¿Qué es la PCI-compliance? Requisitos, beneficios y riesgos
En 2006, los mayores proveedores de tarjetas de crédito americanos (American Express, Discover, JCB International, MasterCard, y Visa Inc) fundaron el PCI Security Standards Council. Se acordó una lista de requerimientos para asegurar la seguridad de las empresas que procesan pagos con tarjetas bancarias.
Estas reglas se conocen como PCI DSS (Payment Card Industry Data Security Standard), y aseguran que todas las entidades que procesan, almacenan o transmiten datos de tarjetas de crédito lo hacen en un entorno seguro.
A continuación te explicamos en detalle el PCI compliance, qué implica, cómo protege a los negocios que siguen sus criterios y qué hacer para que tu negocio sea PCI compliant.
Contenido
- ¿Qué es la PCI Compliance?
- Los 6 estándares PCI a seguir
- ¿Qué significa ser PCI Compliant?
- Objetivos de la PCI Compliance
- Los 12 requerimientos de la PCI Compliance
- ¿Es la PCI Compliance obligatoria?
- Beneficios de la PCI Compliance
- Los riesgos del no cumplimiento
¿Qué es la PCI Compliance?
El cumplimiento PCI asegura que los consumidores gocen de una protección mínima cuando las empresas almacenen, procesen o transmitan sus datos bancarios o información de autenticación sensible. Las regulaciones PCI DSS son un estándar de seguridad internacional cuyo objetivo es reducir el fraude y el robo de datos en todas las etapas de los pagos. Si tu negocio acepta o procesa pagos, debes cumplir con el estándar PCI.
El cumplimiento PCI se divide en 3 grandes áreas:
1. La colecta y transmisión seguras de los datos de tarjetas bancarias.
2. El uso de los 12 dominios de seguridad PCI listados abajo, incluyendo la encriptación, el monitoreo constante y el antivirus lo más actualizado posible.
3. La validación anual de los controles de seguridad necesarios. Esto puede incluir el escaneo de vulnerabilidades por parte de un agente externo, una auditoría externa, formularios o cuestionarios.
📚Artículo relacionado: ¿Qué es el procesamiento de tarjetas bancarias y cómo funciona?
Los 6 estándares PCI a seguir
Ser PCI compliant significa que te comprometes a aplicar los estándares de seguridad dictados por el PCI DSS, para proteger los datos de los titulares de tarjetas bancarias. A continuación detallamos cuáles son estos estándares.
Existen 6 objetivos principales, a los que también se llaman principios de cumplimiento:
1. Desarrolla y mantiene una red segura
Para tener una red segura que proteja los datos bancarios de sus usuarios, tiene que haber un firewall permanentemente. Se necesita una política de configuración (configuration policy) y un proceso de test. Utiliza contraseñas generadas por tu propio sistema en vez de las contraseñas preconfiguradas por los proveedores de software.
2. Protege los datos de los titulares de las tarjetas
Este principio sólo aplica si tu negocio almacena datos bancarios. En tal caso, se necesitan varias capas de seguridad (tanto física como virtual) para protegerlos.
📚Artículo relacionado: ¿Qué es la tokenización? ¿Cuáles son sus beneficios para el comercio online?
3. Establece medidas estrictas de control de acceso
Cuantas menos personas tengan acceso a los datos bancarios de los usuarios, mejor. Limitar el acceso a estos datos ayuda a mejorar el nivel de seguridad. Cada personas con acceso a los ordenadores necesita un login único y una contraseña segura. También se tiene que restringir el acceso físico a los lugares en los que se almacenan datos sensibles.
4. Mantén una política de seguridad de la información
Tu política de seguridad de la información ha de incluir procesos de análisis de riesgos con revisiones anuales, procesos de seguridad operativa y usos aceptados de la tecnología empleada.
5. Desarrolla un programa de gestión de vulnerabilidad
Los datos pueden volverse vulnerables sin las debidas actualizaciones de software, y en particular de anti-virus. Cada día nacen nuevas amenazas, por ello es crítico tener un sistema al día para cumplir con los criterios PCI.
6. Controla y pon a prueba tus sistemas periódicamente
La seguridad sólo sirve si se mantiene de forma continua. Monitorizar y testear regularmente te permitirá proveer a los titulares de tarjetas un entorno seguro para sus datos.
Los 12 requerimientos de la PCI Compliance
Para cumplir con los criterios PCI DSS, tu negocio ha de respetar estos 12 requerimientos:
- Protege los titulares de las tarjetas desarrollando y manteniendo un firewall. La red es donde se producen la mayoría de robos de datos bancarios. Por esto, tener un firewall permanente es uno de los principales requerimientos de PCI DSS. Necesitas un firewall y routers funcionando y poner a prueba el sistema de seguridad cada vez que actualizas un software o cambias el hardware. Revisa las reglas de configuración dos veces al año y bloquea el acceso al entorno para cualquier fuente no confiable, a menos que el protocolo de comunicación sea necesario al procesamiento de la tarjeta. Si cualquier empleado puede acceder a la red a través de un móvil u ordenador, asegúrate de que estos dispositivos tengan el firewall adecuado.
