¿Qué es la PCI-compliance?

¿Qué es la PCI-compliance?

En 2006, los mayores proveedores de tarjetas de crédito americanos (American Express, Discover, JCB International, MasterCard, y Visa Inc) fundaron el PCI Security Standards Council. Se acordó una lista de requerimientos para asegurar la seguridad de las empresas que procesan pagos con tarjetas bancarias. Estas reglas se conocen como PCI DSS (Payment Card Industry Data Security Standard), y aseguran que todas las entidades que procesan, almacenan o transmiten datos de tarjetas de crédito lo hacen en un entorno seguro. A continuación te explicamos en detalle el PCI compliance, qué implica, cómo protege a los negocios que siguen sus criterios y qué hacer para que tu negocio sea PCI compliant.

¿Qué es la PCI Compliance?

Para entender el cumplimiento PCI, es importante analizar qué implica y cuáles son sus objetivos.

¿Qué significa ser PCI Compliant?

Ser PCI compliant significa que te comprometes a aplicar los estándares de seguridad dictados por el PCI DSS, para proteger los datos de los titulares de tarjetas bancarias. A continuación detallamos cuáles son estos estándares.

Objetivos de la PCI Compliance

Existen 6 objetivos principales, a los que también se llaman principios de compliance, o cumplimiento. 

  1. Desarrolla y mantiene una red segura. Para tener una red segura que proteja los datos bancarios de sus usuarios, tiene que haber un firewall permanentemente. Se necesita una política de configuración (configuration policy) y un proceso de test. Utiliza contraseñas generadas por tu propio sistema en vez de las contraseñas preconfiguradas por los proveedores de software. 
  2. Protege los datos de los titulares de las tarjetas. Este principio sólo aplica si tu negocio almacena datos bancarios. En tal caso, se necesitan varias capas de seguridad (tanto física como virtual) para protegerlos. 
  3. Establece medidas estrictas de control de acceso. Cuantas menos personas tengan acceso a los datos bancarios de los usuarios, mejor. Limitar el acceso a estos datos ayuda a mejorar el nivel de seguridad. Cada personas con acceso a los ordenadores necesita un login único y una contraseña segura. También se tiene que restringir el acceso físico a los lugares en los que se almacenan datos sensibles.
  4. Mantén una política de seguridad de la información. Tu política de seguridad de la información ha de incluir procesos de análisis de riesgos con revisiones anuales, procesos de seguridad operativa y usos aceptados de la tecnología empleada.
  5. Desarrolla un programa de gestión de vulnerabilidad. Los datos pueden volverse vulnerables sin las debidas actualizaciones de software, y en particular de anti-virus. Cada día nacen nuevas amenazas, por ello es crítico tener un sistema al día para cumplir con los criterios PCI.
  6. Controla y pon a prueba tus sistemas periódicamente. La seguridad sólo sirve si se mantiene de forma continua. Monitorizar y testear regularmente te permitirá proveer a los titulares de tarjetas un entorno seguro para sus datos.

Los 12 requerimientos de la PCI Compliance

Para cumplir con los criterios PCI DSS, tu negocio ha de respetar estos 12 requerimientos:

