Ser PCI compliant significa que te comprometes a aplicar los estándares de seguridad dictados por el PCI DSS, para proteger los datos de los titulares de tarjetas bancarias. A continuación detallamos cuáles son estos estándares.
También podrás conocer su significado y todo lo relacionado con este tema. Este Protocolo de Seguridad de la Industria de Tarjetas de Pago (Cumplimiento de PCI) comprende los estándares técnicos y operativos que las empresas siguen para asegurar y proteger la información de la tarjeta de crédito.
TABLA DE CONTENIDO
¿Qué es PCI Compliance?
El cumplimiento de PCI en la industria de tarjetas de pago es un mandato obligatorio para que las compañías de tarjetas de crédito garanticen la seguridad de las transacciones.
Este protocolo de seguridad de la industria de tarjetas de pago (cumplimiento de PCI) incluye los estándares técnicos y operativos que siguen las empresas para asegurar y proteger los datos de tarjetas de crédito proporcionados por los titulares de tarjetas y transmitidos a través de transacciones con tarjetas de crédito. Los estándares de cumplimiento de PCI son desarrollados y administrados por el PCI Security Standards Council.
¿Para qué sirve el PCI Compliance?
La Comisión Federal de Comercio (FTC) es responsable de supervisar el procesamiento de tarjetas de crédito para cumplir con los requisitos regulatorios y de protección del consumidor. Si bien no existe necesariamente un mandato regulatorio para el cumplimiento de PCI, los fallos judiciales lo consideran obligatorio.
En general, el cumplimiento de PCI es una parte fundamental de cualquier protocolo de seguridad para las empresas de tarjetas de crédito .
Se acepta como mandato para estas empresas y se comenta en los contratos de red de estas tarjetas.El PCI Standards Council es responsable de desarrollar los estándares que se aplican a las actividades comerciales.
Además, se han ampliado los requisitos para las transacciones encriptadas por Internet. Otros organismos importantes que también participan en el establecimiento de estándares en el sector de tarjetas de crédito son la Red de Asociaciones de Tarjetas y la Cámara Nacional de Compensación Automatizada (NACHA).
¡Te puede interesar¡:¿Cuántos ahorros necesitas para retirarte en cada estado de USA?
¿Cuáles con los estándares de PCI?
Los estándares de cumplimiento de PCI requieren que los comerciantes y otras empresas utilicen la información de las tarjetas de crédito de forma segura para reducir la probabilidad de que se robe información financiera confidencial de las cuentas de los titulares de tarjetas.
Si los comerciantes no manejan la información de la tarjeta de crédito de acuerdo con las regulaciones de PCI, la información de la tarjeta puede ser pirateada y utilizada en una variedad de actividades fraudulentas. Además, la información confidencial del titular de la tarjeta podría usarse para fraude de identidad.
Cumplir con PCI significa adherirse constantemente a un conjunto de pautas establecidas por el PCI Standards Council.
El cumplimiento de PCI está regulado por el PCI Standards Council, una organización fundada en 2006 para administrar la seguridad de las tarjetas de crédito.
Los requisitos desarrollados por el consejo se conocen como Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
Estos son sus seis objetivos principales:
1.- Construir y mantener una red y un sistema seguros.
2.- Protección de datos del titular de la tarjeta.
3.- Gestión de vulnerabilidades en curso.
4.- Control de acceso.
5.- Seguimiento y testeo continuo de las redes utilizadas.
6.- Documentación de la póliza.
La última versión de PCI DSS se publicó en mayo de 2018 y se llama versión 3.2.1.
En general, los seis objetivos y los doce requisitos describen una serie de pasos que los procesadores de tarjetas de crédito deben seguir continuamente. Primero, se pide a las empresas que evalúen sus redes y sistemas, lo que incluye la infraestructura de TI, los procesos comerciales y los procedimientos de gestión de tarjetas de crédito.
El mantenimiento constante y la evaluación de posibles brechas de seguridad también es muy importante para evitar en la medida de lo posible el robo de datos confidenciales del titular de la tarjeta, como la seguridad social y los números de licencia de conducir.
Las empresas deben presentar informes de cumplimiento periódicos como parte de sus acuerdos de procesamiento de tarjetas. Monitorear, evaluar y auditar los estándares de seguridad de datos en la industria de las tarjetas de pago es una parte importante del departamento de seguridad de una empresa.
