Copiar enlace

Para empezar, tengo que definir este acrónimo complejo para que todos hablemos el mismo idioma. PCI DSS (Payment Card Industry Data Security Standard) es un estándar de seguridad que consta de requerimientos necesarios para proteger la información sensible de las tarjetas de crédito y débito. Es obligatorio para todas las empresas que aceptan, procesan o transmiten los datos de tarjetas de crédito o débito para mantener un ambiente seguro.

Se lanzó PCI SSC (Payment Card Industry Security Standards Council) en 2006 para gestionar y mejorar la seguridad de los pagos online. Todas las grandes marcas de las tarjetas de pago (Visa, MasterCard, American Express, Discover y JCB) establecieron este consejo como un órgano autónomo. También es importante mencionar que este consejo (PCI SSC) no es responsable del cumplimiento con PCI DSS; varias marcas de los pagos y los adquirientes tienen que ocuparse del cumplimiento con PCI DSS.

Los 12 requisitos PCI DSS 

PCI SSC propone 12 requerimientos como un conjunto de reglas que las empresas tienen que seguir para mantener un ambiente seguro. Estos son los requisitos:

  1. Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
  2. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
  3. Proteger los datos almacenados de los propietarios de tarjetas.
  4. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
  5. Usar y actualizar regularmente un software antivirus.
  6. Desarrollar y mantener sistemas y aplicaciones seguras.
  7. Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
  8. Asignar una identificación única a cada persona que tenga acceso a un computador.
  9. Restringir el acceso físico a los datos de los propietarios de tarjetas.
  10. Rastrear el acceso a los recursos de la red y datos de los propietarios de tarjetas.
  11. Probar regularmente los sistemas y procesos de seguridad.
  12. Mantener una política que contemple la seguridad de la información

Cómo actuar ante brechas de seguridad en tu empresa: todo lo que necesitas saber para cumplir con la ley

Cómo funciona PCI DSS

Todos los comerciantes/empresas de cualquier tamaño tienen que cumplir con los requisitos de PCI DSS. El cumplimiento incluye los siguientes pasos:

  • Determinar qué tipo de cuestionario de autoevaluación (Self-Assessment Questionnaire o SAQ) tiene que usar tu negocio. En este manual elaborado por PCI podrás descubrir cuál se adapta más a las características de tu negocio.
  • Rellenar un cuestionario de autoevaluación (Self-Assessment Questionnaire o SAQ) según las instrucciones.
  • Aprobar un escaneo de seguridad de un Proveedor de Escaneo Aprobado (ASV, Approved Scanning Vendor) y tener evidencia de pasarlo.
  • Entregar el cuestionario rellenado y la evidencia del escaneo junto con otros documentos necesarios a tu adquiriente

Qué es el cuestionario de autoevaluación de PCI

El cuestionario de autoevaluación (o SAQ) es un método de verificar si tu empresa cumple con las normas de PCI y es apto para gestionar datos sensibles.

Tienes que rellenar el cuestionario cada año. Consta de preguntas de tipo “sí/no” para cada requisito de PCI. Después de enviar sus respuestas, obtiene un certificado de seguridad que confirma su cumplimiento con PCI. Hay cuestionarios diferentes para distintos tipos de empresas que depende de su modo de aceptar pagos con tarjetas.

Por qué es necesario

Si tu e-commerce ofrece la oportunidad de pagar con las tarjetas de crédito o débito, esto significa que tu empresa trabaja con datos sensibles que tienen que ser protegidos. Tus clientes deben sentirse seguros cuando pagan en tu sitio web y tú tienes la responsabilidad de asegurarte de que las transacciones se realizan de una manera totalmente segura.

También la certificación PCI DSS puede brindar algunas ventajas para tu negocio. Por ejemplo, aumenta la confianza de los clientes y ellos son más propensos a comprar en tu tienda. Como consecuencia, las ventas y tus beneficios también aumentan. Si NO implementas PCI DSS, es muy probable que te encuentres con los siguientes problemas:

  • La pérdida de la confianza de los clientes
  • Ventas reducidas
  • Fraude
  • Varias multas
  • Incapacidad de aceptar pagos con las tarjetas de crédito o débito

Qué pasa si no cumplo con PCI DSS

Si decides NO cumplir con PCI DSS, tienes que estar listo para enfrentarte a algunas consecuencias. Por ejemplo:

  • En caso del fraude, tienes que pagar multas 
  • Problemas legales
  • Perdida de buena reputación
  • Varios otros costes

Para finalizar, quiero enfatizar que la seguridad en las tiendas online es una de las cosas más importantes. Si garantizas seguridad, proteges a tus clientes y ti mismo. También cuando tus clientes se sienten seguros y conformes, suelen comprar más que es objetivo final de cualquier negocio.

Artículos relacionados
Congreso Ciberseguridad Expo 2023: sobre estrategias en la protección de datos y la defensa contra ciberataques
Así son los nuevos checks azules de verificación en Gmail para garantizar la identidad del remitente
Qué son las passkeys, las llaves de acceso con las que Google anuncia el principio del fin de las contraseñas

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Otros artículos vinculados con:

Escribir comentario

Hacer Comentario

Su dirección de correo electrónico no será publicada.


El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.

Acepto recibir comunicaciones comerciales perfiladas conforme a la política de privacidad de Iniciativas Virtuales

¡Mantente al día!