Cumplimiento de PCI
Tabla de contenido
Expandir
- ¿Qué es el cumplimiento de PCI?
- Comprensión del cumplimiento de PCI
- Requisitos para el cumplimiento de PCI
- Beneficios del cumplimiento de PCI
- Cumplimiento de PCI y violaciones de datos
- Preguntas frecuentes sobre el cumplimiento de PCI
- La línea de fondo
¿Qué es el cumplimiento de PCI?
El cumplimiento de la industria de tarjetas de pago (PCI) es un mandato de PCI Security Standards Council.
Conclusiones clave
- Se considera que las empresas que siguen y alcanzan los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) cumplen con PCI.
- El PCI Security Standards Council es responsable de desarrollar PCI DSS.
- PCI DSS tiene 12 requisitos clave, 78 requisitos básicos y 400 procedimientos de prueba para garantizar que las organizaciones cumplan con PCI.
- El cumplimiento de PCI reduce las filtraciones de datos, protege los datos de los titulares de tarjetas, evita multas y mejora la reputación de la marca.
- La ley no exige el cumplimiento de PCI, pero se considera obligatorio a través de un precedente judicial.
Comprensión del cumplimiento de PCI
La precedente judicial.
En general, el cumplimiento de PCI es un componente central del protocolo de seguridad de cualquier compañía de tarjetas de crédito. Generalmente es un mandato de las compañías de tarjetas de crédito y se analiza en los acuerdos de la red de tarjetas de crédito.
El PCI Standards Council es responsable del desarrollo de los estándares para el cumplimiento de PCI. Estos estándares se aplican al procesamiento comercial y también se han ampliado para describir los requisitos para las transacciones entidades clave que también están asociadas con el establecimiento de estándares en la industria de tarjetas de crédito incluyen The Card Association Network y National Automated Clearing House (NACHA).
Requisitos para el cumplimiento de PCI
Los estándares de cumplimiento de PCI requieren que los comerciantes y otras empresas manejen la información de la tarjeta de crédito de una manera segura que ayude a reducir la probabilidad de que los titulares de tarjetas sufran el robo de información confidencial de cuentas financieras. Si los comerciantes no manejan la información de la tarjeta de crédito de acuerdo con los estándares PCI, la información de la tarjeta podría ser pirateada y utilizada para una multitud de acciones fraudulentas. Además, la información confidencial sobre el titular de la tarjeta podría utilizarse en el fraude de identidad.
Cumplir con PCI significa adherirse constantemente a un conjunto de pautas establecidas por el PCI Standards Council. El cumplimiento de PCI se rige por el PCI Standards Council, una organización formada en 2006 con el propósito de administrar la seguridad de las tarjetas de crédito.
Los requisitos desarrollados por el Consejo se conocen como Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS). PCI DSS tiene 12 requisitos clave, 78 requisitos básicos y más de 400 procedimientos de prueba. Las directrices también se consideran prácticas recomendadas de seguridad. Sus 12 requisitos principales incluyen lo siguiente:
- Implementar firewalls para proteger los datos
- Protección de contraseña adecuada
- Proteja los datos del titular de la tarjeta
- Cifrado de los datos transmitidos del titular de la tarjeta
- Utilizar software antivirus
- Actualice el software y mantenga los sistemas de seguridad.
- Restringir el acceso a los datos del titular de la tarjeta
- ID únicos asignados a quienes tienen acceso a los datos
- Restringir el acceso físico a los datos
- Crear y monitorear registros de acceso
- Pruebe los sistemas de seguridad de forma regular
- Cree una política que esté documentada y que se pueda seguir
La versión más reciente de PCI DSS se lanzó en mayo de 2018 y se conoce como versión 3.2.1. En general, los seis objetivos y los 12 requisitos describen una serie de pasos que los procesadores de tarjetas de crédito deben seguir continuamente. En primer lugar, se solicita a las empresas que evalúen sus redes y sistemas, que involucran infraestructura de tecnología de la información, procesos comerciales y procedimientos de manejo de tarjetas de crédito.
Beneficios del cumplimiento de PCI
El mantenimiento constante y la evaluación de cualquier brecha en la seguridad también son muy importantes para evitar el robo de información confidencial del titular de la tarjeta, como la seguridad social y los números de licencia de conducir, siempre que sea posible.