- Cambia las contraseñas por defecto de los proveedores de software. Has de cambiar todas las contraseñas del firewall, los routers y otros programas y equipamientos al instalarlos. Conservar las contraseñas generadas por defecto o utilizar contraseñas débiles expone tu negocio a un riesgo de filtración de datos.
- Si tu empresa almacena datos bancarios, protégelos. No todas las empresas que procesan pagos con tarjetas almacenan los datos de sus titulares, pero si es tu caso, estás en la obligación de protegerlos. Nunca almacenes datos bancarios a menos que sea una necesidad legal, regulatoria o de negocio. Si necesitas almacenar datos, limítalo en el tiempo y elimínalos al menos cada trimestre. Nunca almacenes información crítica, incluso si está encriptada, durante más tiempo de lo necesario para completar la transacción.
- Cuando compartes datos en redes abiertas, encríptalos siempre. El movimiento de datos por redes públicas da a los criminales una oportunidad de robarlos. Encripta siempre los datos antes de enviarlos, y decríptalos al recibirlos, para evitar poner en riesgo datos utilizables. Para cumplir con este requerimiento, necesitarás unos protocolos sólidos de criptografía y seguridad.
- Actualiza siempre tu anti-virus. Crea un proceso de gestión de la vulnerabilidad con un anti-virus actualizado. Actualiza todo el software de tu sistema para evitar la filtración de datos. Tu anti-virus ha de estar siempre activado, generar logs auditables, y utilizar los últimos diccionarios disponibles.
- Mantén tus aplicaciones y sistemas seguros. Otro aspecto de tu plan de gestión de vulnerabilidad es proteger a los demás. Instala parches de seguridad para los programas tan pronto como estén disponibles. Los propietarios de las tiendas virtuales deben ser informados de estos parches inmediatamente y poder instalarlos fácilmente. También deberás ser capaz de identificar y diagnosticar nuevas vulnerabilidades.
- Implementa restricciones de acceso a los datos. Uno de los mayores componentes del PCI DSS es la implementación de medidas estrictas de control de acceso. Los criminales pueden intentar acceder a los datos, pero también personas u organizaciones no autorizadas pueden solicitar acceso a datos que no necesitan para llevar a cabo una tarea concreta. Un control estricto del acceso no sólo controla quién solicita los datos, sino también para qué los solicita. El sistema tiene que poder responder en cada caso, autorizando sólo las solicitudes estrictamente necesarias para completar las tareas.
- Cada persona de tu equipo ha de tener un ID único. Un ID único para cada persona con acceso te permite poder identificar cada acceso de esta persona a los datos bancarios, pudiendo trazar su actividad e identificar accesos no autorizados. Para permitir el acceso remoto, tendrás que implementar un sistema de autenticación de dos factores. Esto no significa que haya dos contraseñas, sino que has de utilizar una combinación de 2 tecnologías como por ejemplo el reconocimiento de huellas dactilares y la notificación por email o SMS, o bien un token combinado con una contraseña.
- Restringe el acceso físico a los datos bancarios. Tienes que asegurar la integridad de los datos en el entorno físico tanto como virtual. Limita el acceso físico a los datos sensibles. Los encargados de la seguridad tienen que limitar el acceso físico a las personas autorizadas y conservar un log de quién accede a qué información. También tendrás que destruir físicamente los datos en el menor tiempo posible.
- Monitoriza el acceso a los datos bancarios y a los recursos de redes. Se transmiten datos bancarios tanto en redes inalámbricas como físicas. Cualquier vulnerabilidad en una u otra red puede permitir el acceso a criminales. Tienes que poder monitorizar y testear tus redes de forma periódica para evitar fallos y minimizar el riesgo de filtración de datos.
- Testea tus protocolos de seguridad y sistemas regularmente. Un código nuevo en tu sistema puede hacerlo vulnerable. Por esto es muy importante revisar los procesos de seguridad, ponerlos a prueba regularmente y monitorizar los resultados.
- Comparte tu política de seguridad de la información con todos tus empleados. No basta con crear una buena política de protección de los datos. Tienes que mantenerla al día, publicarla y asegurarte de que todos tus empleados la conocen.
¿Es la PCI Compliance obligatoria?
La PCI compliance es un proceso complejo que puede hacer dudar algunos responsables de empresas sobre su necesidad. El cumplimiento PCI no es obligatorio por ley, pero si aceptas pagos online por tarjetas de crédito te recomendamos que la pasarela de pagos que utilizas sea PCI compliant.
