Inicio
|
|
|
¿Qué es el cumplimiento de la PCI?

¿Qué es el cumplimiento de la PCI?

Nuvei reconoce la necesidad de la más alta seguridad disponible para proteger a nuestros comerciantes y sus clientes. En cumplimiento de las normas de seguridad de datos PCI, hemos cumplido y superado todos los requisitos establecidos como proveedor de servicios de nivel 1.

La frase "más vale prevenir que curar" se aplica a los pagos tanto como a cualquier otro campo.

El cumplimiento de la industria de tarjetas de pago (PCI ) es una parte esencial de un programa eficaz de prevención del fraude. Veamos qué es y cómo funciona.

Pero antes, repasemos brevemente por quées necesario...

La magnitud del fraude

El coste medio de una violación de datos en todo el mundo alcanzó un máximo histórico de 4,35 millones de USD en 2022.

El Centro Canadiense de Lucha contra el Fraude (CAFC) registró 29.500 casos de usurpación de identidad solo en Canadá en 2021, frente a los 20.400 del año anterior.

Y en el Reino Unido se robaron 1.300 millones de libras esterlinas en fraudes autorizados o no autorizados.

La prevención desempeñó un papel importante. Por ejemplo, los bancos y las entidades financieras evitaron fraudes por valor de 1 400 millones de libras esterlinas en el Reino Unido en 2021.

Pero son muchos los retos a los que se enfrentan las empresas y el sector de los pagos en los próximos años.

Se prevé que el coste anual mundial de la ciberdelincuencia aumente de 6 billones de dólares en 2023 a 10,5 billones en 2025.

Cumplimiento de la normativa PCI para su empresa

Como todo empresario, usted está ocupado dirigiendo su empresa y ocupándose de un millón de cosas diferentes cada día. No tiene tiempo para asuntos que no tengan que ver con las operaciones cotidianas de su empresa.

Sin embargo, la prevención del fraude debe ser una de esas prioridades cotidianas.

La confianza de sus clientes es uno de los activos más valiosos de su empresa. Los datos personales robados pueden destruir la confianza y las buenas relaciones que construyes con tus clientes a lo largo de los años.

Una violación de datos puede dañar gravemente la reputación de su marca. Y hay un alto coste asociado a la violación.

Muchos comerciantes piensan que las filtraciones de datos sólo afectan a las grandes empresas. Pero en realidad, la gran mayoría de las violaciones de datos de tarjetas de crédito han afectado a empresas más pequeñas.

Por eso es tan importante seguir las normas y reglamentos del sector de las tarjetas de pago y cumplirlos en todo momento.

De lo contrario, podría enfrentarse a una serie de riesgos de multas, pérdida de tiempo, pérdida de clientes, honorarios de abogados y una reputación dañada...

¿Qué es el cumplimiento de la normativa PCI?

La conformidad con la PCI se refiere a la adhesión a la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), un conjunto de requisitos de seguridad destinados a proteger los datos de los titulares de tarjetas durante las transacciones.

El Payment Card Industry (PCI), que incluye a Visa, MasterCard, American Express y otras marcas líderes de tarjetas, exige el cumplimiento de las normas PCI. Y las normas las mantiene el PCI Security Standards Council (PCI SSC).

Para obtener y mantener un certificado de cumplimiento de la normativa PCI, los proveedores de servicios, bancos y comercios de gran volumen deben seguir unas estrictas directrices de seguridad. Y una evaluación de seguridad por terceros comprueba su cumplimiento de estas directrices.

¿Cuáles son los requisitos de cumplimiento de la normativa PCI?

Existen distintos niveles de requisitos de cumplimiento de la normativa PCI (véase más adelante "¿Existen distintos niveles de cumplimiento de la normativa PCI?"). Y hay diferentes categorías de requisitos específicos, entre ellos:

  • Principales requisitos (véase más abajo)
  • Requisitos básicos
  • Procedimientos de ensayo

Estas normas se actualizan de vez en cuando, por lo que siempre merece la pena consultar el sitio web oficial del Consejo de Normas de Seguridad de la PCI para obtener noticias e información sobre las actualizaciones.

Los principales requisitos de PCI DSS

A continuación se ofrece un resumen de alto nivel de los requisitos PCI de la actualización de las normas Vol. 4.0, de marzo de 2022 (véase más abajo, "¿Qué es PCI DSS v4.0?").

