• blogangle-right
  • ¿Quién necesita cumplir con PCI?

Table of Contents

¿Quién necesita cumplir con PCI?

  • June 30, 2022

En 2019, solo en los EE. UU. hubo 39.6 mil millones de transacciones con tarjeta y más del 80% de los consumidores prefieren pagar con tarjeta en lugar de efectivo.

Este aumento en las transacciones con tarjeta llevó a la introducción del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). El estándar tiene como objetivo proteger la información de las tarjetas y prevenir el uso no autorizado.

Si alguna vez te has preguntado, “¿quién necesita cumplir con PCI?” la respuesta es cualquier negocio que acepte pagos con tarjeta de débito o crédito, al igual que los negocios que participan en las 39.6 mil millones de transacciones mencionadas anteriormente.

Aunque esa explicación parece simple, hay mucho más en la conformidad con PCI de lo que parece a simple vista.

A continuación, cubrimos cuándo se requiere cumplimiento de PCI, exactamente a qué tipos de negocios se aplica y qué sucede si no cumples.

Revisión rápida: ¿Qué es el cumplimiento PCI DSS?

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es requerido por las compañías de tarjetas de crédito para mantener segura la información del titular de la tarjeta. El estándar proporciona directrices para almacenar, transmitir y procesar pagos con tarjeta de manera segura.

Estas directrices de seguridad se describen dentro de los 12 requisitos de PCI DSS. Cada requisito debe cumplirse para lograr la conformidad con PCI.

Los 12 requisitos de PCI DSS:

  1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
  2. No usar configuraciones predeterminadas proporcionadas por el proveedor para contraseñas del sistema y otros parámetros de seguridad
  3. Proteger los datos del titular de la tarjeta almacenados
  4. Encriptar la transmisión de datos del titular de la tarjeta a través de redes abiertas y públicas
  5. Usar y actualizar regularmente software o programas antivirus
  6. Desarrollar y mantener sistemas y aplicaciones seguros
  7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de la empresa
  8. Asignar una identificación única a cada persona con acceso a la computadora
  9. Restringir el acceso físico a los datos del titular de la tarjeta
  10. Rastrear y monitorear todo el acceso a los recursos de la red y a los datos del titular de la tarjeta
  11. Probar regularmente los sistemas y procesos de seguridad
  12. Mantener una política que aborde la seguridad de la información para todo el personal

Lecturas recomendadas

Cómo cumplir con PCI

¿Es necesario cumplir con PCI?

Sí. El cumplimiento con PCI es necesario para cualquier negocio que procese, almacene o transmita datos del titular de la tarjeta, independientemente del tamaño y escala de tu negocio.

Una pequeña empresa que maneja 100 transacciones con tarjeta al año debe cumplir con PCI DSS, al igual que una empresa a nivel de gran escala que maneja 1 millón de transacciones.

Sin embargo, el cumplimiento con PCI para una pequeña empresa se verá un poco diferente al de una organización a nivel de empresa. Abordaremos estas diferencias a continuación.

¿A quién se aplica PCI DSS?

PCI DSS se aplica a cualquier organización que acepte, maneje, almacene o transmita datos del titular de la tarjeta. El estándar también se aplica a cualquier organización que impacte el manejo, almacenamiento o transmisión de datos del titular de la tarjeta.

En pocas palabras, PCI DSS se aplica a cualquier negocio que acepte pagos con tarjetas de crédito y débito.

El estándar PCI DSS divide las empresas en dos categorías principales: comerciantes y proveedores de servicios. A continuación, discutimos las diferencias entre los dos.

PCI DSS para comerciantes

Un comerciante es cualquier negocio que acepte pagos con una tarjeta que lleve el logotipo de cualquiera de las cinco principales compañías de tarjetas de crédito: American Express, Visa, Mastercard, Discover y JCB.

Los pasos para cumplir con PCI DSS variarán dependiendo de cuál de los cuatro niveles de cumplimiento PCI apliquen a su negocio. Estos niveles se determinan por el número de transacciones con tarjeta que maneje su negocio en un año.

Aquí hay un desglose de los niveles de cumplimiento de los comerciantes:

  • Nivel 1: Comerciantes que procesan más de 6 millones de transacciones con tarjeta anualmente
  • Nivel 2: Comerciantes que procesan de 1 millón a 6 millones de transacciones anualmente
  • Nivel 3: Comerciantes que procesan de 20,000 a 1 millón de transacciones anualmente
  • Nivel 4: Comerciantes que procesan menos de 20,000 transacciones anualmente

PCI DSS para proveedores de servicios

Un proveedor de servicios está directamente involucrado en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta en nombre de un comerciante.

Una empresa que ofrece servicios que controlan o podrían impactar la seguridad de los datos del titular de la tarjeta también se considera un proveedor de servicios.

Ejemplos comunes de proveedores de servicios incluyen:

  • Procesadores de pagos
  • Proveedores gestionados de puntos de venta (POS)
  • Procesadores de transacciones
  • Pasarelas de pago
  • Empresas de alojamiento web
  • Firmas de marketing de terceros
  • Vendedores que realizan mantenimiento de POS
  • Vendedores que ofrecen soluciones gestionadas de firewalls de red

Hay dos niveles de cumplimiento para los proveedores de servicios, que se determinan por el número de transacciones que almacenan, procesan o transmiten.

  • Nivel 1: Proveedores de servicios que almacenan, procesan o transmiten más de 300,000 transacciones con tarjeta de crédito anualmente
  • Nivel 2: Proveedores de servicios que almacenan, procesan o transmiten menos de 300,000 transacciones con tarjeta de crédito anualmente

Su nivel de proveedor de servicios dicta los requisitos de informes que necesitará para demostrar el cumplimiento. Por ejemplo, un proveedor de servicios de Nivel 1 se someterá a auditorías anuales realizadas por un QSA para demostrar el cumplimiento, mientras que un proveedor de servicios de Nivel 2 completará un SAQ D anual.

¿Qué pasa si no cumple con PCI?

Hay algunas consecuencias para las empresas que no cumplen con PCI DSS.

Lo más notable es que podría perder la capacidad de aceptar pagos con tarjeta. Su adquirente (también conocido como su banco adquiriente) podría optar por terminar su relación, dejándolo incapaz de aceptar pagos con tarjeta.

Las empresas también pueden enfrentar multas por incumplimiento y un aumento en las tarifas de transacción.

Otra posible consecuencia del incumplimiento es una violación de datos. Dado que PCI DSS requiere que las empresas mantengan controles de seguridad para mantener seguros los datos del titular de la tarjeta, el incumplimiento podría significar que los datos del titular de la tarjeta son vulnerables a una violación.

Si su empresa experimenta una violación de datos del titular de la tarjeta, es posible que deba seguir los requisitos de validación para un nivel de cumplimiento más alto. Por ejemplo, si un negocio de Nivel 4 experimenta una violación de datos, es posible que deba seguir los pasos de informes de un comerciante de Nivel 1, que es un proceso mucho más riguroso.

Lectura recomendada

¿Por qué es importante el Cumplimiento PCI?

Cómo Secureframe puede ayudarte a cumplir con las normativas PCI.

Lograr el cumplimiento de las normativas PCI no es una tarea fácil.

Nuestro equipo puede ayudarte a navegar los más de 300 controles de seguridad y 12 requisitos para lograr y mantener el cumplimiento de PCI, aliviando parte de la carga de cumplimiento de los hombros de tu equipo.

Solicita una demostración para saber más hoy mismo.