📚Artículo relacionado: Pasarelas de pago Vs Procesadores de pagos
Beneficios de la PCI Compliance
La PCI compliance protege los datos de tu negocio y los de tus clientes. Las filtraciones de datos cuestan a las empresas millones de dólares cada año: según un estudio publicado por Data Intelligence, las filtraciones de datos en 2022 costaron una media de 4,35 millones de dólares a las empresas.
Además de los costes legales, de seguro, y de implementación de nuevos protocolos, estas filtraciones también afectan a tu imagen y tu reputación lo cual afectará tus ventas en el futuro. Si los compradores no confían en ti para proteger tus datos, comprarán en otro sitio.
Los riesgos del no cumplimiento
Intentar ahorrar en los criterios PCI puede acabar costando mucho más que la inversión en implementaciones para el cumplimiento. No cumplir con las directivas de PCI puede poner en riesgo a tus usuarios y a tu negocio. Te enfrentas a posibles filtraciones de datos, con una potencial pérdida de ingresos y de reputación.
Te enfrentas además a unas multas que pueden variar entre 5.000 y 500.000 dólares. Podrías perder tu cuenta de vendedor o incluso ser listado por Visa/Mastercard como vendedor indeseable, lo cual te impediría abrir otra cuenta de vendedor durante los próximos años.
Conseguir y mantener un alto nivel de seguridad implica mucho trabajo, pero vale la pena para proteger tu negocio y tus clientes.
Elige una pasarela de pago PCI Compliant como MONEI
En MONEI, valoramos nuestro negocio, y la seguridad de nuestros clientes. Protegemos a las tiendas de e-commerce y a sus clientes manteniéndonos siempre PCI compliant. Elige entre varios métodos seguros de colecta de datos de pago y utiliza nuestras API para personalizar tus componentes de introducción de datos bancarios.
Further reading about payment security
- ¿Qué es la SCA? (+ beneficios para los consumidores)
- Guía sobre la Autenticación Reforzada de Clientes
- PSD2: ¿Qué es? ¿Por qué es importante? ¿Cómo cumplir con esta norma?
- ¿Qué es 3D Secure? ¿Cuáles son sus ventajas para el e-commerce
- IA en los pagos: ¿cómo está cambiando el sector?
Preguntas frecuentes sobre PCI
¿Cuándo aplica PCI?
El estándar PCI DSS se aplica a todas las organizaciones involucradas en el manejo, almacenamiento, procesamiento y/o transmisión de información de tarjetas de pago, así como datos confidenciales de autenticación. Esto incluye a los siguientes actores:
- Comerciantes (merchants): aquellos establecimientos o empresas que aceptan pagos con tarjetas de crédito o débito como forma de transacción comercial.
- Procesadores de pagos: entidades encargadas de gestionar y facilitar el procesamiento de las transacciones con tarjetas de pago en nombre de los comerciantes. Estos pueden ser proveedores de servicios de pago, pasarelas de pago u otros intermediarios en el proceso de pago.
- Proveedores de servicios: empresas o individuos que ofrecen servicios relacionados con el manejo de datos de tarjetas de pago, como proveedores de almacenamiento en la nube, proveedores de servicios de seguridad, desarrolladores de software, entre otros.
¿Cuánto dura la certificacion PCI?
La certificación PCI debe renovarse anualmente, al igual que la auditoría correspondiente. Sin embargo, se recomienda obtener informes aprobados de manera trimestral.
¿Qué pasa si no cumplo las normas PCI?
Si una entidad no cumple con las normas PCI DSS, existen consecuencias en términos de multas y sanciones. Cuando los comerciantes establecen un contrato con un procesador de pagos, aceptan estar sujetos a estas multas en caso de incumplimiento. Es importante tener en cuenta que las multas pueden variar según el procesador de pagos y su política específica, y tienden a ser más elevadas para las empresas con un mayor volumen de transacciones.
¿Quién certifica en PCI?
La certificación PCI DSS fue creada por el Payment Card Industry Security Standards Council (PCI SSC), una organización conformada por importantes actores de la industria de tarjetas de pago, como Mastercard, Visa, American Express y otras empresas destacadas. El PCI SSC es una entidad colaborativa y de autorregulación que tiene como objetivo establecer y promover estándares de seguridad para proteger la información confidencial de los titulares de tarjetas y mejorar la seguridad en los procesos de pago.
Alexis Damen
Alexis Damen es Head of Content en MONEI. Le encanta diseccionar temas complejos del sector de los pagos, la venta online y el comercio para ayudar a los negocios a triunfar (con MONEI como plataforma de pagos, ¡claro!).