Tener una cuenta de comerciante en Puerto Rico le permite a su empresa aceptar tarjetas de crédito y otros pagos electrónicos, pero también significa la responsabilidad adicional de tratar con información confidencial del cliente. Esta responsabilidad está claramente descrita en los requisitos de cumplimiento de PCI.
Manejar de forma segura los datos de los clientes es más crítico que nunca, ya que la piratería informática y las violaciones de datos de alto perfil le han costado a varias grandes corporaciones millones de dólares, así como la pérdida de confianza en su reputación.
Pero no se trata sólo de las grandes corporaciones. Las pequeñas empresas pueden sufrir robo de datos y, de alguna manera, puede resultarles más difícil recuperarse de estos incidentes, según la gravedad. Gran parte de este riesgo para los comerciantes puede disminuir siguiendo las reglas y mejores prácticas establecidas por los propios bancos emisores de tarjetas.
Estas reglas se conocen como cumplimiento de PCI DSS, que significa Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago. Estas pautas y reglas obligatorias ayudan a los comerciantes a mantener seguros sus datos e información.
A continuación, repasamos las reglas y pautas de PCI y explicaremos cada una, así como consejos para el cumplimiento de PCI por parte de los comerciantes.
PCI DSS explicado
Cuando solicita una cuenta de comerciante y es aceptado, en algún lugar de la documentación que firma durante el proceso de aprobación acepta cumplir con las reglas y pautas descritas en los protocolos PCI-DSS. La documentación que reciba después de la aceptación también debe incluir estos requisitos PCI de tarjetas de crédito. Si no lo ha recibido, comuníquese con su procesador de pagos, quien puede proporcionarle un enlace a la documentación requerida.
Estas pautas fueron creadas por el Consejo de Estándares de Seguridad PCI (PCI SSC) y establecen un Estándar de Seguridad de Datos (DSS). De aquí proviene el término PCI-DSS.
El cumplimiento de estas normas implica normas tanto técnicas como operativas. Por ejemplo, la seguridad de los datos implica el uso obligatorio de un firewall, pero también incluye inspecciones visuales del hardware de los puntos de venta o bloquear el acceso físico a los datos de los dueños de tarjetas.
Niveles PCI DSS
También existen diferentes niveles de cumplimiento de PCI DSS. Por ejemplo, el nivel 1 de PCI DSS es el más alto. Cada nivel corresponde al nivel de transacciones del comerciante. El siguiente cuadro muestra quién necesita los niveles de cumplimiento de PCI DSS según varios límites de transacciones.
PCI DSS Nivel 1: más de 6 millones de dólares en transacciones al año
PCI DSS Nivel 2: entre 1 y 6 millones de dólares en transacciones al año
PCI DSS Nivel 3: entre 20,000 y 1 millón de dólares en transacciones al año
PCI DSS Nivel 4: menos de 20,000 dólares en transacciones al año
Los niveles 2 a 4 requieren que los comerciantes completen un cuestionario de autoevaluación (SAQ). El cumplimiento de nivel 1 no permite la autoinformación y, en su lugar, requiere un Informe de Cumplimiento (RoC), así como un asesor de seguridad calificado (QSA) externo para realizar una auditoría.
Puede ver qué cuestionario SAQ debe seguir con este cuadro. Es posible que también deba realizar auditorías ASV trimestrales o anuales, que abordaremos en una sección posterior.
En esencia, estos requisitos de PCI DSS se centran en proteger los datos de los dueños de tarjetas y abarcan todo el flujo de procesamiento desde que se capturan los datos del cliente o mientras se transmiten a través de la pasarela de pago. Esto también incluye cualquier dato que se mueva o se almacene en su red privada durante la transacción o después de la transacción.
Todos los comerciantes que cumplen con PCI deben auditar sus operaciones al menos una vez al año para garantizar que se sigan todos los estándares de PCI durante la transmisión de datos de los dueños de tarjetas. Si se detecta algún fallo, se espera que el comerciante lo rectifique inmediatamente. Algunas de estas auditorías deberán ser realizadas por proveedores aprobados por PCI según su nivel de transacción.
En cuanto a quién es responsable del cumplimiento de PCI, en última instancia, esto recae sobre el comerciante.
¿Cuáles son los requisitos de cumplimiento de PCI en Puerto Rico?
Entonces, ¿cuáles son exactamente los requisitos de PCI DSS? En las siguientes secciones, profundizaremos en las pautas clave para los requisitos de cumplimiento de PCI y repasamos consejos prácticos para cada uno de ellos para ayudarlo a realizar su auditoría anual y garantizar que siempre cumpla.
