El cumplimiento de PCI DSS puede ser un tema difícil de entender. Incluso para comerciantes experimentados que aceptan tarjetas de crédito y débito desde hace años. A pesar de su complejidad superficial, es importante que los comerciantes sean plenamente conscientes de estos requisitos para poder evitar costosas filtraciones de datos o la pérdida de sus cuentas comerciales.
En este artículo, explicaremos completamente qué es el cumplimiento de PCI DSS y las diferentes formas en que puede asegurarse de que su empresa lo cumpla. También repasaremos los pasos necesarios para determinar su nivel de cumplimiento según el entorno de pagos de su empresa.
Conceptos básicos de PCI DSS
Convertirse en comerciante y aceptar tarjetas de crédito o débito implica aprender muchos sistemas nuevos. Esto puede incluir aprender más sobre software como terminales virtuales o hardware como dispositivos POS (punto de venta) para que los clientes puedan deslizar o tocar sus tarjetas para pagar su negocio.
Si es un comerciante nuevo, probablemente ya haya comenzado a investigar e investigar estas cosas para prepararse mejor para aceptar pagos sin problemas.
Una cosa con la que quizás también se haya encontrado es el tema de la seguridad de los datos y la forma en que las empresas que aceptan tarjetas de crédito deben manejar la información de facturación de los clientes.
Estas reglas de seguridad relacionadas con el almacenamiento y la transmisión de información del cliente se conocen como cumplimiento de PCI DSS.
¿Qué significa PCI?
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de pautas para los comerciantes en el punto de venta. Fue diseñado por el PCI Security Standards Council (PCI SSC).
Para mantener la integridad del sistema de procesamiento de tarjetas de crédito y pagos electrónicos, los clientes deben confiar en la red de pagos y en los comerciantes cuando comparten su información de facturación. Una de las formas en que los bancos y los procesadores de pagos lograron garantizar esta integridad fue desarrollar protocolos PCI DSS por motivos de seguridad.
Creados inicialmente en 2004, estos estándares son parte de un esfuerzo conjunto de Visa, Mastercard, Discover, American Express y JCB International. El objetivo era crear un estándar de seguridad uniforme que todos los comerciantes y aquellos involucrados en el procesamiento de pagos deben cumplir.
El Consejo de Normas de Seguridad es un grupo industrial y no tiene autoridad legal sobre ningún comerciante o procesador. En cambio, gestionan los estándares y los evalúan a intervalos regulares para determinar si es necesario ajustarlos o modificarlos para hacer frente a nuevas tecnologías o amenazas.
¿Qué significa el cumplimiento de PCI?
Significa que su negocio y su infraestructura tecnológica cumplen con las regulaciones PCI DSS requeridas para su nivel de procesamiento. Es decir, usted se adhiere a sus reglas y pautas. Analizaremos los niveles de cumplimiento de PCI en una sección posterior, incluido el cumplimiento de PCI para pequeñas empresas.
¿El cumplimiento de PCI es un requisito legal en Puerto Rico?
No. Pero los proveedores de pagos pueden exigir para mantener su cuenta comercial y evitar la cancelación. Los estándares PCI son un conjunto voluntario de estándares. Pero, si los comerciantes deciden no mantenerlos, pueden enfrentar cargos innecesarios por procesamiento de tarjetas de crédito y transacciones fraudulentas. Lo que podría dar lugar a devoluciones de cargo.
¿Qué sucede si mi procesador o yo no somos compatibles con PCI?
Quienes siguen las pautas de cumplimiento de PCI DSS lo hacen de forma voluntaria. Aunque el cumplimiento es necesario para mantener una cuenta de comerciante al día y ayuda a evitar tarifas innecesarias. El incumplimiento de los estándares PCI DSS puede provocar la cancelación de su cuenta de comerciante.
Los comerciantes evalúan sus propios sistemas a través de un cuestionario proporcionado. Esto les ayuda a determinar los niveles de las pautas PCI DSS a los que se encuentran y qué medidas deben tomar para garantizar que los datos de los clientes estén seguros.
Un procesador que no cumpla con PCI correrá el riesgo de perder su capacidad de procesar pagos si no soluciona los problemas que causan el incumplimiento.
Los diferentes niveles de PCI DSS en Puerto Rico
Muchos comerciantes nuevos preguntan: “¿Cómo puedo cumplir con PCI?”
No todos los comerciantes están obligados a seguir las mismas pautas. Además, gran parte de la diferencia se basa en el volumen de procesamiento de un comerciante, así como en el tipo de transacciones que maneja.
Hay cuatro niveles básicos de cumplimiento de PCI DSS: el nivel 1 de PCI es el más involucrado y el nivel 4 de PCI para comerciantes es el nivel más bajo.