Cumplimiento deL PCI Compliance e infracciones de datos
Cumplir con el cumplimiento de PCI ayuda a prevenir actividades fraudulentas y frenar las filtraciones de datos. Verizon ofrece una evaluación de seguridad de pago anual en su Informe de seguridad de pago de Verizon. El informe de 2019 dedica una sección completa a PCI DSS titulada «Estado de cumplimiento de PCI DSS, 2019: y 11 requisitos clave».
Algunos de sus aspectos más destacados son los siguientes:
- 36,7% de la organización informó cumplimiento total en 2018
- Asia Pacífico tiene el porcentaje más alto de organizaciones que cumplen
- La industria hotelera es la industria con el porcentaje más bajo de cumplimiento de los estándares de la organización.
¿Es la PCI Compliance obligatoria?
El cumplimiento de PCI compliance es un proceso complejo que puede generar dudas sobre la necesidad de algunos gerentes comerciales.
La ley no exige el cumplimiento de PCI, pero si acepta pagos con tarjeta de crédito en línea, le recomendamos que la pasarela de pago que está utilizando cumpla con PCI.
Los 11 requerimientos de la PCI Compliance
Para cumplir con los criterios de las PCI DSS compliance, su empresa debe cumplir con estos 11 requisitos:
- Proteja a los titulares de tarjetas mediante el desarrollo y mantenimiento de un firewall. La red es donde ocurre la mayoría de los robos de datos bancarios. Por esta razón, tener un firewall permanente es uno de los requisitos principales de PCI DSS.
- Necesita un firewall y enrutadores que funcionen, y ponga a prueba el sistema de seguridad cada vez que actualice el software o cambie el hardware. Revise las reglas de configuración dos veces al año y bloquee el acceso al entorno para todas las fuentes que no sean de confianza, a menos que se requiera el protocolo de comunicación para el procesamiento de la tarjeta.
- Si un empleado puede acceder a la red a través de un teléfono celular o una computadora, asegúrese de que esos dispositivos tengan el firewall correcto.
- Cambie las contraseñas predeterminadas de los proveedores de software. Debe cambiar todas las contraseñas de los firewalls, enrutadores y otros programas y equipos al instalarlos. Mantener sus contraseñas predeterminadas o usar contraseñas débiles pone a su empresa en riesgo de una violación de datos.
- Si su empresa almacena datos bancarios, protéjalos. No todas las empresas que procesan pagos con tarjeta almacenan sus datos de titulares de tarjetas, pero si lo hace, tiene la obligación de protegerlos. Nunca almacene datos bancarios a menos que sea una necesidad legal, reglamentaria o comercial. Si necesita almacenar datos, limítelos en el tiempo y elimínelos al menos trimestralmente.
- Cuando comparta datos en redes abiertas, cifrelos siempre. El movimiento de datos a través de redes públicas brinda a los delincuentes la capacidad de robarlos. Cifre siempre los datos antes de enviarlos y descifrelos al recibirlos, para evitar poner en peligro los datos utilizables. Para cumplir con este requisito, necesitará ciertos protocolos.
- Implementar restricciones de acceso a datos. Uno de los componentes principales del PCI DSS es la implementación de estrictas medidas de control de acceso. Los delincuentes pueden intentar acceder a los datos, pero las personas u organizaciones no autorizadas también pueden solicitar acceso a los datos que no necesitan para una tarea específica.
- Cada persona de su equipo debe tener una identificación única. Una identificación única para cada persona con acceso le permite identificar cada acceso de esta persona a los datos bancarios, realizar un seguimiento de su actividad e identificar el acceso no autorizado. Para habilitar el acceso remoto, debe implementar un sistema de autenticación de dos factores.
- Esto no significa que haya dos contraseñas, sino que debe utilizar una combinación de 2 tecnologías, como el reconocimiento de huellas dactilares y la notificación por correo electrónico o SMS o un token en combinación con una contraseña.
- Limite el acceso físico a la información bancaria. Debe garantizar la integridad de los datos tanto en el entorno físico como en el virtual. Restrinja el acceso físico a datos confidenciales. Los oficiales de seguridad deben restringir el acceso físico a las personas autorizadas y mantener un registro de quién accede a qué información. También necesita destruir físicamente los datos en poco tiempo.
- Supervisa el acceso a los datos bancarios y los recursos de la red. La información bancaria se transmite tanto a través de redes inalámbricas como físicas. Cualquier punto débil en una u otra red puede dar acceso a los delincuentes. Debe poder monitorear y probar sus redes con regularidad para evitar interrupciones y minimizar el riesgo de pérdida de datos.
GRACIAS POR LEER……