¿Necesito ser compatible con PCI? Probablemente esa sea la pregunta que te has estado haciendo y lo que te llevó a leer este artículo. Bueno, la confianza es uno de los factores que impulsan el éxito del comercio electrónico y de las tiendas físicas.
Sin él, atraer nuevos clientes sería mucho más difícil. Para ayudar a mantener la confianza, la industria de pagos junto con las compañías de tarjetas de crédito han implementado un conjunto de prácticas que todos los comerciantes y proveedores de servicios deben seguir.
Estas prácticas se conocen bajo el paraguas de cumplimiento de PCI, lo que significa que usted está practicando todas las pautas necesarias para promover la seguridad y la integridad de los datos al manejar los datos de las tarjetas de los clientes.
En las siguientes secciones, explicaremos qué significa el cumplimiento de PCI y cómo puede determinar fácilmente si cumple con PCI o no.
¿Qué tiene que ver la confianza con el éxito de una empresa?
Poder procesar tarjetas de crédito y débito es un requisito para casi todos los negocios. Para un negocio de comercio electrónico, es completamente esencial.
El procesamiento de tarjetas de crédito y débito también conlleva cierto grado de responsabilidad. Los clientes le confían información financiera confidencial y esa confianza debe mantenerse para que toda la red de pagos pueda seguir funcionando.
Si los clientes ya no se sienten seguros ingresando la información de su tarjeta de crédito en el sitio web de una empresa, eso perjudica a todas las empresas con tasas de conversión más bajas y menos ventas.
¿Qué es el cumplimiento de PCI en Puerto Rico?
Para empezar, es necesario explicar exactamente qué es el cumplimiento de PCI y de dónde viene.
PCI se refiere a la industria de tarjetas de pago. El grupo de trabajo creado por la industria de pagos se conoce como PCI SSC o Payment Card Industry Security Standards Council.
El PCI SSC es un organismo industrial, no un organismo legal o gubernamental. Su objetivo es mantener la seguridad de la industria de pagos en su conjunto, así como de las redes que la rodean. Ya sean redes privadas de empresas que procesan pagos o redes administradas por la propia industria de pagos.
Todas las entidades involucradas en el procesamiento de pagos deben cumplir con los estándares establecidos por el PCI SSC. El PCI SCC también ofrece cursos de certificación de cumplimiento de PCI para particulares y empresas.
Los estándares completos se conocen como PCI DSS o Estándar de Seguridad Digital de la industria de tarjetas de pago y estas son las pautas y reglas específicas que se deben seguir para cumplir con PCI.
Como comerciante o dueño de un negocio, el área clave que debe preocuparle es PCI DSS, ya que es lo que deberá seguir.
Los estándares PCI DSS y PCI SSC son estándares industriales voluntarios, lo que significa que no hay ninguna autoridad legal detrás de ellos. Sin embargo, los comerciantes y proveedores de servicios deben seguir estos estándares de seguridad de datos o infringirán su acuerdo comercial y pueden perder su cuenta comercial.
Esto se aplica a todos los comerciantes, independientemente de su tamaño o volúmenes de procesamiento. Sin embargo, existen diferentes requisitos según el tamaño de una empresa. Por lo tanto, una pequeña empresa que procesa unos pocos miles de dólares al mes tendrá menos obligaciones de cumplimiento de PCI que una empresa con un volumen de ventas mensual de 20 millones de dólares.
¿Qué pasa si no cumple con PCI?
Cumplir con PCI depende de una autoevaluación o, en algunos casos, del uso de auditores externos, algo que discutiremos en detalle más adelante.
Si durante su propia autoevaluación descubre que no cumple con PCI, debe seguir los pasos descritos en los cuestionarios de autoevaluación para solucionar el problema.
Se aplican las mismas condiciones si se le exige utilizar un auditor o escáner externo. Si encuentran un área donde su red no cumple con PCI, debe arreglarla.
No solucionar estos problemas puede resultar en la pérdida de su cuenta de comerciante. Una vez que una empresa pierde una cuenta por no cumplir con PCI, puede ser mucho más difícil asegurar una nueva cuenta de comerciante.
