Las empresas que aceptan pagos con tarjeta deben cumplir con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). No cumplir puede resultar en costosas violaciones de seguridad y multas.

Por ejemplo, Wawa acordó recientemente pagar un acuerdo de $8 millones para finalizar la investigación sobre una violación de datos en diciembre de 2019 que comprometió aproximadamente 34 millones de tarjetas de pago usadas en todas las tiendas Wawa. La investigación descubrió múltiples violaciones de PCI DSS.

Si tu empresa acepta pagos con tarjeta, entonces necesitas probar que cumples con PCI para evitar violaciones y proteger los datos de tus clientes. Ahí es donde entra un Certificado de Cumplimiento (AoC) de PCI DSS.

En esta guía, explicaremos todo lo que necesitas saber sobre el AoC de PCI y cómo obtener uno para demostrar tu cumplimiento con PCI DSS.

¿Qué es un AoC de PCI?

Un Certificado de Cumplimiento (AoC) de PCI es una declaración de cumplimiento de una organización con PCI DSS. Sirve como evidencia documentada de que las prácticas de seguridad de la organización protegen efectivamente contra amenazas a los datos del titular de la tarjeta.

Este documento debe ser completado por un Evaluador de Seguridad Calificado (QSA) o el comerciante de la empresa. Un QSA es una entidad certificada por el Consejo de Normas de Seguridad de PCI (PCI SSC) —el organismo que estableció PCI DSS— para realizar auditorías PCI DSS y determinar si las organizaciones cumplen con PCI.

Los QSA también pueden ayudar a facilitar el proceso de cumplimiento de tu organización, lo cual describiremos en mayor detalle más adelante.

PCI RoC vs. AoC

Un Informe de Cumplimiento (RoC) de PCI, similar a un AoC, es un documento emitido por un QSA a una organización que debe cumplir con PCI DSS. Describe la postura de seguridad de la organización, sus sistemas y la efectividad en la protección de datos del titular de la tarjeta para probar que la organización cumple con PCI.

Los RoC se diferencian de los AoC en la exhaustividad de la evaluación del QSA. Los RoC requieren que un QSA realice una auditoría, revisando la documentación del proceso de la organización y probando sus controles.

Para recibir un AoC, por otro lado, la mayoría de las organizaciones solo necesitan completar una autoevaluación de su cumplimiento, conocida como Cuestionario de Autoevaluación (SAQ). Esto es luego revisado por un QSA para determinar el estado de cumplimiento de la organización con PCI.

Sin embargo, las organizaciones más grandes que ya están siendo auditadas por un QSA para un RoC pueden no necesitar completar un SAQ para también recibir su AoC. En otras palabras, pasar la evaluación RoC a menudo se considera suficiente para que una organización también reciba un AoC.

Si una organización necesita un AoC o un RoC (o ambos) depende del nivel de cumplimiento de la organización, categorías que describiremos en la siguiente sección.

¿Quién necesita un AoC?

Cada entidad que maneja datos de titulares de tarjetas necesita un AoC y debe completar una evaluación con un QSA para demostrar el cumplimiento con PCI DSS y recibir uno.

Dicho esto, si una organización también necesita un RoC depende de su nivel de cumplimiento. Como regla general, las organizaciones que procesan más transacciones con tarjetas de débito y crédito encajan en niveles de cumplimiento con criterios de evaluación QSA más estrictos.

Niveles de cumplimiento PCI para comerciantes y proveedores de servicios

Veamos cómo se determinan los niveles de cumplimiento para comerciantes y proveedores de servicios, así como los requisitos de certificación de cumplimiento PCI para esos niveles.

Nivel de Cumplimiento PCI 1

• Transacciones: Más de 6 millones por año
• Requisitos de certificación: Necesitan tanto un AoC como un RoC

Nivel de Cumplimiento PCI 2

• Transacciones: De 1 millón a 6 millones por año
• Requisitos de certificación: Necesitan un AoC y pueden necesitar un SAQ y un RoC

Nivel de Comerciante 3

• Transacciones: De 20,000 a 1 millón por año
• Requisitos de certificación: Necesitan un AoC y un SAQ

Nivel de Comerciante 4

• Transacciones: Menos de 20,000 por año
• Requisitos de certificación: Necesitan un AoC y a menudo necesitan un SAQ

Revise los registros de transacciones de su organización para determinar en qué nivel de cumplimiento encaja.