Los requisitos de cumplimiento de PCI se basan en 6 objetivos y cada objetivo tiene sus propias reglas practicadas por los comerciantes con terminales POS o en línea para lograr el objetivo de seguridad. Puede ver el desglose completo de cada objetivo y sus reglas relacionadas a continuación.
Objetivo: construir y mantener una red y sistemas seguros
- Instalar y mantener una configuración de Firewall para proteger los datos de los dueños de tarjetas.
- No utilice valores predeterminados proporcionados por el proveedor para contraseñas del sistema y otros parámetros de seguridad.
Objetivo: proteger los datos de los titulares de tarjetas
- Proteger los datos almacenados del dueño de la tarjeta
- Cifrar la transmisión de datos de dueños de tarjetas a través de redes públicas abiertas
Objetivo: mantener un programa de gestión de vulnerabilidades
- Proteja todos los sistemas contra malware y actualice periódicamente el software o los programas antivirus.
- Desarrollar y mantener sistemas y aplicaciones seguros.
Objetivo: implementar medidas sólidas de control de acceso
- Restringir el acceso a los datos de los dueños de tarjetas según las necesidades empresariale
- Identificar y autenticar el acceso a los componentes del sistema.
- Restringir el acceso físico a los datos del dueño de la tarjeta
Objetivo: monitorear y probar redes periódicamente
- Rastree y monitoree todo el acceso a los recursos de la red y a los datos de los dueños de tarjetas
- Pruebe periódicamente los sistemas y procesos de seguridad.
Objetivo: Mantener una Política de Seguridad de la Información
- Mantener una política que aborde la seguridad de la información para todo el personal
Puede parecer que algunas de estas reglas se aplican específicamente a transacciones en línea en lugar de solo transacciones POS. Si bien eso puede ser cierto en algunos casos, dependiendo de cómo estén configuradas sus operaciones comerciales, es posible que aún deba seguir los requisitos de cumplimiento de PCI incluso si solo procesa pagos en persona para las distintas marcas de tarjetas de crédito.
Por ejemplo, si los datos de sus clientes viajan a través de una red privada o si procesa tarjetas a través de una terminal virtual, muchos de los protocolos de seguridad de la red seguirán aplicándose a su negocio.
A continuación, revisaremos cada regla para la seguridad de los datos de la industria de las tarjetas y lo que significa, así como también cómo lograr su cumplimiento.
12 reglas para el cumplimiento de PCI DSS y POS para comerciantes
1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas
Esta es una mejor práctica general de networking, pero también se aplica a cualquier persona que maneje la información de facturación del cliente.
Un firewall es una característica de seguridad que monitorea el tráfico que ingresa y sale de su red. El firewall está configurado con un conjunto de reglas para que el tráfico de red sospechoso o no autorizado pueda bloquearse antes de ingresar a la red.
Su red siempre debe tener un firewall instalado y configurado para permitir la máxima seguridad y al mismo tiempo permitir operaciones y comunicaciones diarias.
2. No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
La mayoría del hardware o software proporcionado por los proveedores puede venir con opciones de seguridad predeterminadas o preconfiguradas, incluidas contraseñas.
Por lo general, están configurados para permitir una instalación o configuración rápida. Sin embargo, estas configuraciones y contraseñas no son las más seguras y deben cambiarse inmediatamente después de la instalación y configuración.
Nunca utilice contraseñas predeterminadas para su hardware o software de red. Esto incluye cualquier enrutador o módem WiFi o de Internet. Muchas de las configuraciones y contraseñas predeterminadas para estos no son seguras y algunas contraseñas incluso se comparten.
Esto también incluye cualquier terminal de hardware POS.
3. Proteger los datos almacenados del dueño de la tarjeta
Esta es la regla más crítica para los comerciantes y tiene que ver con el almacenamiento de números de cuenta principales (PAN). Además del número de cuenta, los datos de autenticación no deben almacenarse después de la autorización, incluso si están cifrados.
Los datos de autorización incluyen fechas de vencimiento, así como CID, CVC2, CVV2 y PIN.
Los PAN deben estar enmascarados cuando se muestran y solo muestran los últimos cuatro dígitos y los primeros 6 dígitos como máximo.
Finalmente, todos los datos deben estar cifrados y ser ilegibles sin importar dónde se almacenen.
Los comerciantes deben conocer todos los lugares donde se puede almacenar la información de la cuenta. Por ejemplo, algunos programas de contabilidad u otras herramientas pueden almacenar información de facturación si extraen datos de sus registros de ventas o facturación.