Por este motivo, es mejor resolver cualquier problema de incumplimiento de PCI por su cuenta y lo antes posible. Al hacer esto, no sólo ayuda a proteger su propio negocio y reducir su propia responsabilidad, sino que también ayuda a garantizar su capacidad para procesar tarjetas de crédito en el futuro.
En general, el cumplimiento de PCI es voluntario, pero no cumplirlo puede poner en riesgo la capacidad de su empresa para aceptar pagos, algo que puede ser catastrófico para casi cualquier negocio, especialmente un negocio en línea. Por lo tanto, cumplir con PCI siempre debe ser una prioridad absoluta.
¿Quién debe cumplir con PCI en Puerto Rico?
Cualquier comerciante o proveedor de servicios que acepte tarjetas de crédito o participe en el almacenamiento/procesamiento de datos de pago debe cumplir con PCI. Un proveedor de servicios es cualquier empresa que trabaja o maneja datos de tarjetas de crédito, aunque es posible que no procese esa información directamente. Por ejemplo, una empresa de alojamiento web podría ser un proveedor de servicios si sus clientes procesan datos de crédito en sus servidores.
¿Cómo comprobar si cumple con PCI?
Esta es la pregunta más importante que hacen la mayoría de los nuevos comerciantes al conocer el cumplimiento de PCI. Puede parecer casi aterrador con todos los términos técnicos y las posibles ramificaciones del incumplimiento. Pero el proceso es bastante sencillo y muchos aspectos del cumplimiento de PCI son cosas que cualquier empresa responsable ya debería estar haciendo, especialmente una empresa de comercio electrónico.
El primer paso es determinar en qué nivel de cumplimiento de PCI DSS se encuentra actualmente su empresa. El nivel al que se encuentre determinará el resto de cómo comprobar si cumple con PCI o no.
Básicamente, existen cuatro niveles de cumplimiento de PCI DSS y se dividen principalmente en volúmenes de procesamiento. Parte de esto se debe a los riesgos que implican los altos volúmenes de procesamiento. Pero también es en parte para no sobrecargar a los minoristas más pequeños con controles de seguridad indebidos y gastos que quizás no puedan permitirse o ni siquiera necesiten.
La siguiente lista muestra los diferentes niveles de PCI y sus umbrales para determinar dónde se encuentra su empresa.
- PCI Nivel 1: $6 millones o más en transacciones por año
- PCI Nivel 2 – $1 millón – $6 millones en transacciones por año
- PCI Nivel 3 – $20,000 – $1 millón en transacciones por año
- PCI Nivel 4: $20,000 o menos en transacciones por año
Los niveles 2 a 4 se basan todos en informes propios. Esto significa que utiliza un cuestionario proporcionado para evaluar el resto de sus requisitos. Estos cuestionarios son bastante sencillos y usted simplemente va respondiendo paso a paso cada pregunta para revelar la determinación final.
El nivel 1 de PCI requiere que la empresa tenga una auditoría realizada por una persona calificada o una agencia externa. Luego crean un Informe de cumplimiento (RoC) y utilizan un asesor de seguridad calificado (QSA) externo.
Cuestionario de Autoevaluación (SAQ)
Si se encuentra en los niveles 2 a 4, utilizará un formulario llamado cuestionario de autoevaluación (SAQ) para determinar si cumple con PCI.
Hay 9 SAQ diferentes y usted elige cuál se aplica a usted según las características específicas de su entorno de procesamiento. Estos cuestionarios funcionan como una lista de verificación de cumplimiento de PCI en la que usted revisa y responde cada elemento. Cuando esté completo, sabrá si cumple con PCI o no.
A continuación se muestran los 9 SAQ diferentes y puede ver qué criterios hacen que una empresa califique para cada uno. Debería ser fácil determinar qué SAQ necesita consultando esta lista.
PAE A
- Solo tarjeta no presente (eCommerce o MOTO)
- Proveedores de servicios PCI DSS de terceros
- No se permite el procesamiento ni el almacenamiento electrónico de los datos de la tarjeta en los sistemas y la ubicación del propio comerciante.