Las empresas deben proporcionar informes de cumplimiento de forma regular como parte de sus acuerdos de procesamiento de tarjetas. El seguimiento, las evaluaciones y las auditorías de los estándares de seguridad de datos de la industria de tarjetas de pago son una parte importante del departamento de seguridad de una empresa.
Todas las empresas que procesan información de tarjetas de crédito deben mantener el cumplimiento de PCI como se indica en sus acuerdos de procesamiento de tarjetas. El cumplimiento de PCI es el estándar de la industria y los negocios sin él pueden resultar en multas sustanciales por incumplimiento de acuerdos y negligencia. Sin el cumplimiento de PCI, las empresas también son muy vulnerables al robo, el fraude y las filtraciones de datos.
95%
El porcentaje deinfraccionesde ciberseguridad causadas por errores humanos.
Los beneficios del cumplimiento incluyen la reducción del riesgo de filtraciones de datos, la protección de los datos del titular de la tarjeta y, por lo tanto, evitando las posibilidades de robo de identidad. Es una buena práctica que las empresas cumplan con la normativa, ya que reduce las multas relacionadas con las filtraciones de datos, ayuda a la reputación de la marca de una empresa, mantiene a los clientes felices y confiados de que están haciendo negocios con una empresa responsable, lo que genera lealtad a la marca.
En la primera mitad de 2020, hubo 36 mil millones de registros expuestos a través de violaciones de datos. El ochenta y seis por ciento de las infracciones fueron motivadas financieramente y, dado que se espera que el mercado global de seguridad de la información alcance los $ 170 mil millones en 2020, el riesgo financiero es aún mayor. Proteger los datos de los titulares de tarjetas no solo es bueno para las empresas, sino que también es lo correcto, ya que garantiza que las personas no se vean perjudicadas negativamente ni sufran pérdidas económicas.
Cumplimiento de PCI y violaciones de datos
El cumplimiento de PCI ayuda a evitar actividades fraudulentas y mitiga las filtraciones de datos. Verizon proporciona una evaluación anual de la seguridad de los pagos en su «Informe de seguridad de pagos de Verizon». El Informe de 2019 dedica una sección completa a PCI DSS, denominada «El estado del cumplimiento de PCI DSS, 2019: y 12 requisitos clave». Algunos aspectos destacados de PCI DSS del «Informe de seguridad de pago de Verizon 2019» incluyen lo siguiente:
- El 36,7% de las organizaciones mantenían activamente los programas PCI DSS en 2018.
- La región de Asia y el Pacífico superó a América, Europa, Oriente Medio y África.
- Desde la perspectiva de la industria, la hostelería va un poco por detrás de otros sectores.
Preguntas frecuentes sobre el cumplimiento de PCI
¿Qué significa compatible con PCI?
Cumple con PCI significa que cualquier empresa u organización que acepte, transmita o almacene los datos privados de los titulares de tarjetas cumple con las diversas medidas de seguridad descritas por el PCI Security Standard Council para garantizar que los datos se mantengan seguros y privados.
¿La ley exige el cumplimiento de PCI?
No existe un mandato regulatorio que requiera el cumplimiento de PCI, pero se considera obligatorio a través de un precedente judicial.
¿Cómo consigo que cumpla con PCI?
Para cumplir con PCI, primero debe determinar qué cuestionario de autoevaluación debe seguir para cumplir. Una vez que termine el cuestionario, deberá completar y conservar la evidencia de un escaneo de vulnerabilidades aprobado con un proveedor de escaneo aprobado por PCI SSC. El escaneo se aplica solo a algunos comerciantes. Luego deberá completar la Certificación de cumplimiento. El último paso será enviar toda la información anterior.
¿Quién debe cumplir con PCI?
Cualquier empresa u organización que acepte, transmita o almacene los datos privados de los titulares de tarjetas.
La línea de fondo
El cumplimiento de PCI se refiere a los estándares técnicos y operativos establecidos por el PCI Security Standards Council que las organizaciones deben implementar y mantener. El objetivo de cumplir con PCI es proteger los datos de los titulares de tarjetas y se aplica a cualquier organización que acepte, transmita o almacene esos datos. Cumplir con PCI es una buena práctica empresarial, ya que prioriza la seguridad de los datos del consumidor y también beneficia a una organización a través de una reputación de marca positiva.