A continuación se muestra una lista de los diferentes niveles de cumplimiento de PCI para pequeñas empresas y empresas. Junto con los umbrales para determinar su nivel de cumplimiento de PCI:
- Requisitos PCI Nivel 1: $6 millones o más en transacciones por año
- Requisitos PCI Nivel 2 – $1 millón – $6 millones en transacciones por año
- Requisitos PCI Nivel 3 – $20,000 – $1 millón en transacciones por año
- Requisitos PCI Nivel 4: $20,000 o menos en transacciones por año
Todos los niveles, excepto el nivel 1, requiere informes propios para determinar cuáles son sus requisitos dentro de su nivel PCI DSS. Los comerciantes pueden completar los autoinformes completando un cuestionario. Luego, las respuestas los guían sobre el resto de sus necesidades de cumplimiento.
Explicaremos los cuestionarios de autoinforme en la siguiente sección.
Los comerciantes de PCI DSS Nivel 1 no utilizan un cuestionario. En cambio, para realizar una auditoría, debe crear un Informe de cumplimiento (RoC) y utilizar un asesor de seguridad calificado (QSA) externo.
Cuestionario de autoevaluación PCI DSS
Un cuestionario de autoevaluación (SAQ) de PCI DSS es un requisito anual. Se utiliza como una herramienta de validación que le hace al comerciante varias preguntas sobre su procesamiento y red privada.
Hay nueve SAQ diferentes y cada uno se aplica a diferentes comerciantes según la naturaleza de su procesamiento. A continuación se muestra un resumen de los diferentes cuestionarios y los criterios para cada uno del PCI Standards Council.
PAE A
- Solo tarjeta no presente (eCommerce o MOTO)
- Proveedores de servicios PCI DSS de terceros
- No se permite el procesamiento ni el almacenamiento electrónico de los datos de la tarjeta en los sistemas y la ubicación del propio comerciante.
SAQ A-EP E
- Solo tarjeta no presente (eCommerce o MOTO)
- Proveedores de servicios PCI DSS de terceros
- No se permite el procesamiento ni el almacenamiento electrónico de los datos de la tarjeta en los sistemas y la ubicación del propio comerciante.
- Tiene un sitio web que podría afectar la seguridad de las transacciones aunque no reciba datos de la tarjeta directamente.
SAQ B
- Sin almacenamiento electrónico de datos del dueño de la tarjeta
- Uso de máquinas de impresión solo para transacciones.
SAQ B-IP
- Pagos presenciales en terminales independientes (aprobados por PTS con conexión IP)
- Sin datos de tarjeta de almacenamiento electrónico
SAQ C-VT
- Transacciones con clave a través de una terminal virtual en línea de terceros validada por PCI DSS
- Sin datos de tarjeta de almacenamiento electrónico
- No para comercio electrónico
SAQC
- Sistemas de aplicaciones de pago basados en Internet
- Sin datos de tarjeta de almacenamiento electrónico
- No para comercio electrónico
SAQ P2PE
- Transacciones en persona realizadas en terminales de pago físicos administrados por una solución de cifrado punto a punto (P2PE) listada por PCI SSC
- Sin datos de tarjeta de almacenamiento electrónico
- No para comercio electrónico
SAQD
- Cualquier comerciante que no calificara para los tipos de SAQ anteriores
SAQ D para proveedores de servicios
- Cualquier proveedor de servicios que sea elegible para completar un SAQ
Respondiendo al PCI DSS SAQ
Una vez que haya determinado su SAQ apropiado, querrá reunir a los empleados adecuados que sean responsables de estas áreas de su negocio. Esto puede significar cualquier persona involucrada en la implementación o seguridad de IT, así como en la gestión que se ocupa de los pagos o de sus sistemas y software financieros.
Si diriges el negocio solo, serás tú quien responda las preguntas. Si necesita ayuda con su situación de cumplimiento de PCI, comuníquese con ECS Payments para hablar con uno de nuestros expertos en cuentas comerciales.
Algunas de las preguntas del SAQ pueden estar relacionadas según su negocio. Por lo tanto, es probable que no pueda responderlas todas de una sola vez. El objetivo es examinar cada pregunta a fondo y proporcionar la más precisa posible.
Responder el SAQ requerido para su negocio se basa en una calificación de aprobado o reprobado. Para aprobar, debe responder todas las preguntas afirmativamente indicando que cumple con el requisito o responder “no aplicable” a las preguntas que no aplican.
Cualquier pregunta que un comerciante no pueda responder de alguna de esas dos formas significa un fracaso. Es decir, la empresa debe entonces buscar resolver el problema. Luego, responda nuevamente el cuestionario una vez que hayan resuelto el problema.
