Ya sea que seas nuevo en el mundo de PCI o que ya hayas pasado por el proceso antes, probablemente sepas que PCI y el lenguaje que lo rodea pueden ser complejos e incluso confusos.

Ya estás lidiando con los desafíos de producción y operaciones y ahora también tienes que agregar el cumplimiento de PCI a la mezcla.

La buena noticia es que para las startups y las empresas en crecimiento, el camino hacia el cumplimiento de PCI DSS es un poco menos complejo que para una empresa a nivel corporativo.

Cortamos la terminología ambigua que puede hacer que PCI sea difícil de entender y destacamos exactamente lo que necesitas saber para cumplir con PCI.

¡Vamos a ello!

¿Qué significa cumplir con PCI?

El cumplimiento de PCI es el proceso de garantizar que las transacciones con tarjetas y la forma en que las empresas almacenan y acceden a los datos de los titulares de tarjetas cumplan con ciertos estándares de seguridad.

Esos estándares son definidos por un grupo de marcas de tarjetas de crédito específicas que colectivamente forman el Consejo de Normas de Seguridad PCI (PCI SSC).

Los estándares PCI están diseñados para proteger los datos de los titulares de tarjetas del fraude y fomentar la confianza del cliente para que la gente se sienta cómoda usando sus tarjetas de crédito en línea.

Los beneficios del cumplimiento de PCI incluyen:

• Reforzar la protección de los datos de las tarjetas de los clientes
• Aumentar la confianza de los clientes con el uso de pagos con tarjetas
• Ofrecer un estándar de seguridad a seguir
• Mejorar la eficiencia operativa
• Reducir el costo de una brecha de datos

¿Necesito cumplir con PCI como pequeña empresa?

Si tu negocio acepta tarjetas de débito, crédito o efectivo como forma de pago, entonces debes cumplir con PCI.

Además, si eres un tercero que puede afectar la seguridad de las transacciones con tarjetas de crédito, como un procesador de pagos, también debes cumplir con PCI.

El costo de no cumplir con PCI puede llevar a sanciones financieras que varían entre $5,000 y $10,000 por mes, o más si se consideran tarifas de transacción aumentadas.

No cumplir también puede llevar a que tu negocio pierda su estatus de comerciante, lo que te impediría aceptar pagos con tarjetas de crédito. Con 45 mil millones de transacciones con tarjetas de crédito solo en 2019, la incapacidad de procesar pagos con tarjetas de crédito puede aislar a un negocio de sus clientes.

El cumplimiento de PCI es requerido para organizaciones de todos los tamaños que manejan datos de tarjeta. Sin embargo, la cantidad de transacciones con tarjetas de crédito o débito que haga tu negocio anualmente determinará qué nivel de cumplimiento de PCI necesitas cumplir.

Niveles de cumplimiento PCI

El cumplimiento de PCI se aplica tanto a comerciantes como a proveedores de servicios. Las pequeñas empresas se consideran comerciantes.

El cumplimiento de PCI incluye cuatro categorías: Nivel 1, Nivel 2, Nivel 3 y Nivel 4. Las empresas que se encuentran en el Nivel 1 tendrán requisitos más estrictos que las empresas en la categoría de Nivel 4.

La mayoría de las pequeñas empresas se encuentran en la categoría de Nivel 4. Sin embargo, vale la pena señalar que cualquier empresa que experimente una violación de datos podría ser movida al Nivel 1.

Requisitos PCI para pequeñas empresas

Como la mayoría de las pequeñas empresas se encuentran en la categoría de Nivel 4, este es el nivel que analizaremos más a fondo.

El cumplimiento de Nivel 4 requiere tres cosas:

• Completar un cuestionario de autoevaluación (SAQ)
• Contar con un Proveedor de Escaneo Aprobado (ASV) que realice escaneos trimestrales de la red
• Completar una Declaración de Cumplimiento (AoC)

A diferencia de los comerciantes de niveles superiores, los comerciantes de Nivel 4 no necesitan un Informe de Cumplimiento (ROC) anual realizado por un Evaluador de Servicios Calificado (QSA), también conocido como una evaluación in situ de Nivel 1.

¿Cómo puede una pequeña empresa cumplir con PCI?

Cumplir con PCI puede ser un proceso complicado. Pero entender lo que se requiere de usted puede ayudarlo a crear un plan de acción y hacer que el proceso sea más fluido.

