Definición del cumplimiento de la PCI

Qué es el cumplimiento de la PCI?

El cumplimiento de la industria de las tarjetas de pago (PCI) es un mandato de las compañías de tarjetas de crédito para ayudar a garantizar la seguridad de las transacciones con tarjetas de crédito en la industria de los pagos. El cumplimiento del sector de las tarjetas de pago se refiere a las normas técnicas y operativas que siguen las empresas para asegurar y proteger los datos de las tarjetas de crédito proporcionados por los titulares y transmitidos a través de las transacciones de procesamiento de tarjetas. Las normas de cumplimiento de la PCI son desarrolladas y gestionadas por el PCI Security Standards Council.

Puntos clave

  • Se considera que las empresas que siguen y alcanzan los Estándares de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) cumplen con la PCI.
  • El Consejo de Normas de Seguridad de la PCI es el responsable de desarrollar la PCI DSS.
  • La DSS de la PCI tiene 12 requisitos clave, 78 requisitos básicos y 400 procedimientos de prueba para garantizar que las organizaciones cumplen con la PCI.
  • El cumplimiento de la PCI reduce las violaciones de datos, protege los datos de los titulares de las tarjetas, evita las multas y mejora la reputación de la marca.
  • El cumplimiento de la PCI no se exige por ley, pero se considera obligatorio por precedentes judiciales.

Comprender el cumplimiento de la PCI

La Comisión Federal de Comercio (FTC) tiene la responsabilidad de supervisar el procesamiento de las tarjetas de crédito, ya que entra dentro de la necesidad de protección y supervisión del consumidor. Aunque no existe necesariamente un mandato normativo para el cumplimiento de la PCI, se considera obligatorio a través de los precedentes judiciales.

En general, el cumplimiento de la PCI es un componente esencial del protocolo de seguridad de cualquier empresa de tarjetas de crédito. Por lo general, las compañías de tarjetas de crédito lo exigen y se menciona en los acuerdos de la red de tarjetas de crédito.

El PCI Standards Council es responsable del desarrollo de las normas para el cumplimiento de la PCI. Estas normas se aplican al procesamiento en comercios y también se han ampliado para establecer los requisitos de las transacciones encriptadas por Internet. Otras entidades clave que también están asociadas con el establecimiento de normas en la industria de las tarjetas de crédito son The Card Association Network y el Cámara Nacional de Compensación Automatizada (NACHA).

Requisitos para el cumplimiento de la PCI

Las normas de cumplimiento de la PCI exigen a los comerciantes y otras empresas que manejen la información de las tarjetas de crédito de forma segura, lo que ayuda a reducir la probabilidad de que los titulares de las tarjetas sufran el robo de información confidencial de sus cuentas financieras. Si los comerciantes no manejan la información de las tarjetas de crédito de acuerdo con las normas PCI, la información de las tarjetas podría ser pirateada y utilizada para una multitud de acciones fraudulentas. Además, la información sensible sobre el titular de la tarjeta podría utilizarse para el fraude de identidad.

Cumplir con el PCI significa adherirse constantemente a un conjunto de directrices establecidas por el Consejo de Normas del PCI. El cumplimiento de la PCI se rige por el Consejo de Estándares de la PCI, una organización formada en 2006 con el propósito de gestionar la seguridad de las tarjetas de crédito.

Los requisitos desarrollados por el Consejo se conocen como Normas de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS). PCI DSS tiene 12 requisitos clave, 78 requisitos básicos y más de 400 procedimientos de prueba. Las directrices también se consideran las mejores prácticas de seguridad. Sus 12 requisitos principales son los siguientes

  • Implementar cortafuegos para proteger los datos
  • Protección adecuada de las contraseñas
  • Proteger los datos de los titulares de las tarjetas
  • Cifrado de los datos de los titulares de las tarjetas transmitidos
  • Utilizar software antivirus
  • Actualizar el software y mantener los sistemas de seguridad
  • Restringir el acceso a los datos de los titulares de las tarjetas
  • Asignación de identificaciones únicas a las personas con acceso a los datos
  • Restringir el acceso físico a los datos
  • Crear y controlar los registros de acceso
  • Probar los sistemas de seguridad con regularidad
  • Crear una política que esté documentada y que se pueda seguir
  • La versión más reciente de PCI DSS se publicó en mayo de 2018 y se denomina versión 3.2.1. En general, los seis objetivos y los 12 requisitos esbozan una serie de pasos que los procesadores de tarjetas de crédito deben seguir continuamente. En primer lugar, se pide a las empresas que evalúen sus redes y sistemas, lo que incluye la infraestructura informática, los procesos empresariales y los procedimientos de gestión de las tarjetas de crédito.

    Beneficios del cumplimiento de la PCI

    El mantenimiento constante y la evaluación de cualquier brecha en la seguridad también son muy importantes para evitar el robo de información sensible de los titulares de tarjetas, como los números de la seguridad social y del permiso de conducir, siempre que sea posible.

    Las empresas están obligadas a proporcionar informes de cumplimiento de forma regular como parte de sus acuerdos de procesamiento de tarjetas. La supervisión, las evaluaciones y las auditorías de las Normas de Seguridad de Datos del Sector de las Tarjetas de Pago son una parte importante del departamento de seguridad de una empresa.