SAQ A-EP E
- Solo tarjeta no presente (eCommerce o MOTO)
- Proveedores de servicios PCI DSS de terceros
- No se permite el procesamiento ni el almacenamiento electrónico de los datos de la tarjeta en los sistemas y la ubicación del propio comerciante.
- Tiene un sitio web que podría afectar la seguridad de las transacciones aunque no reciba datos de la tarjeta directamente.
SAQ B
- Sin almacenamiento electrónico de datos del dueño de la tarjeta
- Uso de máquinas de impresión solo para transacciones.
SAQ B-IP
- Pagos presenciales en terminales independientes (aprobados por PTS con conexión IP)
- Sin datos de tarjeta de almacenamiento electrónico
SAQ C-VT
- Transacciones con clave a través de una terminal virtual en línea de terceros validada por PCI DSS
- Sin datos de tarjeta de almacenamiento electrónico
- No para comercio electrónico
SAQC
- Sistemas de aplicaciones de pagos basados en internet
- Sin datos de tarjeta de almacenamiento electrónico
- No para comercio electrónico
SAQ P2PE
- Las transacciones en persona se realizan en terminales de pago físicos administrados por una solución de cifrado punto a punto (P2PE) listada por PCI SSC.
- Sin datos de tarjeta de almacenamiento electrónico
- No para comercio electrónico
SAQD
- Cualquier comerciante que no calificara para los tipos de SAQ anteriores
SAQ D para proveedores de servicios
- Cualquier proveedor de servicios que sea elegible para completar un SAQ
Como puede ver al explorar esta lista de los 9 SAQ diferentes, se basan principalmente en cómo procesa o captura la información de la tarjeta de crédito.
Por ejemplo, el SAQ C-VT es para quienes ingresan transacciones utilizando una terminal virtual calificada. El ingreso de transacciones generalmente se realiza para pedidos telefónicos. Los representantes de servicio al cliente reciben el número de tarjeta de crédito del cliente por teléfono y luego lo “ingresan” utilizando un software conocido como terminal virtual.
Este formulario también requiere que la empresa no almacene información de tarjetas de crédito localmente.
Al revisar la lista anterior, puede determinar qué SAQ se aplica a usted y a su empresa.
Completar su SAQ
Como se mencionó anteriormente, el SAQ es una autoevaluación. Entonces, si usted es un solo dueño y opera un negocio, deberá completar estos formularios usted mismo. Para empresas más grandes que pueden tener empleados dedicados a servicios de IT o contabilidad, es posible que desee que esos miembros del equipo estén presentes cuando trabajen en el SAQ.
A pesar de la naturaleza técnica de un SAQ, la mayoría de las respuestas serán un simple sí, no o no aplicable.
Para determinar si cumple con PCI, debe responder sí a todas las preguntas o no aplicable si no se aplica a su negocio o procesamiento. No hay calificaciones con un SAQ y son aprobadas o reprobadas cuando se completan.
Un fracaso significa que una pregunta no pudo responderse afirmativamente. Si este es el caso, la empresa debe resolver ese problema y luego volver a tomar el SAQ. Si pueden responder afirmativamente a la pregunta anteriormente fallida, ahora pasan.
Para resumir el proceso de determinación del cumplimiento de PCI para los niveles 2 a 4, se ve así:
- Determine su nivel de cumplimiento de PCI DSS en función de los volúmenes de procesamiento.
- Para los niveles 2-4, elija su SAQ apropiado
- Complete el SAQ; si lo aprueba, cumple con PCI
- Si falla, solucione los problemas y vuelva a tomar el SAQ
Cumplimiento de PCI DSS Nivel 1 en Puerto Rico
Las secciones anteriores detallan cómo determinar si es compatible con PCI para los niveles 2 a 4. Para el nivel 1, no se permite el uso de un SAQ.
Las empresas de nivel 1 deben contar con un evaluador externo que complete un informe sobre queja o RoC. Un asesor de servicios calificado SAQ debe completar este formulario para la empresa después de auditar sus sistemas y procedimientos. Una empresa puede emplear su propio SAQ para realizar la prueba si la persona está calificada y posee las credenciales adecuadas.
Tanto las RoC como las SAQ deben realizarse anualmente. También deben realizarse en caso de que se realicen cambios importantes en su red o equipo de procesamiento.