  1. Protege los titulares de las tarjetas desarrollando y manteniendo un firewall. La red es donde se producen la mayoría de robos de datos bancarios. Por esto, tener un firewall permanente es uno de los principales requerimientos de PCI DSS. Necesitas un firewall y routers funcionando y poner a prueba el sistema de seguridad cada vez que actualizas un software o cambias el hardware. Revisa las reglas de configuración dos veces al año y bloquea el acceso al entorno para cualquier fuente no confiable, a menos que el protocolo de comunicación sea necesario al procesamiento de la tarjeta. Si cualquier empleado puede acceder a la red a través de un móvil u ordenador, asegúrate de que estos dispositivos tengan el firewall adecuado.
  2. Cambia las contraseñas por defecto de los proveedores de software. Has de cambiar todas las contraseñas del firewall, los routers y otros programas y equipamientos al instalarlos. Conservar las contraseñas generadas por defecto o utilizar contraseñas débiles expone tu negocio a un riesgo de filtración de datos.
  3. Si tu empresa almacena datos bancarios, protégelos. No todas las empresas que procesan pagos con tarjetas almacenan los datos de sus titulares, pero si es tu caso, estás en la obligación de protegerlos. Nunca almacenes datos bancarios a menos que sea una necesidad legal, regulatoria o de negocio. Si necesitas almacenar datos, limítalo en el tiempo y elimínalos al menos cada trimestre. Nunca almacenes información crítica, incluso si está encriptada, durante más tiempo de lo necesario para completar la transacción.
  4. Cuando compartes datos en redes abiertas, encríptalos siempre. El movimiento de datos por redes públicas da a los criminales una oportunidad de robarlos. Encripta siempre los datos antes de enviarlos, y decríptalos al recibirlos, para evitar poner en riesgo datos utilizables. Para cumplir con este requerimiento, necesitarás unos protocolos sólidos de criptografía y seguridad.
  5. Actualiza siempre tu anti-virus. Crea un proceso de gestión de la vulnerabilidad con un anti-virus actualizado. Actualiza todo el software de tu sistema para evitar la filtración de datos. Tu anti-virus ha de estar siempre activado, generar logs auditables, y utilizar los últimos diccionarios disponibles.
  6. Mantén tus aplicaciones y sistemas seguros. Otro aspecto de tu plan de gestión de vulnerabilidad es proteger a los demás. Instala parches de seguridad para los programas tan pronto como estén disponibles. Los propietarios de las tiendas virtuales deben ser informados de estos parches inmediatamente y poder instalarlos fácilmente. También deberás ser capaz de identificar y diagnosticar nuevas vulnerabilidades. 
  7. Implementa restricciones de acceso a los datos. Uno de los mayores componentes del PCI DSS es la implementación de medidas estrictas de control de acceso. Los criminales pueden intentar acceder a los datos, pero también personas u organizaciones no autorizadas pueden solicitar acceso a datos que no necesitan para llevar a cabo una tarea concreta. Un control estricto del acceso no sólo controla quién solicita los datos, sino también para qué los solicita. El sistema tiene que poder responder en cada caso, autorizando sólo las solicitudes estrictamente necesarias para completar las tareas.
  8. Cada persona de tu equipo ha de tener un ID único. Un ID único para cada persona con acceso te permite poder identificar cada acceso de esta persona a los datos bancarios, pudiendo trazar su actividad e identificar accesos no autorizados. Para permitir el acceso remoto, tendrás que implementar un sistema de autenticación de dos factores. Esto no significa que haya dos contraseñas, sino que has de utilizar una combinación de 2 tecnologías como por ejemplo el reconocimiento de huellas dactilares y la notificación por email o SMS, o bien un token combinado con una contraseña.
  9. Restringe el acceso físico a los datos bancarios. Tienes que asegurar la integridad de los datos en el entorno físico tanto como virtual. Limita el acceso físico a los datos sensibles. Los encargados de la seguridad tienen que limitar el acceso físico a las personas autorizadas y conservar un log de quién accede a qué información. También tendrás que destruir físicamente los datos en el menor tiempo posible.
  10. Monitoriza el acceso a los datos bancarios y a los recursos de redes. Se transmiten datos bancarios tanto en redes inalámbricas como físicas. Cualquier vulnerabilidad en una u otra red puede permitir el acceso a criminales. Tienes que poder monitorizar y testear tus redes de forma periódica para evitar fallos y minimizar el riesgo de filtración de datos.
  11. Testea tus protocolos de seguridad y sistemas regularmente. Un código nuevo en tu sistema puede hacerlo vulnerable. Por esto es muy importante revisar los procesos de seguridad, ponerlos a prueba regularmente y monitorizar los resultados.
  12. Comparte tu política de seguridad de la información con todos tus empleados. No basta con crear una buena política de protección de los datos. Tienes que mantenerla al día, publicarla y asegurarte de que todos tus empleados la conocen. 

¿Es la PCI Compliance obligatoria?

La PCI compliance es un proceso complejo que puede hacer dudar algunos responsables de empresas sobre su necesidad. El cumplimiento PCI no es obligatorio por ley, pero si aceptas pagos online por tarjetas de crédito te recomendamos que la pasarela de pagos que utilizas sea PCI compliant.

Beneficios de la PCI Compliance

La PCI compliance protege los datos de tu negocio y los de tus clientes. Las filtraciones de datos cuestan a las empresas millones de dólares cada año: según un estudio publicado por Data Intelligence, las filtraciones de datos en 2019 costaron una media de 3,9 millones de dólares a las empresas. 

Además de los costes legales, de seguro, y de implementación de nuevos protocolos, estas filtraciones también afectan a tu imagen y tu reputación lo cual afectará tus ventas en el futuro. Si los compradores no confían en ti para proteger tus datos, comprarán en otro sitio.

Los riesgos del no cumplimiento

Intentar ahorrar en los criterios PCI puede acabar costando mucho más que la inversión en implementaciones para el cumplimiento. No cumplir con las directivas de PCI puede poner en riesgo a tus usuarios y a tu negocio. Te enfrentas a posibles filtraciones de datos, con una potencial pérdida de ingresos y de reputación. Te enfrentas además a unas multas que pueden variar entre 5.000 y 500.000 dólares. Podrías perder tu cuenta de vendedor o incluso ser listado por Visa/Mastercard como vendedor indeseable, lo cual te impediría abrir otra cuenta de vendedor durante los próximos años.

Conseguir y mantener un alto nivel de seguridad implica mucho trabajo, pero vale la pena para proteger tu negocio y tus clientes.

Elige una pasarela de pago PCI Compliant como MONEI

En MONEI, valoramos nuestro negocio, y la seguridad de nuestros clientes. Protegemos a las tiendas de e-commerce y a sus clientes manteniéndonos siempre PCI compliant. Elige entre varios métodos seguros de colecta de datos de pago y utiliza nuestras API para personalizar tus componentes de introducción de datos bancarios. 

Contáctanos ahora para saber cómo te podemos ayudar a incrementar tus ingresos de forma segura, con las mejores tarifas en pasarelas de pago.

El impacto a largo plazo del COVID-19 en el E-commerce11 tips para la creación de contenido para el e-commerce con Cohley