¿Qué es el cumplimiento de PCI? ¿Necesito cumplir con PCI?

Cumplimiento PCI: ¿Qué es?

Las empresas de tarjetas de crédito deben adherirse al cumplimiento de PCI para ayudar a proteger la seguridad de las transacciones con tarjetas de crédito en el sistema financiero. El cumplimiento de la industria de tarjetas de pago se refiere a los requisitos técnicos y operativos de las empresas para salvaguardar y preservar los datos del titular de la tarjeta proporcionados durante las operaciones de procesamiento de tarjetas. El PCI Security Standards Council desarrolla y administra los estándares de cumplimiento de PCI.

Comprender el cumplimiento de PCI

El procesamiento de tarjetas de crédito está regulado por la Comisión Federal de Comercio (FTC) ya que se encuentra bajo la protección y regulación del consumidor. Si bien no existe una compulsión legislativa para el cumplimiento de PCI, se considera requerido por el precedente judicial.

El cumplimiento de PCI, en general, es un componente crítico del proceso de seguridad de cada compañía de tarjetas de crédito. Las empresas de tarjetas de crédito a menudo lo exigen y se menciona en los acuerdos de red de tarjetas de crédito.

El Consejo de requisitos de PCI es responsable de desarrollar estándares de cumplimiento de PCI. Estos estándares se aplican al procesamiento de comerciantes y se han mejorado para incluir requisitos para transacciones de Internet encriptadas. Otras instituciones importantes involucradas en el proceso de establecimiento de estándares de la industria de tarjetas de crédito son la Red de Asociaciones de Tarjetas y la Cámara Nacional de Compensación Automatizada (NACHA).

¿Qué pasa si no soy compatible con PCI?

Si bien el cumplimiento de PCI es obligatorio, algunos propietarios de empresas se preguntan si pueden evitar los estándares; esta es una idea poco ética y posiblemente desastrosa. Si no cumple con PCI, está arriesgando la seguridad de sus consumidores y su empresa. Sin las salvaguardas proporcionadas por el cumplimiento de PCI, su empresa puede estar expuesta a ataques costosos y filtraciones de datos.

Si ocurre una violación de datos y su organización no cumple con PCI, puede estar sujeto a sanciones y multas que van desde $ 5,000 a $ 500,000. Sin embargo, las sanciones son solo el comienzo del daño infligido por el incumplimiento. Si no cumple con PCI, corre el riesgo de perder su cuenta de comerciante, lo que le impediría aceptar pagos con tarjeta de crédito por completo. Además, su empresa puede estar incluida en la Lista Alerta de Miembros para Controlar Comerciantes de Alto Riesgo (MATCH), lo que lo hace inelegible durante muchos años para establecer una nueva cuenta de comerciante.

Además, una violación de datos puede resultar en miles de dólares en daños, una pérdida de respeto y confianza del consumidor y una pérdida de su marca. Debido a la variedad de sanciones asociadas con el incumplimiento de PCI, siempre es aconsejable cumplir de la manera más completa posible para evitar multas costosas y otros daños.

¿Cuáles son los 12 requisitos para el cumplimiento de PCI DSS?

Instalar y mantener cortafuegos

Los cortafuegos niegan efectivamente el acceso a datos privados a organizaciones externas o desconocidas. Estas precauciones suelen ser la primera línea de protección contra los piratas informáticos (maliciosos o no). Debido a su capacidad para evitar el acceso no autorizado, los firewalls son necesarios para el cumplimiento de PCI DSS.

Protección de contraseña efectiva

Los enrutadores, módems, sistemas de punto de venta (POS) y otros productos de terceros a menudo incluyen contraseñas genéricas y mecanismos de seguridad de fácil acceso para el público en general. Las empresas a menudo no protegen estas vulnerabilidades. Mantener el cumplimiento en esta área implica mantener una lista de todos los dispositivos y aplicaciones protegidos con contraseña (u otra seguridad para acceder). Con un inventario de dispositivos/contraseñas, se deben implementar protecciones y configuraciones esenciales (p. ej., cambiar la contraseña).

Proteger los datos del titular de la tarjeta

La tercera obligación de cumplimiento de PCI DSS es proteger los datos del titular de la tarjeta de dos maneras. Los datos del titular de la tarjeta deben cifrarse utilizando un algoritmo particular. Estos cifrados se implementan mediante claves de cifrado, que también deben cifrarse para fines de cumplimiento. Es necesario mantener y escanear regularmente los números de cuenta principales (PAN) para verificar que no existan datos sin cifrar.

Cifrar datos transmitidos

Los datos del titular de la tarjeta se envían a través de varias rutas convencionales (es decir, procesadores de pago, oficinas en el hogar de las tiendas locales, etc.). Cuando estos datos se transfieren a estos destinos conocidos, deben cifrarse. Además, nunca se deben dar números de cuenta a sitios desconocidos.

Usar y mantener antivirus

Fuera del cumplimiento de PCI DSS, el uso de software antivirus es una práctica inteligente. Sin embargo, todos los dispositivos que interactúan y almacenan PAN deben tener instalado un software antivirus. Este software debe ser parcheado y actualizado periódicamente. Además, su proveedor de punto de venta debe usar protección antivirus en áreas donde no se puede implementar directamente.