Algunos de estos procesos pueden implicar la necesidad de “pruebas de penetración”.. Estas son pruebas automatizadas o manuales en las que una persona calificada o un proveedor de servicios prueban vulnerabilidades conocidas en su red.
Dependiendo del SAQ que necesite, es posible que necesite realizar una prueba de penetración.
En general, completar su SAQ o un RoC apropiado es la forma de determinar si cumple con PCI.
Beneficios de cumplir con PCI en Puerto Rico
En primer lugar, el cumplimiento de PCI beneficia a todos los que dependen del procesamiento de pagos para administrar su negocio. Sin la confianza y seguridad que los clientes sienten al utilizar sus tarjetas de crédito, hacer negocios sería mucho más difícil. Esto es especialmente cierto cuando se trata de ventas online.
Por lo tanto, hacer que todos los comerciantes sigan el cumplimiento de PCI ayuda a mantener la confianza que el público tiene en el sistema de pago con tarjeta de crédito.
Pero más allá de los beneficios generales, también existen beneficios individuales del cumplimiento de PCI DSS que ayudan a las empresas de forma individual.
Un beneficio principal es que los sistemas y aplicaciones seguros ayudan a reducir el riesgo de una violación de datos u otro incidente relacionado con la seguridad debido a la pérdida de datos. Un pirateo o una infracción puede dañar gravemente a una empresa u organización.
Cosas como los ataques de ransomware y otros ataques de red sofisticados cuestan a las empresas miles de millones de dólares al año. Por cada caso de ransomware o piratería de alto perfil que escuchamos en las noticias, es probable que cientos de pequeñas empresas estén experimentando lo mismo, pero no es lo suficientemente grande como para ser de interés periodístico.
No querrás ser una de esas pequeñas empresas que se enfrentan a ataques de ransomware. Si sigue el cumplimiento de PCI, su red y su infraestructura de IT empresarial serán más seguras en general.
Entonces, si bien el objetivo del cumplimiento de PCI es proteger los datos de las tarjetas de crédito, también protege todos los demás datos de su red. Esto reduce la probabilidad de que se produzcan todo tipo de violaciones de seguridad, no sólo las que afectan a los datos de las tarjetas de crédito.
Los detalles del cumplimiento de PCI
Ya repasamos cómo determinar si cumple con PCI o no. Pero también es bueno comprender el razonamiento detrás de las pautas PCI DSS. Hacerlo también ayuda a reforzar que muchas de las directrices son simplemente mejores prácticas y cosas que la mayoría de las empresas responsables ya deberían estar haciendo.
Entonces, a pesar de que el cumplimiento de PCI puede parecer un poco abrumador al principio, una vez que comprende las pautas y principios detrás de él, se vuelve mucho más fácil de entender.
Los principios rectores detrás de PCI DSS están contenidos en 6 objetivos que describen sistemas y procesos para garantizar la seguridad de la red.
1. Mantener un sistema seguro
Esto implica los principios básicos de seguridad de redes, lo que significa el uso de contraseñas seguras y también actualizar siempre las contraseñas predeterminadas cuando se utilizan nuevos sistemas o hardware. También requiere que las empresas instalen y mantengan un firewall actualizado para su entorno de red.
2. Proteger la tarjeta y la información del dueño de la tarjeta
Este objetivo establece que todos los datos de los dueños de tarjetas deben conservarse de forma segura y de acuerdo con los estándares de seguridad establecidos. Esto puede significar digital pero también restringir el acceso físico a cualquier forma de datos del dueño de la tarjeta. Otro aspecto de esta regla cubre el uso de cifrado y controles de seguridad al transmitir datos de tarjetas de crédito a través de redes públicas o privadas durante el procesamiento o manejo.
3. Se debe mantener un programa activo de gestión de vulnerabilidades
Para lograr este objetivo, las empresas deben utilizar el software antivirus más reciente y protegerse contra el malware que puede comprometer su red. Esta regla también cubre la idea de que las empresas deben construir y mantener sus redes teniendo la seguridad como principal preocupación.