Construir y mantener una red y unos sistemas seguros

  1. Instalar y mantener controles de seguridad de la red
  2. Aplicar configuraciones seguras a todos los componentes del sistema

Proteger los datos de la cuenta

  1. Proteger los datos almacenados de las cuentas
  2. Proteger los datos de los titulares de tarjetas con una criptografía robusta durante la transmisión a través de redes públicas abiertas

Mantener un programa de gestión de vulnerabilidades

  1. Proteja todos los sistemas y redes del software malintencionado
  2. Desarrollar y mantener sistemas y programas informáticos seguros

Implantar fuertes medidas de control de acceso

  1. Restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas por necesidad de conocimiento de la empresa
  2. Identificar usuarios y autenticar el acceso a los componentes del sistema
  3. Restringir el acceso físico a los datos de los titulares de tarjetas

Supervisar y probar regularmente las redes

  1. Registrar y supervisar todos los accesos a los componentes del sistema y a los datos de los titulares de tarjetas
  2. Pruebe periódicamente la seguridad de sistemas y redes

Mantener una política de seguridad de la información

  1. Respaldar la seguridad de la información con políticas y programas organizativos

¿Existen diferentes "niveles" de cumplimiento de la PCI?

Sí, existen cuatro niveles diferentes de cumplimiento de la normativa PCI para comerciantes. Cada uno de ellos se basa en un volumen de transacciones diferente a lo largo de 12 meses.

Consulte la tabla siguiente para conocer los distintos niveles de comercio definidos por Visa.

Los 4 niveles comerciales de cumplimiento de la normativa PCI

[Tabla]

¿Cuáles son las sanciones por incumplimiento?

El incumplimiento de las normas PCI puede resultar muy costoso...

Los bancos adquirentes se enfrentan a multas de entre 5.000 y 100.000 dólares al mes por incumplimiento de la normativa PCI.

Estas cantidades podrían ser críticas para las organizaciones más pequeñas y obligarlas a cerrar.

Los comerciantes no siempre son multados directamente, pero las sanciones pueden afectarles en sentido descendente mediante el aumento de las comisiones por transacción o incluso la rescisión de las relaciones bancarias.

Ventajas del cumplimiento de PCI DSS

  1. Previene o reduce el fraude

El cumplimiento de la normativa PCI ayuda a las empresas a aplicar las mejores prácticas para prevenir o reducir el fraude. Estas normas se actualizan continuamente e incorporan aportaciones de diversos expertos del sector.

  1. Genera confianza entre clientes y socios

Saber que su empresa cumple la normativa PCI tranquiliza a los demás en cuanto a que su empresa puede mantener sistemas seguros.

Y algunos socios potenciales, sobre todo las grandes empresas, pueden exigirlo.

  1. Aumenta la elegibilidad para reglamentos adicionales

Cumplir la normativa PCI coloca a su empresa en una buena posición para cumplir otros marcos y normas de seguridad.

Entre ellas figuran:

  • ISO/IEC 27001
  • GDPR (Reglamento General de Protección de Datos)
  • HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios)
  • SOC (Controles de Sistemas y Organización)

Esto se debe en gran parte a que algunos aspectos de los buenos protocolos de seguridad se mantienen.

Desventajas del cumplimiento de PCI DSS

  1. Es técnico y complicado

El cumplimiento de la normativa PCI abarca una amplia gama de áreas relacionadas con el procesamiento de pagos, como la seguridad de la red, el almacenamiento de datos y el cifrado.

Cumplir sus requisitos con un alto nivel de calidad requiere un conocimiento profundo y variado de un campo sofisticado y técnico.

Las normas de cumplimiento PCI DSS también se actualizan periódicamente para hacer frente a nuevas amenazas y vulnerabilidades de seguridad. Mantener la conformidad significa estar al día de estos cambios y de su aplicación.

  1. Es caro.

El coste exacto de obtener la certificación PCI depende del tamaño y la escala de su organización y del nivel de cumplimiento que tenga.

Además de utilizar sus recursos internos, también requiere la colaboración de terceros.

