¿Qué es el cumplimiento de PCI?
- 4991
- 1030
- Gabriel Aparicio
El cumplimiento de la industria de tarjetas de pago (PCI) se basa en un conjunto de 12 estándares técnicos y operativos desarrollados por el PCI Security Standards Council (SSC), un organismo independiente formado en 2006 por American Express, Discover, JCB International, MasterCard y Visa. Estas normas se aplican a cualquier negocio que acepte, transmita o almacene datos de tarjeta de crédito. Fueron creados para garantizar un entorno seguro que proteja la información del cliente y el negocio contra los problemas como las violaciones de los datos.
Para comprender mejor el cumplimiento de PCI, es importante saber qué implica, los requisitos y cómo funciona todo.
Definición y requisitos de cumplimiento de PCI PCI
El cumplimiento de PCI se adhiere a un conjunto de estándares para la seguridad y protección de la tarjeta de crédito establecida por el PCI SSC. Estos estándares se crearon para garantizar un entorno seguro para cualquier negocio que procese los datos del titular de la tarjeta.
Mientras que el PCI SSC desarrolló los estándares, las marcas de pago y los comerciantes son responsables de hacer cumplir el cumplimiento.
Cada marca de tarjeta de crédito puede tener sus propios requisitos específicos de PCI que las empresas deben seguir. Los propietarios de negocios deben consultar con cada marca de pago para asegurarse de que cumplan con todos los requisitos necesarios.
- Nombre alternativo: Estándar de seguridad de datos de la industria de tarjetas de pago
- Acrónimo: PCI, PCI DSS
Estándares de cumplimiento de PCI
Hay 12 estándares creados por el DSS PCI que cubren los componentes del sistema técnico y operativo:
- Mantener un firewall para proteger los datos del titular de la tarjeta
- Use contraseñas de seguridad de alto nivel en lugar de contraseñas de sistema predeterminadas
- Proteger los datos del titular de la tarjeta almacenado a través de protocolos de seguridad adecuados
- Cifrar la transmisión de los datos del titular de la tarjeta
- Proteger todos los sistemas contra malware y actualizar regularmente los programas antivirus
- Desarrollar y mantener sistemas y aplicaciones seguros
- Restringir el acceso a la información del titular de la tarjeta
- Identificar y autenticar el acceso a todos los componentes del sistema
- Restringir el acceso físico a la información del titular de la tarjeta
- Rastrear y monitorear todo el acceso a datos de red y titular de la tarjeta
- Con frecuencia prueba los sistemas y procesos de seguridad
- Mantener una política de seguridad de la información para todo el personal
Para proteger la información confidencial del titular de la tarjeta, es responsabilidad de cada negocio que procesa, transmite y almacena los datos de la tarjeta del cliente para garantizar que se cumplan los estándares PCI. Estos estándares pueden ayudar a los comerciantes a protegerse contra piratas informáticos y ladrones de información.
No cumplir con estos requisitos puede dejar que un negocio sea más vulnerable a los daños financieros y podría dar lugar a costosas tarifas de incumplimiento evaluadas por las marcas de tarjetas de crédito.
¿Cómo funciona el cumplimiento de PCI PCI??
Cada emisor de tarjeta tiene sus propias pautas de cumplimiento de PCI, por lo que es una buena idea que los dueños de negocios consulte con cada emisor para asegurarse de que cumplan con las calificaciones adecuadas. Para considerarse compatible con PCI, las empresas deben pasar por un proceso de tres pasos que incluya alcance, evaluación e informes.
Alcance
En el alcance, los dueños de negocios deben identificar todos los sistemas que si comprometidos podría afectar los datos del titular de la tarjeta. El alcance generalmente es un proceso anual que implica evaluar todos los sistemas y formas en que los datos del titular de la tarjeta interactúan con un negocio. Este proceso ayudará a determinar el tipo de evaluación necesaria, así como la magnitud y el costo.
Evaluación
La parte de evaluación del cumplimiento de PCI consiste en un cuestionario de autoevaluación o una auditoría en el sitio realizada por un asesor de seguridad calificado. Qué evaluación necesitará una empresa está determinada por los niveles comerciales de la compañía de tarjetas de crédito. Por ejemplo, las empresas que procesan bajo el número de transacciones de tarjetas especificados de un emisor cada año solo pueden necesitar un cuestionario de autoevaluación.
Los dueños de negocios pueden determinar su nivel de comerciante a través del sitio web designado de cada compañía de tarjetas de crédito, como estos para Visa, MasterCard y American Express.
Informes
Una vez que los propietarios de negocios completen la autoevaluación, deberán informarlo a la compañía de la tarjeta de crédito. Las empresas que califican para una evaluación en persona deben presentar un informe sobre el cumplimiento del emisor de la tarjeta de pago directamente. Las evaluaciones de cumplimiento de PCI solo se requieren anualmente, pero los propietarios de negocios pueden necesitar escaneos de vulnerabilidad trimestrales realizados por un proveedor de escaneo aprobado. Independientemente de la evaluación que se realice, informar los resultados de la auditoría a los emisores de la tarjeta de pago es el paso final para el cumplimiento de PCI PCI.
Control de llave
- El cumplimiento de PCI es el conjunto de estándares de la industria de tarjetas de crédito que las empresas que aceptan, transmiten y almacenan los datos del titular de la tarjeta.
- Hay 12 que las empresas de estándares técnicos y operativos deben adherirse para cumplir con el cumplimiento de PCI.
- Hay un proceso de tres pasos para cumplir con PCI: alcance, evaluación e informes.
- El proceso de evaluación implica tomar un cuestionario de autoevaluación o obtener una auditoría en el sitio.