4. Ejecute controles de acceso sólidos
Los controles de acceso significan quién tiene acceso a los datos de los dueños de tarjetas dentro de su organización. Aquellos que necesitan acceso deben ser los únicos que tienen acceso y ese acceso debe ser controlado, seguro y rastreable.
Esto significa que cuando alguien accede a la información de su tarjeta de crédito, queda un registro o bitácora de ese acceso. También es necesario que haya formas de restringir el acceso cuando sea necesario.
5 Realizar monitoreo y pruebas de rutina de las redes
Este objetivo se centra en las pruebas continuas de su propia red, así como en el mantenimiento de registros de quienes acceden a áreas sensibles.
6. Revisar y actualizar periódicamente la política de seguridad de la información en Puerto Rico
Esto significa que su personal debe tener una política claramente definida para abordar la seguridad. Esto puede incluir reglas y regulaciones dentro de su organización, así como un contacto central para cuestiones de seguridad. Este contacto puede ser un individuo o un departamento dentro de su empresa.
En general, estas seis reglas son mejores prácticas esenciales para cualquier empresa o red, ya sea que manejan datos confidenciales de los clientes o no. Por lo tanto, la mayoría de estos ya deberían estar implementados dentro de su empresa.
Las reglas ayudan a explicar las razones del PCI DSS y qué principios rectores influyen en los diferentes niveles de cumplimiento, así como los SAQ y RoC necesarios para mantener el cumplimiento.
¿Dónde puedo obtener ayuda con el cumplimiento de PCI en Puerto Rico?
Si aún tiene preguntas sobre el cumplimiento de PCI o tiene algún problema que no está seguro de cómo resolver, el primer paso puede ser comunicarse con su procesador de pagos.
Un procesador de pagos confiable como ECS Payments cuenta con personal de soporte técnico interno que se especializa en seguridad de red y otros problemas relacionados con PCI.
Otra opción para las empresas de comercio electrónico es aprovechar muchas de las herramientas disponibles en su plataforma de pago para ayudar a minimizar el riesgo al manejar datos de tarjetas de crédito.
Esto puede incluir cosas como páginas de pago alojadas o almacenamiento de clientes. Las páginas de pago alojadas son páginas de pago alojadas en su plataforma de pago. Por lo tanto, toda la información de la tarjeta de crédito del cliente se maneja en los servidores de la puerta de enlace, no en los suyos.
Si es posible, intente descargar la mayor responsabilidad de seguridad posible utilizando estas herramientas y funciones. Al hacerlo, podrá facilitar mucho el cumplimiento de PCI.
Para las empresas más grandes, es posible que esto no sea posible hacerlo por completo. En esos casos, es posible que deba contratar una empresa que se especialice en seguridad de redes si no cuenta con el personal disponible para abordar esos problemas.
Hay empresas de tecnología que se especializan en el cumplimiento de PCI y tienen las certificaciones necesarias para manejar estos problemas. Aunque, en los casos en que una empresa tenga sus propios departamentos o personal de IT, esto puede no ser necesario.
La mayoría de las redes y administradores de IT modernos ya habrán implementado muchos estándares de cumplimiento de PCI. Por lo tanto, el único requisito es completar el SAQ o RoC requerido según su volumen de procesamiento u otros factores.
Finalmente, las empresas pueden elegir a un empleado para realizar una RoC si recibe la capacitación y certificación adecuadas. Por lo tanto, esta es otra opción para mantener el cumplimiento de PCI internamente si es una organización más grande y se encuentra en el nivel 1 de cumplimiento.
Más ayuda con el cumplimiento de PCI en Puerto Rico
Su primera parada para obtener ayuda con el cumplimiento de PCI debe ser su procesador de pagos y es por eso que elegir el procesador de pagos adecuado es tan fundamental para empresas de todos los tamaños.
ECS Payments es un nombre confiable en el procesamiento de pagos y ofrecemos especialistas técnicos y de seguridad internos que pueden responder todas sus preguntas sobre el cumplimiento de PCI.
Comuníquese con ECS Payments para hablar con uno de nuestros expertos en soluciones de pago y obtener más información sobre el cumplimiento de PCI y cómo podemos ayudar a su empresa utilizando las últimas soluciones de pago.