Software actualizado

Los cortafuegos y el software antivirus deberán actualizarse periódicamente. Además, es aconsejable mantener actualizado todo el software de una corporación. La mayoría de los programas de software incorporan medidas de seguridad, como parches para abordar vulnerabilidades recientemente identificadas, como parte de sus actualizaciones, lo que brinda una capa adicional de protección. Estas actualizaciones son importantes para cualquier software que se ejecute en dispositivos que interactúen o almacenen datos de titulares de tarjetas.

Restringir el acceso a los datos

La información del titular de la tarjeta debe ser estrictamente "necesita saber". Se debe negar el acceso a todos los empleados, ejecutivos y terceros que no necesiten esta información. Las responsabilidades que necesitan datos confidenciales deben estar bien documentadas y actualizadas regularmente, como lo requiere PCI DSS.

Códigos de acceso únicos

Los empleados que sí tienen acceso a los datos del titular de la tarjeta deben estar identificados y cada uno debe tener sus credenciales por separado. Por ejemplo, no se debe acceder a los datos cifrados a través de un solo inicio de sesión, ya que varios trabajadores conocen el nombre de usuario y la contraseña. Los identificadores únicos reducen la susceptibilidad y proporcionan un tiempo de reacción más rápido si los datos se ven comprometidos.

Limite el acceso a nivel físico

Todos los datos sobre los titulares de tarjetas deben almacenarse físicamente en un área segura. Los datos escritos o mecanografiados físicamente y los datos almacenados digitalmente (p. ej., en un disco duro) deben guardarse en una habitación, cajón o armario seguro. No solo se debe restringir el acceso, sino que siempre que se acceda a datos confidenciales, se debe mantener un registro para garantizar el cumplimiento.

Administrar registros de acceso

Se deben registrar todas las transacciones que involucren datos del titular de la tarjeta y números de cuenta primarios (PAN). Quizás la preocupación de incumplimiento más frecuente es la falta de registros y documentación suficientes para el acceso a datos confidenciales. El cumplimiento requiere rastrear el flujo de datos que ingresan a su empresa y la frecuencia con la que se requiere el acceso. Además, las herramientas de software que rastrean el acceso son necesarias para garantizar la precisión.

Exploración y prueba de vulnerabilidades

Cada uno de los diez criterios de cumplimiento anteriores requiere el uso de muchos productos de software, ubicaciones físicas y personal. Numerosos elementos pueden no funcionar correctamente, quedar obsoletos o estar sujetos a errores humanos. Podemos mitigar estos riesgos si nos adherimos a los criterios PCI DSS para escaneos regulares y pruebas de vulnerabilidad.

Políticas sobre documentos

El cumplimiento necesitará documentación del equipo, el software y los trabajadores que tienen acceso. Además, los registros de acceso a los datos del titular de la tarjeta requerirán documentación. También será necesario registrar cómo ingresa la información a su empresa, dónde se guarda y cómo se utiliza más allá del punto de venta.

Ventajas del cumplimiento de PCI

Las ventajas de cumplimiento incluyen un menor riesgo de filtraciones de datos, la protección de los datos del titular de la tarjeta y la prevención del robo de identidad. El cumplimiento es una mejor práctica para las empresas porque minimiza las sanciones asociadas con las filtraciones de datos, beneficia la reputación de la marca de una empresa y garantiza que los consumidores estén satisfechos y seguros de que están haciendo negocios con una empresa responsable, lo que genera lealtad a la marca.

Todas las empresas que aceptan información de tarjetas de crédito están obligadas, en virtud de sus acuerdos de procesamiento de tarjetas, a mantener el cumplimiento de PCI. El cumplimiento de PCI es el estándar de la industria, y las empresas que no lo cumplen corren el riesgo de incurrir en sanciones significativas por incumplimiento de contrato y descuido. Las empresas que no cumplen con PCI también están muy expuestas a robos, fraudes y filtraciones de datos.

En Fixed.net le recomendamos encarecidamente que nunca toque los datos de la tarjeta . Eso significa que use un proveedor como Stripe o Braintree donde se tokenicen los datos de la tarjeta. Usted no almacena los datos de la tarjeta y ni siquiera los ve . Un cliente ingresa los detalles usando un widget incrustado del sitio web del proveedor de pago.

Cumplimiento PCI y WordPress

WordPress es un software de código abierto y no tiene un sistema de pago integrado. En cambio, los sistemas de pago se incluyen con complementos como WooCommerce. Estos complementos generalmente tienen la capacidad de asociar puertas de enlace de terceros como Stripe. Si elige una puerta de enlace en la que no toca los datos de la tarjeta, entonces no necesita cumplir con PCI.

Cumplimiento PCI y WooCommerce

WooCommerce viene con una serie de opciones de pago agrupadas y puede ampliarlo con complementos de terceros. Entramos en opciones de pago en varias otras guías en este blog. Sin embargo, la gran mayoría de los suscriptores fijos tienden a usar una combinación de Stripe y PayPal.