Informe de cumplimiento de PCI (RoC)
Se requiere una RoC en lugar de un SAQ si su empresa se encuentra en la categoría de nivel uno de cumplimiento de DSS como se explicó anteriormente.
La principal diferencia entre un RoC y un SaQ es que la empresa no completa un RoC. En su lugar, debe realizarlo un asesor de servicio calificado (QSA).
Una empresa también puede utilizar un empleado interno conocido como asesor de seguridad interna (ISA) si ha recibido la capacitación PCI adecuada.
El RoC sigue una plantilla proporcionada por el PCI SSC y una vez completado, los bancos involucrados deben aprobarlo.
Los comerciantes que se encuentran en la categoría de nivel 1 de cumplimiento del DSS suelen exigir una RoC anualmente.
Diferencia entre comerciantes y proveedores de servicios en Puerto Rico
Al leer los requisitos de PCI y los diferentes SAQ, probablemente notará una distinción entre comerciantes y proveedores de servicios. Si bien esto es bastante simple, puede haber cierta superposición entre los dos, lo que puede causar confusión.
Un comerciante es una entidad que acepta tarjetas de crédito con el logotipo de cualquiera de los miembros del PCI SSC, como Visa o Mastercard. Esto es bastante sencillo de entender y probablemente sea la categoría en la que caen la mayoría de los dueños de cuentas comerciales.
Los proveedores de servicios son aquellas entidades, como procesadores de pagos, pasarelas de pago y proveedores de hardware de POS, que todavía entran en contacto con los datos de los clientes aunque no los procesan para su propio negocio.
Pero hay superposiciones. Por ejemplo, un comerciante que brinda servicios puede aceptar pagos con tarjeta de crédito de los clientes, pero también brinda servicios técnicos a aquellos clientes que implican que tengan contacto con los datos del cliente.
Por ejemplo, un ISP (proveedor de servicios de Internet) puede calificar como comerciante y proveedor de servicios. Si aceptan pagos de clientes mediante tarjeta de crédito pero también albergan comerciantes que almacenan información del cliente, entonces califican como comerciante y proveedor de servicios.
El uso de la información anterior debería ayudarle a determinar si es un comerciante, un proveedor de servicios o ambos mientras trabaja en sus documentos y procedimientos de cumplimiento de PCI.
Requisitos de cumplimiento de PCI
En esta sección, profundizaremos en los requisitos específicos y cómo están estructurados para cada comerciante que acepta tarjetas de crédito o débito.
Hay seis objetivos de cumplimiento de PCI y esto constituye el núcleo de los requisitos. Dentro de cada objetivo hay un subconjunto de mejores prácticas para ayudar a alcanzar esos objetivos. Es una estructura muy lógica y una vez vista, comprendes rápidamente cómo funciona a pesar de parecer algo complicado en la superficie.
A continuación, describiremos los 6 objetivos y los 12 requisitos relacionados para el cumplimiento de PCI.
Objetivo 1: Mantener un sistema seguro
Normas
- Implementar y mantener un firewall actualizado.
- Cambie las contraseñas predeterminadas y otros parámetros de seguridad proporcionados por el proveedor.
Objetivo 2: Proteger la tarjeta y la información del dueño de la tarjeta
Normas
- Datos almacenados seguros del dueño de la tarjeta.
- Cifre las transmisiones de datos de dueños de tarjetas a través de redes abiertas y/o públicas.
Objetivo 3: Se debe mantener un programa activo de gestión de vulnerabilidades
Normas
- Proteja los sistemas con software antivirus actualizado para defenderse del malware.
- Construir y mantener sistemas seguros.
Objetivo 4: Ejecutar controles de acceso sólidos
Normas
- Mantenga el acceso a la información del dueño de la tarjeta limitado solo a aquellos que necesitan saberla con fines comerciales.
- Verificar y autorizar el ingreso a los componentes del sistema.
- Limitar la admisión física a los datos del dueño de la tarjeta.
Objetivo 5: Realizar monitoreo y pruebas de rutina de las redes
Normas
- Mantenga un registro de toda la admisión a la información del dueño de la tarjeta y a los recursos de la red.
- Realizar pruebas de seguridad de rutina.
Objetivo 6: Revisar y actualizar periódicamente la política de seguridad de la información
Normas
- Asegúrese de que exista una política que cubra la seguridad de la información para todo el personal.
Escaneos ASV y pruebas de penetración
Dependiendo de la cantidad de transacciones y de su red interna, es posible que deba realizar escaneos de red trimestrales de su infraestructura tecnológica. Estos escaneos se conocen como escaneos ASV (proveedor de escaneo aprobado). Como sugiere el nombre, deben realizarlos un proveedor calificado.
