente de las compañías al incursionar en el comercio en línea, ya que manejan datos personales y delicados del cliente. Operar mediante una página web o tienda virtual no garantiza automáticamente una protección o un sistema seguro para tratar esta información. Aquí, es natural cuestionarse quién debe acatar la norma PCI, cómo implementarla, qué opciones están disponibles o si hay maneras de eludir esta obligación.

Aunque ya lo destacamos, la adhesión no es mandatoria legalmente, pero es esencial para todas las empresas que admiten transacciones con tarjeta de crédito online, debido a las significativas amenazas y peligros que enfrentan. El número principal de la cuenta (PAN), la fecha de vencimiento y el nombre del titular son ejemplos de estos delicados datos, susceptibles a ataques virtuales si no se resguardan con las herramientas apropiadas.

En resumidas cuentas, cualquier negocio, ya sea pequeño, mediano o grande, que maneje tarjetas de crédito tiene que adherirse a PCI, ya realice transacciones millonarias o mínimas. La última palabra en cuanto al acatamiento o desacato recae sobre la empresa en cuestión.

Los peligros y desafíos de no adherirse a PCI DSS

Como hemos indicado, el principal motivo para adherirse a PCI es asegurar la protección de los consumidores que confían los datos de sus tarjetas en nuestro sistema.

Hay diversas modalidades de fraude con tarjetas, y el robo de identidad se amplifica en las transacciones online. Aunque es de conocimiento común, a veces olvidamos que la web es un espacio lleno de amenazas que comprometen la seguridad de la información de nuestros clientes y la nuestra.

Ante este panorama, el PCI DSS surge como un mecanismo de defensa contra peligros como:

  • Malware: Programas dañinos ideados por hackers con la intención de infiltrarse en sistemas y sustraer datos de pago. 
  • Phishing: Esta técnica, a menudo vehiculada por correos electrónicos, busca engañar al receptor con mensajes que parecen genuinos, pero que contienen enlaces o archivos maliciosos capaces de comprometer nuestros equipos. 
  • Ransomware: Este malware, que ha ido en ascenso, “secuestra” datos. Bloquea el acceso a sistemas, archivos o redes y exige un rescate, generalmente monetario, para liberarlos. 
  • Vulnerabilidades web: Poseer software o navegadores desactualizados es un llamado a los ciberataques. Los criminales introducen ransomware en páginas web para atacar sistemas anticuados desde allí. 
  • Multas y penalizaciones: Más allá de los riesgos hacia los clientes o la propia empresa, existen amenazas económicas. No adherirse a las medidas mínimas de seguridad respecto a datos de tarjetas puede resultar en multas que van desde los 5.000 hasta los 500.000 dólares, así como sanciones por parte de entidades bancarias o proveedores de pago.
peligro sin proteccion al consmidor

¿Cómo adherirse a la norma PCI?

Entendiendo qué es PCI y conociendo los riesgos de operar online sin un sistema de protección, es esencial detallar los requisitos que toda compañía debe satisfacer para ser PCI Compliant y las variedades de certificación desde el rango más alto al más bajo.

Categorías de PCI DSS

Esta clasificación se fundamenta en el número de transacciones con tarjeta que una empresa procesa.

  • PCI DSS Nivel 1: Entidades que gestionan más de 6 millones de operaciones anuales vía Visa o Mastercard (además de 2,5 millones por American Express). 
  • PCI DSS Nivel 2: Entidades que manejan entre 1 y 6 millones de operaciones anuales. 
  • PCI DSS Nivel 3: Entidades que registran entre 20.000 y 1 millón de transacciones online anualmente o menos de 1 millón en total. 
  • PCI DSS Nivel 4: Entidades que documentan menos de 20.000 operaciones online anualmente o hasta 1 millón en total.

Los 12 criterios de PCI DSS

Las condiciones para cada uno de los niveles previos varían conforme al tamaño de la entidad, y el nivel 1 posee la mayor cantidad de criterios de PCI DSS. Por ello, hemos condensado las mejores estrategias de seguridad propuestas por PCI en sus 12 criterios.