Si bien los requisitos de evaluación y certificación deben permanecer consistentes entre las marcas de tarjetas de crédito, es importante tener en cuenta que los niveles difieren ligeramente según la marca

Por ejemplo, Visa especifica los niveles exactos de PCI anteriormente mencionados, pero Mastercard difiere ligeramente en sus especificaciones para el nivel 1 de cumplimiento PCI. El nivel 1 se aplica no solo a los comerciantes que procesan más de 6 millones de transacciones con tarjetas anualmente, sino también a los comerciantes que sufrieron un hackeo o un ataque que resultó en un evento de Compromiso de Datos de Cuenta (ADC). American Express, Discover y JCB International también definen sus niveles de manera diferente.

Considere investigar los niveles de PCI especificados por cada marca de tarjeta que acepte para minimizar su riesgo de cumplimiento.

Si aún no está seguro de qué documentos necesita para demostrar el cumplimiento con PCI DSS, contacte a un QSA para asistencia.

Cómo recibir un AoC

Para recibir su AoC, hay algunos pasos a tener en cuenta, que describimos a continuación.

1. Cumplir con PCI

El primer paso (y el más obvio) para obtener su AoC es cumplir con PCI DSS.

Esto incluirá crear una red segura donde los titulares de tarjetas ingresen su información, implementar medidas para proteger esa red, aplicar medidas estrictas de control de acceso para proteger los datos de las tarjetas de crédito y mantener una política de seguridad que aborde la seguridad de la información, entre otros requisitos de PCI DSS.

2. Determine su nivel de cumplimiento y tipo de evaluación

Una vez que confíe en que su organización cumple con los requisitos, podrá determinar su nivel de cumplimiento de PCI y prepararse para su evaluación QSA.

Si su organización se ajusta a los niveles de comerciantes 3 o 4 (menos de 1 millón de transacciones por año), debe completar un SAQ para que un QSA revise. Hay varios tipos diferentes de SAQ, así que asegúrese de investigar cuál es el adecuado para su organización.

Si su organización se ajusta a los niveles de cumplimiento de PCI 1 o 2, es posible que deba completar un SAQ y/o ser auditado por un QSA.

3. Programe y complete su evaluación

La revisión del SAQ se puede completar en persona o virtualmente, según las preferencias de su QSA. Si determinan a partir de su SAQ que cumple con PCI DSS, entonces recibirá su AoC de ellos.

Si el nivel de cumplimiento de su organización requiere una auditoría QSA, el QSA evaluará su postura de seguridad, sistemas y cumplimiento general con PCI. Si determinan que su organización cumple con PCI después de su evaluación, le proporcionarán un AoC (y probablemente también un RoC).

Documento de declaración de cumplimiento de muestra

Una vez que se haya determinado que su organización cumple con PCI, se le entregará un AoC. Vea la muestra de AoC a continuación para comprender la información que debe contener.

Obtenga su AoC de PCI sin problemas con Secureframe

Convertirse en compatible con PCI es importante, pero hacerlo sin ayuda no es fácil.

El estándar requiere que las organizaciones adopten más de 300 rigurosos controles de seguridad y una docena de requisitos de seguridad. Esto puede llevar un tiempo y un esfuerzo significativos, retrasando el proceso de ser evaluado por un QSA y recibir su AoC.

Pero con Secureframe, lograr el cumplimiento de PCI no tiene porqué ser estresante. Nuestra plataforma de automatización de cumplimiento reduce cientos de horas del proceso de cumplimiento mientras ayuda a su organización a cumplir con todos los controles operativos necesarios e implementar las mejores prácticas de seguridad.

Para obtener más información sobre cómo puede usar nuestra plataforma para volverse y mantenerse compatible con PCI, solicite una demostración hoy.