Rellena el formulario de solicitud y empieza a vender.
+34 968 079 125
WhatsApp: +34 613 01 87 17
Síguenos en LinkedIn
Solicitar llamada gratis
PCI DSS
  1. Glosario Financiero PayOk
  2. PCI DSS

PCI DSS

Índice [Ocultar] [Mostrar]

Qué es PCI DSS?

PCI DSS es el acrónimo de Payment Card Industry Data Security Standard (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago). Es un conjunto de normas y procedimientos de seguridad que las empresas deben seguir para proteger la información de las tarjetas de crédito, débito y efectivo de los clientes.

El estándar PCI DSS fue desarrollado por el Security Standards Council de la Payment Card Industry, un consorcio de las principales compañías de tarjetas de crédito, incluyendo Visa, MasterCard, American Express, Discover y JCB.

Que tipo de empresas tienen de cumplir con las normas PCI DSS?

El estándar de seguridad de datos para la industria de tarjetas de pago (PCI DSS) se aplica a todas las entidades que almacenan, procesan o transmiten datos de tarjetahabientes. Esto incluye a todos los comerciantes, sin importar su tamaño o el número de transacciones que procesan, así como a cualquier proveedor de servicios que maneje datos de tarjetahabientes en nombre de los comerciantes.

Aquí hay algunos ejemplos de entidades que necesitan cumplir con PCI DSS:

  • Comerciantes de venta al por menor: Las tiendas físicas que aceptan tarjetas de crédito o débito para las transacciones deben cumplir con PCI DSS para proteger la información de las tarjetas de sus clientes.

  • Negocios de comercio electrónico: Los negocios que aceptan pagos con tarjeta a través de su sitio web también deben cumplir con PCI DSS. Esto se aplica tanto si almacenan la información de la tarjeta en sus propios sistemas como si la pasan a un procesador de pagos de terceros.

  • Organizaciones sin ánimo de lucro: Las organizaciones que aceptan donaciones con tarjeta de crédito o débito, ya sea en persona, por teléfono o en línea, también están sujetas a PCI DSS.

  • Proveedores de servicios: Cualquier empresa que procese, transmita o almacene datos de tarjetahabientes en nombre de un comerciante debe cumplir con PCI DSS. Esto incluye a los proveedores de servicios de pago, los proveedores de alojamiento web, los centros de llamadas y otros.

Es importante recordar que el cumplimiento de PCI DSS no es opcional. Las entidades que no cumplan con estos estándares pueden enfrentar multas y otras sanciones, y también corren un mayor riesgo de sufrir una violación de datos.

Requisitos para cumplimiento de PCI DSS

El estándar de seguridad de datos para la industria de tarjetas de pago (PCI DSS) establece 12 requisitos generales divididos en 6 categorías de control que una organización necesita para estar en conformidad. A continuación, se enumeran estas categorías y requisitos:

  • Construir y mantener una red segura y sistemas

  1. Instalar y mantener un firewall configurado para proteger los datos de los tarjetahabientes.

  2. No utilizar contraseñas y otros parámetros de seguridad proporcionados por el proveedor para los sistemas y componentes de seguridad.

  • Proteger los datos del tarjetahabiente

  1. Proteger los datos almacenados de los titulares de tarjetas.

  2. Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes abiertas y públicas.

  • Mantener un programa de gestión de vulnerabilidades

  1. Proteger todos los sistemas contra malware y actualizar regularmente el software antivirus.

  2. Desarrollar y mantener sistemas y aplicaciones seguras.

Implementar medidas de control de acceso sólidas

  1. Restringir el acceso a los datos de los tarjetahabientes solo a personas autorizadas.

  2. Identificar y autenticar el acceso a los componentes del sistema.

  3. Restringir el acceso físico a los datos de los titulares de tarjetas.

Supervisar y probar regularmente las redes

  1. Realizar un seguimiento y monitorizar todo el acceso a los recursos de red y los datos del tarjetahabiente.

  2. Probar regularmente los sistemas y procesos de seguridad.

  • Mantener una política de seguridad de la información

  1. Mantener una política que aborde la seguridad de la información para todo el personal.

Además de estos requisitos, es importante tener en cuenta que el cumplimiento de PCI DSS no es un evento único, sino un proceso continuo de evaluación y mejora de la seguridad. La organización debe revisar y, si es necesario, actualizar su cumplimiento de PCI DSS al menos una vez al año, o siempre que se realicen cambios significativos en su red o procesos de manejo de tarjetas de pago.

PCI DSS y Comercio electrónico

En el comercio electrónico, el cumplimiento de las normas PCI DSS (Payment Card Industry Data Security Standard) es extremadamente importante debido a la gran cantidad de transacciones con tarjeta de crédito y débito que se procesan en línea y al alto riesgo de robo y fraude de datos.

Aquí se explica cómo se aplica PCI DSS al comercio electrónico:

  • Transacciones seguras: Las tiendas en línea deben garantizar que todas las transacciones se realicen de manera segura. Esto significa que los datos de la tarjeta de crédito o débito deben estar cifrados cuando se transmiten a través de Internet para evitar que los hackers los intercepten.
  • Almacenamiento seguro de datos: Si una tienda en línea almacena la información de la tarjeta de crédito o débito de un cliente para futuras transacciones, estos datos deben almacenarse de forma segura. PCI DSS establece reglas estrictas sobre cómo y dónde se pueden almacenar estos datos.
  • Procesadores de pago de terceros: Algunas tiendas en línea utilizan procesadores de pago de terceros para manejar las transacciones con tarjeta de crédito. En estos casos, es responsabilidad del comerciante asegurarse de que el procesador de pagos también cumpla con PCI DSS.
  • Pasarelas de pago: Las pasarelas de pago, que son los servicios que transmiten los datos de las transacciones de la tarjeta de crédito o débito al procesador de pagos o al banco, también deben cumplir con PCI DSS.
  • Proveedores de servicios de comercio electrónico: Las plataformas de comercio electrónico y los proveedores de servicios de alojamiento también tienen la responsabilidad de cumplir con PCI DSS.
  • Mantenimiento continuo: El cumplimiento de PCI DSS no es un evento único. Requiere un mantenimiento y monitoreo continuos para asegurar que los sistemas y las prácticas de seguridad se mantengan actualizados y sean efectivos.

Es importante recordar que incluso si una empresa de comercio electrónico utiliza proveedores de servicios de terceros para manejar las transacciones con tarjeta de crédito, la empresa todavía es responsable de garantizar el cumplimiento de PCI DSS. La no conformidad puede resultar en multas y sanciones, así como en la pérdida de la capacidad para aceptar pagos con tarjeta de crédito o débito.