Tiempo de lectura: 4 minutos
Shares

PCI Compliance son las siglas que provienen de Payment Card Industry Compliance, que podría traducirse como Cumplimento de la industria de tarjetas de pago.

Es decir, se trata de una serie de normas que han sido desarrolladas para proteger los datos proporcionados al comprar con tarjetas de crédito durante y después de cualquier transacción financiera. Este estándar de requerimientos de seguridad debe ser cumplido por quienes procesen pagos con tarjetas. No importa si tu comercio es nuevo o maneja poca cantidad de transacciones o utilizas proveedores externos para externalizar la información de las tarjetas de crédito de tus clientes, aún así deberás cumplir con ciertos requisitos de verificación de las normas del PCI Compliance.

Cómo conseguir la verificación PCI Compliance

La validación del PCI Compliance se lleva a cabo por auditores cualificados (Qualified Security Assessor o QSAs). Eso sí, en el caso de tiendas online pequeñas, con menos de 80,000 transacciones por año, se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).

Si no cumples con los requerimientos del PCI Compliance, podrías ser inhabilitado para procesar pagos con tarjetas de crédito.

Lo que pretenden con el programa de seguridad de datos denominado PCI Compliance es evitar el fraude con el pago de tarjetas. El grupo formado por American Express, Discover Financial Services, JCB International, MasterCard y Visa entre otras organizaciones suman esfuerzos para mejorar los estándares y vigilar el cumplimiento de las normas.

Para que sepas que normas debes seguir, te detallamos las categorías estándares a cumplir:

1. Construir y mantener una red segura

Las normativas de esta categoría se enfocan en la red en la cual se exponen los datos de la tarjeta. En los eCommerce el primer foco es el servidor web.  Las compañías de hosting deben encargarse directamente de asegurar los servidores web que alojan los sitios de sus clientes.

Para lograrlo deberán instalar y mantener una configuración de firewall para proteger los datos y no usar los passwords o parámetros de seguridad que vienen por defecto en los sistemas, reforzando así la seguridad de los mismos.

2. Proteger los datos del dueño de la tarjeta

Para cumplir con este punto es necesario que al recolectar los datos del dueño de la tarjeta de crédito, estos se almacenen cifrados para que en caso de robo no puedan ser accesibles de manera directa. Se debe utilizar un certificado SSL de 128 bits para proteger la información que se ha recolectado.

3. Mantener un programa de gestión de vulnerabilidades

Tener actualizados al día los antivirus, ejecutar los escaneos y cumplir con un plan de gestión de actualizaciones de hardware, software y sistemas operativos puede disminuir el riesgo de tener vulnerabilidades en el sistema.

4. Implementar fuertes medidas de control de acceso

Una de las normas más importantes del PCI Compliance es controlar que solo las personas que necesiten la información tengan el acceso a ella, no importando si es de manera física o virtual. Se debe restringir y limpiar el acceso a la información de las tarjetas mediante los permisos mínimos necesarios, asignar un ID único a cada persona con acceso a un PC y restringir el acceso físico a las tarjetas.

5. Monitorizar y probar las redes regularmente

Para solucionar y detectar potenciales fallos de seguridad es necesario monitorizar y probar las redes que mantienen la información confidencial de los dueños de las tarjetas de crédito, igualmente se debe revisar recurrentemente los accesos a los recursos de red y probar los sistemas de seguridad.

6. Mantener una política de seguridad de la información

Se deberá estar seguros de que de contar con empleados estos conozcan los puntos de la política de seguridad que se aplique al igual que las responsabilidades que se tienen con los datos de los dueños de las tarjetas. Para cada uno de estos requerimientos existen varios servicios e infraestructuras de apoyo que están orientados a la seguridad del manejo de los datos sensibles a la hora de cobrar con tarjetas de crédito y por ende a cumplir con las normas del PCI Compliance.

Como ves, es de suma importancia conocer y aplicar las categorías del PCI Compliance que se necesiten en tu negocio, no importando su tamaño o aplicación. Mientras aceptes pagos con tarjeta de crédito, deberás cumplir con las reglas.

Imagen: Shutterstock.com

Mantente informado de las noticias más relevantes en nuestro canal de Telegram