Estos análisis también son necesarios después de cualquier cambio significativo en su red o infraestructura del sistema. Entonces, si modifica o expande su red interna de manera significativa, probablemente necesitará realizar otro escaneo.
Los siguientes son cambios que pueden requerir una exploración ASV adicional.
- Cambios en las reglas del firewall
- Nuevos componentes del sistema.
- Cambios en la topología de la red.
- Actualizaciones de productos
Los comerciantes pueden realizar sus propios análisis para realizar auditorías de seguridad interna. Sin embargo, sólo un escaneo realizado por un proveedor aprobado cumplirá con los requisitos de los estándares PCI.
Pruebas de penetración PCI DSS
Parte de los requisitos de PCI DSS es garantizar que las entidades realicen pruebas de penetración periódicas (pruebas de penetración). Son pruebas realizadas por un tercero para exponer posibles vulnerabilidades dentro de una red o sistema. Es importante tener en cuenta que no todas las entidades o comerciantes necesitarán estas pruebas de penetración. Al igual que con los demás requisitos de PCI, estos dependen de su situación particular.
Las pruebas de penetración son para proveedores de servicios que A) almacenan, procesan o transmiten datos de dueños de tarjetas en nombre de otra persona, y B) utilizan la segmentación para reducir el alcance de PCI.
Por lo tanto, es muy posible que, como comerciante, no se le solicite realizar estas pruebas. Pero es importante comprender su infraestructura para tomar la decisión adecuada.
Las pruebas de penetración se dividen en dos categorías principales: manuales y automatizadas. Una prueba automatizada utiliza software y herramientas para buscar vulnerabilidades. Mientras que una prueba manual utiliza expertos en seguridad para realizar la prueba y buscar vulnerabilidades.
¿Por qué el cumplimiento de PCI es tan importante?
Después de conocer el cumplimiento de PCI, puede parecer algo que se implementó para castigar a las empresas con regulaciones indebidas. Sin embargo, ese no es el caso en absoluto.
Los requisitos promueven la integridad y seguridad del sistema de pago. Es esta seguridad la que ayuda a mantener los costos y tarifas lo más bajos posible. También hace que los clientes se sientan cómodos haciendo cosas como mantener sus tarjetas de crédito archivadas en varios comerciantes.
Mantener las tarjetas archivadas ayuda a las empresas a aumentar las ventas y aumentar la repetición de negocios. Por lo tanto, estas funciones ayudan directamente a generar ingresos para muchos comerciantes diferentes. Sin requisitos de seguridad sólidos, como el cumplimiento de PCI, estas funciones no serían posibles.
Otra razón para el cumplimiento de PCI es ayudar a aliviar la responsabilidad a la que puede estar expuesta una empresa si se produce una violación de seguridad.
Una filtración de datos puede costarle a una empresa millones de dólares, tanto en dólares reales como en daños a la reputación. A veces incluso puede provocar que una empresa fracase por completo.
Si una empresa seguía todos los requisitos de cumplimiento de PCI, es posible que esté expuesta a menos responsabilidad en tal caso. Sin estas directrices, se podría considerar que las empresas cometen una negligencia grave. Lo que puede significar un aumento de los casos de fraude con tarjetas de crédito y sanciones legales más severas.
Finalmente, seguir las mejores prácticas de redes y seguridad es simplemente un buen negocio. La seguridad laxa puede ser señal de un negocio mal administrado. Lo que probablemente signifique que otros aspectos del negocio también pueden funcionar mal. Por lo tanto, tener una seguridad estricta promueve una base sólida para los negocios y también muestra respeto por los clientes y sus datos confidenciales.
Por lo tanto, en general, el cumplimiento de PCI es necesario para proteger tanto a las empresas como a los clientes. Pero también ayuda a las empresas a limitar los daños y al mismo tiempo aumentar los ingresos mediante funciones de facturación adicionales.
Asistencia adicional con el cumplimiento de PCI
El cumplimiento de PCI puede ser un tema difícil, especialmente para quienes son nuevos en las cuentas comerciales y el procesamiento de tarjetas de crédito.
Aquellos que necesitan ayuda con el cumplimiento de PCI también necesitan un socio confiable que los ayude a navegar en esta área para construir un negocio seguro.
ECS Payments es un procesador de pagos líder en la industria que trabaja con comerciantes de todo el país. Nuestro equipo interno tiene la experiencia y el conocimiento para ayudar a comprender sus necesidades de procesamiento y cumplir con todos sus requisitos de cumplimiento de PCI.
Comuníquese con ECS Payments si necesita una cuenta de comerciante o necesita ayuda con el cumplimiento de PCI. Ofrecemos acceso a diferentes pasarelas de pago y también nos especializamos en transacciones de alto riesgo para comerciantes de cualquier tamaño.