1. Determine a qué nivel de cumplimiento PCI pertenece

Lo primero es lo primero, necesita averiguar el nivel de cumplimiento PCI de su empresa. Si bien la mayoría de las pequeñas empresas se encuentran en la categoría de Nivel 4, vale la pena verificarlo dos veces.

Si no está seguro de a qué nivel pertenece su empresa, sus informes de punto de venta (POS) pueden mostrarle sus datos detallados de transacciones.

2. Complete un cuestionario de autoevaluación (SAQ)

Las pequeñas empresas en la categoría de Nivel 4 deberán completar un cuestionario de autoevaluación (SAQ) para determinar si su empresa cumple con los requisitos de cumplimiento del PCI DSS.

Hay ocho tipos de SAQ basados en sus procesos de pago y transacción:

• SAQ A
• SAQ A-EP
• SAQ B
• SAQ B-IP
• SAQ C
• SAQ C-VT
• SAQ P2PE
• SAQ D para Comerciantes y Proveedores de Servicios

La categoría en la que te encuentres dependerá del método que utilices para las transacciones, si almacenas o no datos de los titulares de las tarjetas y el tipo de negocio que tengas.

Por ejemplo, si solo utilizas máquinas de impresión para procesar transacciones con tarjeta, estarías en la categoría SAQ B. Si procesas transacciones sin la presencia de la tarjeta (pedidos que se realizan de forma remota) y rediriges a una plataforma de terceros para el procesamiento del pago, estarías en la categoría SAQ A-EP.

Una vez que hayas determinado qué SAQ se aplica a tu negocio, puedes comenzar a completar la encuesta. Un SAQ implica una serie de preguntas de sí/no e incluye:

• Una encuesta básica sobre la empresa
• Una segunda sección con preguntas sobre cada requisito y subrequisito de PCI

3. Realizar escaneos trimestrales de vulnerabilidad de la red

El siguiente paso es completar un escaneo trimestral de vulnerabilidad de la red. Estos escaneos internos y externos identifican vulnerabilidades en tu sitio web y sistema de procesamiento de pagos para identificar proactivamente malware y virus.

Los escaneos deben ser realizados por un Proveedor de Escaneo Aprobado (ASV) que haya sido certificado por el PCI SSC. Puedes encontrar un ASV a través del directorio oficial de PCI.

4. Completar una Declaración de Cumplimiento (AoC)

Una Declaración de Cumplimiento (AoC) es una declaración de cumplimiento PCI de una organización. Este documento debe ser completado por un Evaluador de Seguridad Calificado (QSA) y muestra que tu organización ha completado el SAQ correcto.

5. Enviar la documentación de cumplimiento PCI

Reúne todos tus documentos, incluyendo un SAQ completo, AoC y prueba de escaneos externos trimestrales aprobados por un ASV.

Enviarás estos documentos al consejo de PCI DSS ya sea electrónicamente o por correo.

Cómo crear una mentalidad de cumplimiento prioritario en tu negocio

Más allá de los requisitos, hay prácticas diarias que tu negocio puede implementar a medida que comienzas el proceso de cumplimiento de PCI.

Aquí tienes algunas ideas:

• Siempre solicita un código CVV al aceptar pagos por teléfono.
• Evita almacenar datos de los titulares de las tarjetas.
• Recuerda a los clientes que nunca deben enviar números de tarjetas de crédito o cuentas bancarias por correo electrónico regular. Esto puede incluirse en el pie de página de los correos electrónicos o en tu sitio web.
• Capacita a los empleados sobre la protección de los datos de los titulares de las tarjetas.
• Mantén el software actualizado.

Cómo Secureframe puede ayudar a agilizar el cumplimiento de PCI DSS

El cumplimiento de PCI puede ser complicado, pero no tienes que hacerlo solo.

Secureframe puede simplificar todo el proceso de evaluación al recopilar pruebas y cumplir con los más de 300 requisitos de control de PCI.

También podemos ayudarte a mantener el cumplimiento con la recolección automática de evidencias de más de 100 integraciones, para que puedas centrarte en dirigir tu negocio. Para obtener más información, solicita una demostración con uno de nuestros expertos en cumplimiento.

El cumplimiento de PCI es solo una de las principales preocupaciones que enfrentan las empresas de comercio electrónico de hoy.

Desde normas y regulaciones únicas hasta preocupaciones crecientes sobre ciberseguridad, las empresas de comercio electrónico enfrentan una amplia gama de preocupaciones que difieren de una tienda física.

A continuación, cubrimos las principales preocupaciones que enfrentarán las empresas de comercio electrónico en 2022 con la esperanza de que pueda informar y proteger su negocio.