Existen estimaciones aproximadas de los costes medios en línea procedentes de diversas fuentes. Suelen converger en torno a los 20.000 USD para las pequeñas empresas y entre 35.000 y 200.000 USD para las grandes.

Otros costes incluyen el escaneo trimestral de vulnerabilidades externas, el escaneo de vulnerabilidades internas y las pruebas anuales de penetración externas e internas.

¿Cuántas empresas cumplen la normativa PCI?

El cumplimiento de la normativa PCI es obligatorio para todas las organizaciones que transfieren y almacenan datos de titulares de tarjetas.

Ya en 2017, el director general global de Verizon para consultoría de seguridad Rodolphe Simonetti, director general global comentó:

"Aunque es positivo ver que aumenta el cumplimiento de la normativa PCI, lo cierto es que más del 40% de las organizaciones mundiales que hemos evaluado -grandes y pequeñas- siguen sin cumplir las normas PCI DSS. De las que superan la validación, casi la mitad dejan de cumplir las normas en el plazo de un año, y muchas mucho antes."

Pero según un informe de Verizon de 2020, las empresas que cumplieron con todos los niveles globales de PCI DSS aumentaron al 43,4% (desde el 27,9% en 2019).

La importancia de escanear periódicamente las vulnerabilidades

Sin embargo, muchas violaciones de la seguridad de los datos son evitables. Todavía tienden a ser poco sofisticadas y pueden anularse con defensas básicas sólidas.

Si su empresa utiliza una conexión IP, debería realizar un análisis de vulnerabilidades cada tres meses.

El análisis de conformidad incluye análisis de vulnerabilidades internas y externas a través de nuestro proveedor de análisis autorizado (ASV). Ambos escaneos deben realizarse de forma periódica para asegurarse de que los sistemas de seguridad están actualizados.

Un escáner de vulnerabilidades es un programa diseñado para escanear los puntos débiles de tus redes y encontrar áreas que necesitan mejoras. También evalúa su configuración.

El escáner identifica los puntos en los que la red está expuesta a riesgos mediante comprobaciones:

  • Puertos
  • Dispositivos que podrían conectarse a distancia
  • Cámaras de seguridad
  • Página web

Una exploración de vulnerabilidades externas busca agujeros en los cortafuegos de su red, por donde pueden colarse intrusos malintencionados y atacar su red.

Las posibles multas por incumplimiento (véase más arriba "¿Cuáles son las sanciones por incumplimiento?") podrían llegar a ser críticas para una empresa más pequeña. Incluso podrían obligarla a cerrar.

Por eso es tan importante realizar un análisis de cumplimiento de forma periódica.

Es mucho más fácil tomar medidas para evitar que se produzca una infracción que hacer frente a las consecuencias después.

Otras cuestiones relacionadas con el cumplimiento de la normativa PCI:

¿A qué transacciones con tarjeta se aplica el cumplimiento de la normativa PCI?

El cumplimiento de la norma PCI se aplica a todas las tarjetas de débito, crédito y prepago que lleven el logotipo de una de las cinco asociaciones de tarjetas (o marcas de tarjetas) que participan en el PCI SSC:

  • American Express
  • Descubra
  • JCB
  • MasterCard
  • Visa Internacional

¿Qué son exactamente los "datos del titular de la tarjeta"?

Los datos del titular de la tarjeta son toda la información almacenada, procesada o transmitida que puede identificar personalmente al titular de la tarjeta o asociarse a él. Esto incluye nombre, dirección, número de cuenta, etc.

¿Dónde puedo encontrar las normas de seguridad de datos de la PCI (PCI DSS)?

Nuvei ha recibido un certificado de Cumplimiento PCI hacia los requisitos de los métodos de validación de los Estándares de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI).

Puede encontrarlos en el sitio web del PCI SSC.

¿Qué es PCI DSS v4.0?

Desde su lanzamiento en 2006, la norma PCI DSS ha sido objeto de varias actualizaciones. PCI DSS v4.0 es la última versión. Su desarrollo comenzó en 2017 y se publicó en 2022.

Sustituye a una versión anterior (PCI DSS v3.2.1) que también es válida, pero sólo hasta el 31 de marzo de 2024.