Desarrollar y mantener sistemas y redes seguras

1. Firewall: Configuración y mantenimiento Instale y mantenga una configuración de firewall para resguardar los datos del titular de la tarjeta. Es crucial contar con un firewall robusto que prevenga el acceso de fuentes no confiables. Revíselo con regularidad y asegure que todos los dispositivos y usuarios en la red estén protegidos.

2. Evite contraseñas predeterminadas de proveedores Nunca mantenga las contraseñas predeterminadas facilitadas por los proveedores, ya sean de routers, cortafuegos o cualquier dispositivo. Establezca contraseñas robustas para evitar vulnerabilidades en el sistema.

Proteger los datos del titular de la tarjeta

3. Almacenamiento seguro de datos Si bien es esencial guardar temporalmente los datos del titular para completar una transacción, es vital no conservarlos más tiempo del necesario. En pagos recurrentes, opte por sistemas como la tokenización para maximizar la protección. Limpie regularmente datos innecesarios.

4. Cifrado en redes públicas Asegure siempre el cifrado de datos de titulares de tarjetas cuando se transmiten por redes públicas. Este cifrado garantiza protección contra ciberataques durante su transmisión.

Mantener un programa de gestión de vulnerabilidades

5. Defensa contra malware y actualizaciones Mantenga todos los sistemas protegidos contra malware y actualice regularmente sus programas antivirus. Detectar y contrarrestar amenazas tempranamente es esencial para la seguridad del sistema.

6. Sistemas y aplicaciones seguras Para software desarrollado internamente, identifique vulnerabilidades y aplique parches de seguridad. Garantice que los datos del titular de la tarjeta estén a salvo de posibles ciberataques en dicha aplicación.

Implementar medidas robustas de control de acceso

7. Acceso restringido basado en la necesidad Controle y limite el acceso a los datos del titular de la tarjeta según las necesidades específicas de la empresa. Establezca un estricto control sobre las solicitudes y razones de acceso.

8. Autenticación y identificación Establezca sistemas que ofrezcan identificaciones únicas para cada usuario y monitoree sus actividades. Implemente medidas adicionales como la autenticación de dos factores para mayor control.

9. Limitar acceso físico No sólo es vital proteger los datos digitalmente, también es crucial asegurarse de que el acceso físico a donde se almacenan los datos esté restringido. Evite dejar información sensible a la vista y controle estrictamente quién puede acceder físicamente a esos datos.

Supervise y evalúe las redes periódicamente

10. Monitoreo y control de accesos Haga un seguimiento exhaustivo de todos los accesos a los recursos de red y los datos del titular de la tarjeta. Mantenerse alerta y recibir notificaciones sobre actividades inusuales es vital para mitigar riesgos asociados a los datos.

11. Pruebas regulares de seguridad Una vez establecidos los protocolos de seguridad, es crucial testearlos con frecuencia para garantizar su eficiencia y adaptabilidad con el paso del tiempo.

Mantenga una política de seguridad de la información

12. Política inclusiva de seguridad Elaborar y difundir una política de seguridad entre todos los miembros de la organización asegura un compromiso colectivo. Informar sobre las prácticas y medidas adoptadas es esencial para fortalecer un ambiente seguro.

