El Payment Card Industry Data Security Standard (PCI DSS) es un conjunto de normativas esenciales para proteger la información sensible en transacciones con tarjetas de crédito, débito y prepago. Esta normativa internacional asegura que cualquier entidad que procese, almacene o transmita datos de titulares de tarjetas cumpla con estrictas medidas de seguridad para proteger la información contra el fraude.
Desarrollado en 2006 por el Payment Card Industry Security Standards Council (PCI SSC), el PCI DSS es un marco vital para mantener la seguridad en el procesamiento de pagos. Abarca desde grandes multinacionales hasta pequeños comercios que operan a través de servicios de terceros para procesar transacciones.
¿Para qué sirve el PCI DSS?
El objetivo principal del PCI DSS es reducir el riesgo de filtraciones de datos y ciberataques en el ecosistema de pagos electrónicos. Cada vez que se realiza una transacción, ya sea en línea o en persona, la normativa se asegura de que los datos del titular de la tarjeta, como el número de cuenta, la fecha de vencimiento y el código de seguridad, estén adecuadamente protegidos.
Un estudio reciente del Nilson Report predice que, en la próxima década, se perderán más de 397.000 millones de dólares a nivel global debido a fraudes relacionados con tarjetas de pago. El cumplimiento con PCI DSS se presenta como una medida imprescindible para evitar pérdidas económicas masivas tanto para empresas como para consumidores.
¿Qué normas debe cumplir una empresa bajo el PCI DSS?
El PCI DSS establece 12 requisitos clave, organizados en seis objetivos de control que las empresas deben cumplir para mantener la seguridad de los datos de las tarjetas.
Cómo desarrollar y mantener una red segura:
Se exige instalar y mantener configuraciones de firewall: las contraseñas y configuraciones predeterminadas de proveedores no deben usarse.
Proteger los datos de los titulares de tarjetas: los datos deben estar encriptados y protegidos mediante técnicas seguras y la información debe mantenerse cifrada en redes públicas.
Mantener un programa de gestión de vulnerabilidades: realizar la implementación regular de software antivirus, así como la actualización continua de sistemas para detectar vulnerabilidades.
Implementar medidas de control de acceso estrictas: mantener acceso restringido basado en el principio de "necesidad de saber" y asignar identificaciones únicas a los usuarios.
Monitorear y probar redes regularmente: realizar el registro continuo del acceso a los datos de los titulares de tarjetas, pruebas regulares de sistemas y procedimientos de seguridad y mantener una política de seguridad de la información.
¿Cómo afecta el cumplimiento del PCI DSS?
El cumplimiento del PCI DSS es global y afecta a todas las organizaciones que procesan más de un determinado número de transacciones al año, clasificándolas en cuatro niveles. Cuanto mayor sea el volumen de transacciones, más rigurosos serán los requisitos de auditoría y las medidas de control de seguridad que se deberán implementar.
Por ejemplo, los comercios de nivel 1, que procesan más de seis millones de transacciones anuales, están sujetos a auditorías anuales y análisis trimestrales. Los comercios de niveles más bajos, como el nivel 4, que procesan menos de 20.000 transacciones anuales, solo deben presentar cuestionarios de autoevaluación y certificaciones aprobadas por terceros.
No cumplir con el PCI DSS conlleva multas significativas, suspensiones en el uso de tarjetas como método de pago, y riesgos de pérdida de confianza por parte de los consumidores. Las marcas de tarjetas, como Visa y Mastercard, tienen la autoridad para imponer estas sanciones a las empresas que no logran garantizar la seguridad en el manejo de los datos.
¿Cuáles son las últimas actualizaciones del PCI DSS?
En 2022, se lanzó la versión 4.0 del PCI DSS para hacer frente a nuevas amenazas cibernéticas y mejorar los métodos de seguridad. Por eso, ecollect cuenta con la última versión actualizada para ofrecer la mejor experiencia a sus clientes. Esta versión introduce requisitos adicionales como la autenticación multifactor (MFA) para accesos a los datos de las tarjetas, actualizaciones en la terminología de firewalls, y una mayor flexibilidad en los métodos de implementación de los controles de seguridad.
Las organizaciones tienen hasta marzo de 2025 para cumplir con todas las exigencias de la versión 4.0. Esta actualización refleja el compromiso continuo del PCI SSC para mejorar la protección frente a la creciente sofisticación de los ciberataques.
Cumplir con el PCI DSS no solo protege a los titulares de tarjetas de crédito y débito, sino que también fortalece la reputación y la estabilidad financiera de las empresas que gestionan transacciones de pago. La normativa continúa evolucionando para enfrentar nuevos desafíos en un mundo cada vez más digitalizado.
Comments