4. Cifrar la transmisión de datos de dueños de tarjetas a través de redes públicas abiertas
Toda la información del cliente que se transmita en redes públicas o privadas debe estar cifrada. Para el procesamiento en línea, esto significa que los sitios web deben tener un certificado SSL válido. Internamente, la transmisión de la red también debe estar cifrada. Entonces, incluso si no procesa ventas en línea, es probable que su red virtual o sus computadoras conectadas a POS se comuniquen a través de una red local.
Verifique sus routers y hardware para asegurarse de que estén utilizando el cifrado más avanzado, por ejemplo, WPA 3 en lugar de WPA2, AES o TKIP, que están desactualizados.
Por último, nunca envíe información de la tarjeta a través de métodos como correo electrónico, SMS u otros protocolos no protegidos.
5. Proteja todos los sistemas contra malware y actualice periódicamente el software o programas antivirus.
Asegúrese de que todas las computadoras conectadas a cualquier hardware de POS o que manejen datos de tarjetas de clientes tengan instalado un software antivirus y antimalware actualizado. También es necesario que todas las computadoras o servidores de trabajo locales estén protegidos por software antivirus.
Muchos de estos programas permiten actualizaciones automáticas, lo cual es crucial para que sigan siendo eficaces a la hora de detener amenazas. Si su software está desactualizado, actualícelo inmediatamente o compre una nueva licencia si ya no es compatible.
6. Desarrollar y mantener sistemas y aplicaciones seguros.
Para el hardware y el procesamiento de POS, esto significa mantenerse actualizado con cualquier actualización de firmware o software que se publique. Verifique periódicamente el hardware y software de su POS para asegurarse de que esté actualizado con los parches actuales.
Si tiene alguna pregunta sobre su hardware, comuníquese con su procesador de pagos y él podrá ayudarlo a garantizar que sus dispositivos cumplan.
Los procesadores confiables como ECS Payments cuentan con personal interno dedicado para ayudar a los comerciantes con problemas de cumplimiento de PCI DSS para garantizar que su procesamiento sea seguro.
Además del hardware y software del POS, esto también se aplica a todos los demás programas de software que puedan estar manejando información de la tarjeta.
7. Restringir el acceso a los datos de los dueños de tarjetas según las necesidades empresariales
Esto significa tanto datos como hardware POS. Asegúrese de que nadie que no esté autorizado pueda acceder al hardware o dispositivos POS. Esto también significa que solo el personal autorizado puede acceder a cualquier computadora conectada a esos dispositivos.
Cualquier registro en papel que contenga datos de clientes también debe estar restringido mediante un candado físico u otros métodos similares.
A nivel del sistema, esto puede significar restringir el acceso a cada individuo en función del acceso que necesita para realizar su trabajo. No brinde acceso completo a todos los empleados o empresas.
8. Identificar y autenticar el acceso a los componentes del sistema.
Esto significa que cada empleado debe tener una identificación única e iniciar sesión cuando accede a una computadora o trabaja con transacciones o terminales POS.
No permita que los usuarios o empleados compartan inicios de sesión ni utilicen un inicio de sesión universal. Por ejemplo, cuando un empleado maneja transacciones que involucran hardware POS, debe iniciar sesión con su ID única y cerrar sesión cuando haya terminado.
Lo mismo ocurre con los empleados que tienen acceso a los datos de los clientes a través de canales de atención al cliente u otros medios.
9. Restringir el acceso físico a los datos del dueño de la tarjeta
Cuando se trata de terminales POS, esta regla se aplica principalmente a la información que se captura y luego se almacena. La ubicación del almacenamiento debe ser segura y con acceso limitado a quienes lo necesiten.
Esto incluye todas las copias de seguridad de datos, discos duros y otros dispositivos de almacenamiento. Si los clientes están en las instalaciones, también debe haber señalización clara o formas que impidan que los clientes accedan a las áreas de almacenamiento o donde se manejan los datos.
10. Rastrear y monitorear todo el acceso a los recursos de la red y a los datos del dueno de la tarjeta.
Para las terminales POS, esto significa que cada empleado que maneja transacciones debe iniciar sesión de forma segura con sus credenciales únicas.
Esto proporciona un seguimiento de auditoría en caso de que se produzca algún compromiso o violación de datos. Además, estos inicios de sesión deberán conservarse durante un año. La razón es que muchas intrusiones o violaciones de datos no se detectan de inmediato. Por lo tanto, es necesario tener al menos un año de registros para que haya suficiente historial para revisar al analizar los detalles de inicio de sesión.