Los objetivos declarados de PCI DSS v4.0 son:

  • Garantizar que la norma siga satisfaciendo las necesidades de seguridad del sector de los pagos.
  • Añada flexibilidad para admitir las distintas tecnologías que se utilizan para lograr la seguridad.
  • Promover la seguridad como un proceso continuo
  • Mejorar los métodos y procedimientos de validación

Un ejemplo de uno de sus métodos para cumplir el primer punto anterior fue introducir la autenticación multifactor para todos los accesos al entorno de datos del titular de la tarjeta (CDE). Esta medida se suma a los requisitos de autenticación multifactor a distancia.

¿Qué pasa si sólo acepto tarjetas de crédito por teléfono, se me sigue aplicando la PCI?

Como ya se ha mencionado, cualquier empresa que almacene, procese o transmita datos de titulares de tarjetas debe cumplir la normativa PCI.

Si mi empresa tiene varias sedes, ¿tengo que validar el cumplimiento de la normativa PCI en cada una de ellas?

A menos que cada ubicación procese con un número de identificación fiscal diferente, sólo se le exigirá una validación anual para todas las ubicaciones. También se le puede exigir que presente escaneos trimestrales de la red por parte de un proveedor de escaneos aprobado por el PCI SSC (ASV), si procede.

Cuestionario de autoevaluación del cumplimiento de la normativa PCI (SAQ) de Nuvei

Nuestro cuestionario de autoevaluación (SAQ) está diseñado para ayudar a las empresas a crear procesos y procedimientos empresariales adecuados para mantener a salvo los datos confidenciales de sus clientes.

Consiste en una lista de preguntas que ayudan a los comerciantes a comprender los procesos correctos de la PCI a un nivel intuitivo.

Por ejemplo:

¿Se trituran, incineran o despulpanlos materiales impresos de forma que no puedan reconstruirse los datos de los titulares de lastarjetas?".

En esencia, esta pregunta le indica cómo deben eliminarse los materiales impresos de conformidad con la normativa PCI.

Cada pregunta aporta aclaraciones y orientaciones y ayuda a crear procesos internos y prácticas correctas para su empresa.

Diríjase al sitio web de nuestro proveedor de soluciones de PCI para realizar nuestro SAQ. El sitio web le guiará por los pasos y le ayudará a seleccionar la categoría adecuada para su empresa.

Conclusión

La creciente magnitud del fraude es una señal sobre la importancia del cumplimiento de la normativa PCI para proteger los datos de los titulares de tarjetas.

El cumplimiento de la PCI se refiere a la adhesión a la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), que mantiene el Consejo de Normas de Seguridad de la PCI.

Los requisitos para el cumplimiento de la normativa PCI incluyen puntos como:

  • Creación y mantenimiento de redes y sistemas seguros
  • Protección de los datos de las tarjetas de pago
  • Mantener un programa de gestión de la vulnerabilidad

y mucho más.

El cumplimiento de la norma PCI DSS tiene varias ventajas, como la prevención o reducción del fraude, el fomento de la confianza de clientes y socios y la posibilidad de acogerse a normativas adicionales.

Sin embargo, también tiene algunas desventajas. Es técnico, complicado y caro, aunque el coste exacto de obtener la certificación depende del tamaño y la escala de la organización.

El incumplimiento puede acarrear importantes multas para las entidades financieras, el aumento de las comisiones por transacciones o incluso la rescisión de las relaciones bancarias con sus clientes.

Para mantener el cumplimiento de la normativa, las empresas deben realizar análisis periódicos de vulnerabilidad para identificar y corregir los puntos débiles de sus redes.

El uso de un cuestionario de autoevaluación (SAQ) puede ayudar a las empresas a comprender y aplicar procesos PCI adecuados.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Entradas recientes
BUSCAR POR CATEGORÍA
BUSCAR POR ETIQUETAS

Pagos diseñados para acelerar su negocio.

Más información
Soluciones
Características
empresa
contactar con
Linkedin Facebook X Logotipo de Twitter - Brandlogos.net Instagram Youtube Estrella
centro de ayuda
Conozca a Nuvei. Nuestra tecnología a prueba a futuro permite a las empresas aceptar opciones de pago de ultima generación, optimizar nuevos flujos de ingresos y sacar el provecho máximo de su pila existente, toda en una sola plataforma.
Copyright © Nuvei - Todos los derechos reservados 2024.