criterios pci

Consejos para garantizar pagos seguros en su negocio

  • Contraseñas robustas: Establezca contraseñas complejas, combinando mayúsculas, minúsculas, números y símbolos. Renueve estas contraseñas periódicamente.
  • Gestión de datos de tarjetas: Almacene datos sensibles solo cuando sea imprescindible y, de hacerlo, opte por sistemas como encriptación y tokenización.
  • Vigile sus dispositivos: Mantenga siempre a la vista los dispositivos de pago y verifique si han sido alterados. Asegúrese de que las reparaciones sean realizadas por servicios oficiales.
  • Socios de confianza: Mantenga una lista de proveedores de confianza para situaciones críticas, como gestores de sistemas de pago o entidades bancarias.
  • Actualizaciones y parches: Regularmente, instale actualizaciones y parches de seguridad ofrecidos por los proveedores para protegerse contra vulnerabilidades.
  • Acceso limitado: Reduzca el acceso interno a información sensible. Muchas brechas de seguridad provienen de actores internos.
  • Prevención de hackeos: Deshabilite el acceso remoto innecesario y otórguelo solo a individuos de confianza.
  • Software antivirus: Mantenga un antivirus actualizado e instalado adecuadamente para detectar anomalías en los sistemas.
  • Evaluación de vulnerabilidades: Realice análisis recurrentes con herramientas antivirus y otros mecanismos de seguridad.
  • Opte por soluciones de pago confiables: Elija soluciones de pago con buena reputación y cumpla con los estándares PCI DSS.
  • Seguridad en línea: Proteja su red Wi-Fi, utilice firewalls y dedique dispositivos exclusivos para gestionar pagos en línea.
  • Invalide datos críticos: Al encriptar datos críticos, se vuelven inútiles para ciberdelincuentes, incluso en caso de una brecha de seguridad.

¿Cómo lograr la certificación PCI DSS?

Entender la certificación PCI y sus beneficios es el primer paso. Lograr la conformidad PCI es un viaje detallado y riguroso que implica una inversión. Asegurando que todos los 12 criterios de PCI DSS se aborden, las compañías pasan por etapas minuciosas de revisión por el PCI Standard Security Council. Documentaciones, tales como el Informe Anual (ROC), Escaneos Trimestrales (QSA), y el Cuestionario de Evaluación (SAQ) son vitales en este proceso.

Esta senda técnica suele requerir toda la atención del equipo tecnológico de una empresa. Por este motivo, es común que las organizaciones opten por especialistas externos en la materia, añadiendo un coste adicional al de la certificación.

¿Cómo Tadosi facilita pagos seguros?

Para quienes no están familiarizados, el lenguaje técnico y las abreviaturas pueden ser un desafío. Pero estamos aquí para asistir. Si tu negocio opera en el ámbito digital y procesa pagos vía tarjetas de crédito, Tadosi te ofrece una herramienta integral que simplifica y garantiza la conformidad con PCI DSS. Siendo una solución de gestión de pagos, Tadosi cumple con el nivel superior de PCI, asegurando que los datos de tarjetas de tus clientes se manejen con la máxima seguridad.

Garantizar la seguridad en ventas no implica grandes inversiones de recursos o tiempo. Al utilizar Tadosi, tu empresa estará protegida, asegurando transacciones que cumplen con las máximas normativas de seguridad en pagos online.

¿Problemas para cobrar tus pagos recurrentes con el Banco?

Cobro de recibos o por tarjeta fácil, visual y automático. Recibe el dinero más rápido.

Pruébalo gratis
Contáctanos
Categorias

Tadosi

¿Listo para empezar a cobrar en automático y sin preocupaciones?

Cobros puntuales o recurrentes con tarjeta o domiciliación bancaria en una misma plataforma.

Solicita demo
Pruébalo gratis

Síguenos en nuestras Redes Sociales para estar al día de todas nuestras novedades.

Web financiada por:

Facebook Twitter Linkedin Instagram Tiktok
Soluciones
Recursos & ayuda
Por qué Tadosi
Contacta con nosotros

Si tienes alguna pregunta, no dudes en contactarnos.

Condiciones generalesPolítica de privacidad  |  Política de cookies|
Accesibilidad

Copyright © 2023  |  Tadosi  |  Todos los derechos reservados

Sellos de calidad

Mandato SEPA

Recibe el Mandato SEPA, directamente en tu email

Suscribirte a nuestra Newsletter y recibir automáticamente el Mandato SEPA en PDF y Word.

Responsable del tratamiento: Yulend Europe S.L.. Finalidad: Ofrecer la información solicitada del mandato y suscripción a la newsletter. Base jurídica del tratamiento: Ejecución del contrato. Destinatarios: No están previstas cesiones de datos a terceros. Derechos: Para conocer cómo ejercitar tus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, pulse aquí