Además de solo los detalles de registro de los empleados cuando están en el terminal POS, también se debe registrar todo el acceso al sistema que involucre datos del cliente. La mayoría de los entornos de red tendrán herramientas de monitoreo del entorno e información del sistema (SIEM). Asegúrese de que estén configurados para almacenar los registros durante el período de tiempo adecuado.
11. Pruebe periódicamente los sistemas y procesos de seguridad.
Si realiza algún cambio o actualización en el hardware de su POS, debe probar su seguridad general y asegurarse de que no se hayan abierto vulnerabilidades debido a los cambios.
Al instalar nuevos dispositivos, puede haber configuraciones predeterminadas que faciliten la instalación pero que no sean seguras. Por lo tanto, siempre verifique todo su entorno y red de POS después de cualquier cambio o actualización.
Más allá de su terminal POS, también necesita extender estas pruebas periódicas a toda su red. Esto significa configurar protocolos para el escaneo de vulnerabilidades externas en busca de aberturas que puedan ser explotadas.
12. Mantener una política que aborde la seguridad de la información para todo el personal.
Cada empleado debe comprender la importancia de la seguridad de los datos y el cumplimiento de PCI DSS. Esto significa que querrá documentar sus protocolos y procedimientos de seguridad y asegurarse de que los empleados no solo tengan acceso a estos documentos sino que también reciban capacitación específica sobre ellos.
Debe haber un punto de contacto dedicado que sea responsable de la seguridad para que el personal sepa a quién contactar en caso de tener alguna pregunta o problema sobre las políticas.
Estas políticas también deben incluir una evaluación de riesgos anual, así como informes de gestión de incidentes en caso de que se produzca una infracción.
Escaneos ASV
Los comerciantes deben contratar a un proveedor aprobado por PCI para realizar un escaneo ASV para detectar cualquier vulnerabilidad de la red y asegurarse de que el comerciante cumpla con varios estándares DSS. Esta prueba garantiza que ninguna amenaza externa pueda acceder a los recursos de la red o a los datos de la tarjeta.
Si necesita ayuda para encontrar una solución de escaneo aprobada para su red, comuníquese con el procesador de pagos ECS Payments
Reglas adicionales y consejos de seguridad para terminales POS
El hardware y los terminales POS se han convertido en el objetivo de los ciberdelincuentes. Estos delincuentes suelen utilizar ataques muy sofisticados que están en constante evolución. Por eso los comerciantes deben estar atentos para mantener la seguridad.
Es posible que los emisores de tarjetas no describan explícitamente las siguientes reglas, estas se consideran mejores prácticas para garantizar la seguridad y la integridad de su hardware POS.
Inspeccione el hardware de POS diariamente
Asegúrese de inspeccionar sus terminales POS diariamente para detectar signos de manipulación. Los signos de manipulación pueden incluir sellos rotos, tornillos faltantes o cableado o cajas alteradas. Si detecta alguna manipulación no utilice este terminal y avise al responsable de seguridad.
No deje el hardware del POS desatendido
La manipulación puede ocurrir en sólo unos segundos, así que asegúrese de no dejar ningún terminal POS desatendido. Cuando los empleados abandonen la terminal, asegúrese de que cierren sesión para que no se pueda acceder a ella mientras están fuera.
Cámaras
Utilice cámaras de seguridad alrededor de las terminales POS para detectar cualquier manipulación o problema. Sin embargo, estas cámaras deben configurarse de manera que no les permita capturar los PIN de los clientes.
Actualizar todo el software
Sus terminales POS pueden incluir software no proporcionado por su procesador de pagos. Asegúrese de que este software adicional esté siempre actualizado con los últimos updates de seguridad disponibles a través del proveedor. Si tienen una opción para actualizaciones automáticas, asegúrese de usarla.
Esto incluye cualquier computadora con Windows o Mac y sus sistemas operativos. Si el proveedor ya no admite computadoras o sistemas operativos en uso, reemplácelos.
Capacite a los empleados sobre qué buscar
Todos los empleados deben entender la importancia de la seguridad de los datos y tener acceso a su documentación de seguridad. Capacite a sus empleados sobre qué deben tener en cuenta y tenga un punto de contacto exclusivo en caso de que observen cualquier posible problema que pueda provocar una violación de seguridad.
Ayuda con los requisitos de cumplimiento de PCI para comerciantes con terminales POS
Si tiene alguna pregunta sobre sus terminales POS y si su sistema sigue correctamente los requisitos de cumplimiento de PCI, comuníquese con ECS Payment Systems.
Nuestro personal está capacitado en todos los requisitos de cumplimiento de PCI y podemos responder sus preguntas y ayudarlo a garantizar que los datos de sus clientes estén seguros y cumplan con todas las pautas del emisor de tarjetas.