¿Qué es el PCI DSS y cuáles son sus requisitos?
Todos los negocios que acepten pagos con tarjeta de débito o de crédito han oído hablar sobre el PCI DSS, aunque no entiendan del todo lo que es ni las implicaciones de cumplir con sus requisitos. Ya seas una gran compañía que procesa miles de transacciones al día o simplemente una pequeña tienda en línea, cumplir con los requisitos del PCI DSS se vuelve obligatorio para poder aceptar tarjetas.
¿Qué es el PCI DSS?
Las siglas PCI DSS significan “Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago” (en inglés Payment Card Industry Data Security Standard). Esto se refiere a un conjunto de procedimientos y requisitos cuyo objetivo es optimizar la seguridad de las transacciones con tarjeta, así como proteger la información de los propietarios de las mismas para así reducir los riesgos en casos de robo de datos y fraude.
El estándar se creó en el año 2004 a través de una iniciativa conjunta de las empresas de tarjeta Visa, MasterCard, American Express, Discover y JCB. Éstas también son las fundadoras del Consejo de Estándares de Seguridad para la Industria de Tarjeta de Pago, descrito en sus propias palabras como “un órgano mundial abierto y formado para desarrollar, mejorar, difundir y ayudar en la comprensión de los estándares de seguridad para las cuentas de pago”. El Consejo mantiene, desarrolla y promueve el PCI DSS y provee medios para implementar dicho estándar tales y como evaluaciones y calificaciones o también autoevaluaciones. A pesar de que el Consejo se encarga del estándar, cabe al banco emisor o a la adquiriente de tarjetas cumplir las reglas y sancionar cualquier violación de los datos.
Cabe mencionar que el PCI DSS se aplica a cualquier negocio que procese o transmita datos de los propietarios de tarjetas. Para obtener un certificado de cumplimiento con el PCI, todos los comerciantes deben demostrar poseer suficientes sistemas y procesos que garanticen de manera efectiva la seguridad de la información de la tarjeta, independientemente del tamaño del negocio.
¿Cuáles son los requisitos del PCI DSS?
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago se compone de doce requisitos agrupados en seis grandes objetivos:
| Objetivo | Requisitos |
| Construir y mantener una red segura a través de la cual dirigir las transacciones | 1. Usar un firewall lo suficientemente fuerte para ser efectivo sin causar demasiados inconvenientes para los vendedores y los propietarios de las tarjetas.2. No usar datos de autentificación como el número PIN y contraseñas provistas por defecto por el vendedor. |
| La información del propietario de la tarjeta debe estar protegida | 3. Proteger la información guardada del propietario de la tarjeta como fecha de nacimiento, número de documentación, número de teléfono y direcciones de correo electrónico4. Encriptar los datos de los propietarios de tarjetas cuando éstos sean transmitidos a través de redes públicas. |
| Mantener el sistema protegido de hackers | 5. Utilizar un software protector anti- virus, antispyware y otros antimalware que estén frecuentemente actualizados.6. Desarrollar y mantener sistemas y aplicaciones seguras. |
| Implementar medidas de control de acceso estrictas | 7. Restringir el acceso a los datos de los propietarios de las tarjetas según el cargo de cada empleado8. Asignar una nombre o número de identificación único y confidencial para cada persona que utilice un ordenador en el sistema
9. Proteger los datos del propietario de la tarjeta tanto electrónica como físicamente |
| Probar y monitorizar la red frecuentemente | 10. Seguir y monitorizar todos los accesos11. Probar la seguridad de los sistemas y procesos regularmente |
| Tener una política de información de seguridad formal | 12. Definir una política de seguridad que sea seguida y mantenida por todos |
Cuando se siguen adecuadamente estos preceptos, el PCI DSS reduce de manera significativa los riesgos de filtraciones de datos. Es crucial que todas las tiendas en línea que buscan una pasarela o un procesador de pago comprueben si el proveedor posee un certificado de cumplimiento con los requisitos del PCI DSS.