    Todas las empresas que procesan información de tarjetas de crédito están obligadas a mantener el cumplimiento de la PCI según lo indicado en sus acuerdos de procesamiento de tarjetas. El cumplimiento de la PCI es el estándar del sector y las empresas que no lo cumplen pueden recibir multas considerables por incumplimiento de acuerdos y negligencia. Sin el cumplimiento de la norma PCI, las empresas también son muy vulnerables a robos, fraudes y violaciones de datos.

    95%

    El porcentaje de violaciones de la ciberseguridad que son causadas por un error humano.

    Los beneficios del cumplimiento incluyen la reducción del riesgo de violaciones de datos, salvaguardando los datos de los titulares de las tarjetas, evitando así las posibilidades de robo de identidad. Es una buena práctica para las empresas cumplir con la normativa, ya que reduce las multas relacionadas con las violaciones de datos, ayuda a la reputación de la marca de la empresa y mantiene a los clientes contentos y seguros de que están haciendo negocios con una empresa responsable, lo que conduce a la lealtad de la marca.

    En el primer semestre de 2020, hubo 36.000 millones de registros expuestos a través de violaciones de datos. El 86% de las infracciones tienen una motivación económica y, dado que se espera que el mercado mundial de la seguridad de la información alcance los 170.000 millones de dólares en 2020, el riesgo financiero es aún mayor. Proteger los datos de los titulares de las tarjetas no sólo es bueno para el negocio, sino que también es lo correcto, ya que garantiza que las personas no se vean perjudicadas ni sufran pérdidas económicas.

    El cumplimiento de la PCI y las violaciones de datos

    El cumplimiento de la PCI ayuda a evitar actividades fraudulentas y mitiga las violaciones de datos. Verizon ofrece una evaluación anual de la seguridad de los pagos en su „Informe de seguridad de los pagos de Verizon”.” El informe de 2019 dedica una sección entera a PCI DSS, llamada „El estado del cumplimiento de PCI DSS, 2019: Y 12 requisitos clave.” Algunos aspectos destacados de la PCI DSS del „Informe de seguridad de pagos de Verizon 2019” son los siguientes:

    • 36.El 7% de las organizaciones mantenían activamente los programas PCI DSS en 2018.
    • La región de Asia-Pacífico superó a América, Europa, Oriente Medio y África.
    • Desde el punto de vista de la industria, la hostelería va algo por detrás de otros sectores.

    Preguntas frecuentes sobre el cumplimiento de la PCI

    ¿Qué significa que cumple con la PCI??

    Cumplir con la PCI significa que cualquier empresa u organización que acepte, transmita o almacene los datos privados de los titulares de las tarjetas cumple con las diversas medidas de seguridad indicadas por el PCI Security Standard Council para garantizar que los datos se mantienen seguros y privados.

    ¿El cumplimiento de la PCI es obligatorio por ley??

    No existe un mandato normativo que exija el cumplimiento de la PCI, pero se considera obligatorio por precedentes judiciales.

    Cómo cumplir con la PCI?

    Para cumplir con la PCI, primero debe determinar qué cuestionario de autoevaluación debe seguir para cumplirla. Una vez que termine el cuestionario, debe completar y tener evidencia de haber pasado un escaneo de vulnerabilidad con un proveedor de escaneo aprobado por el PCI SSC. El escaneo sólo se aplica a algunos comercios. A continuación, tendrá que rellenar el certificado de cumplimiento. El último paso será presentar toda la información anterior.

    Quién debe cumplir con la PCI?

    Cualquier empresa u organización que acepte, transmita o almacene datos privados de titulares de tarjetas.

    El resultado final

    El cumplimiento de la PCI se refiere a las normas técnicas y operativas establecidas por el Consejo de Normas de Seguridad de la PCI que las organizaciones deben aplicar y mantener. El objetivo de cumplir con el PCI es proteger los datos de los titulares de tarjetas y se aplica a cualquier organización que acepte, transmita o almacene esos datos. Cumplir con la normativa PCI es una buena práctica empresarial, ya que pone en primer lugar la seguridad de los datos de los consumidores y también beneficia a una organización a través de una reputación de marca positiva.

    Nuestro equipo requiere que los escritores utilicen fuentes primarias para apoyar su trabajo. Se trata de libros blancos, datos gubernamentales, informes originales y entrevistas con expertos del sector. También hacemos referencia a investigaciones originales de otras editoriales de renombre cuando es necesario. Puede obtener más información sobre las normas que seguimos para producir contenidos precisos e imparciales en nuestro
    política editorial.

    1. Consejos del CIO. "Qué es el cumplimiento de la PCI?" Consultado el 4 de marzo de 2021.

    2. Varonis. "134 Estadísticas y tendencias de ciberseguridad para 2021." Consultado el 4 de marzo de 2021.

    3. Varonis. "134 Estadísticas y tendencias de ciberseguridad para 2021." Consultado el 4 de marzo de 2021.

    4. PCIComplianceGuide. "Fundamentos y guía rápida de la PCI." Consultado el 4 de marzo de 2021.

    Dodaj komentarz