No importa si su empresa procesa 10 transacciones con tarjetas por año o 10 millones, usted está obligado a cumplir con el PCI DSS.

Cuantas más transacciones con tarjetas procese, mayor será el riesgo de posibles violaciones de datos e incidentes de seguridad. Para abordar esto, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) categoriza a las empresas en niveles de cumplimiento de PCI.

Comprender qué nivel de cumplimiento tiene su empresa es un primer paso crucial en su camino hacia el cumplimiento de PCI. Su nivel determina sus requisitos de informes y sirve como hoja de ruta para el cumplimiento.

A continuación, encontrará una descripción general de los criterios que le ayudarán a determinar su nivel de cumplimiento de PCI.

Comerciantes vs. Proveedores de Servicios de PCI

Antes de determinar su nivel de PCI DSS, debe establecer en qué categoría se encuentra su empresa: comerciante o proveedor de servicios.

Los comerciantes son empresas que aceptan pagos con tarjetas de uno de los cinco miembros del Consejo de Normas de Seguridad de PCI (American Express, Discover, JCB, MasterCard o Visa).

Los proveedores de servicios no son marcas de pago, pero pueden estar directamente involucrados en el procesamiento, almacenamiento y transmisión de datos de titulares de tarjetas en nombre de un comerciante y, en general, influyen en la seguridad de los datos de los titulares de tarjetas de sus clientes.

Los proveedores de servicios también incluyen empresas que brindan servicios que podrían afectar la seguridad de los datos de los titulares de tarjetas. Ejemplos de proveedores de servicios son los Proveedores de Servicios Administrados, que ofrecen cortafuegos administrados, y los Proveedores de Alojamiento.

Las marcas de tarjetas de crédito clasifican a los comerciantes y proveedores de servicios en diferentes niveles de informes según la cantidad de transacciones procesadas en un año. Veamos los niveles para cada grupo a continuación.

Niveles de Comerciantes de PCI

Para los comerciantes, generalmente existen cuatro niveles de cumplimiento de PCI DSS, comenzando con el Nivel 4 y subiendo hasta el Nivel 1.

• Nivel 1 de PCI: Empresas que procesan más de 6 millones de transacciones con tarjetas por año
• Nivel 2 de PCI: Empresas que procesan de 1 millón a 6 millones de transacciones con tarjetas por año
• Nivel 3 de PCI: Empresas que procesan de 20.000 a 1 millón de transacciones con tarjetas por año
• Nivel 4 de PCI: Empresas que procesan menos de 20.000 transacciones con tarjetas por año

Cada nivel de cumplimiento de PCI podría tener un conjunto diferente de obligaciones de informe, con el Nivel 4 requerir una autoevaluación y el Nivel 1 requiere una auditoría por terceros.

Nivel PCI 1

Los comerciantes de Nivel 1 procesan más de 6 millones de transacciones con tarjetas al año. Este nivel de cumplimiento de PCI está sujeto a los requisitos de informe más estrictos de los cuatro niveles.

En lugar de completar un cuestionario de autoevaluación (SAQ), los comerciantes de Nivel 1 deben crear un informe anual de cumplimiento (RoC).

Para completar un RoC, una empresa colabora con un Asesor de Seguridad Calificado (QSA). El QSA llevará a cabo una evaluación rigurosa que examina si una empresa ha cumplido eficazmente con los requisitos de PCI DSS y compilará sus hallazgos en un RoC. Estas evaluaciones deben realizarse anualmente.

Además del RoC, los comerciantes de Nivel 1 deben someterse a dos tipos de pruebas: escaneos de red trimestrales y pruebas de penetración anuales.

Las auditorías de Nivel 1 también incluyen un formulario de Attestation of Compliance (AoC). Este documento indica que la empresa ha cumplido con los requisitos del estándar PCI DSS y está firmado por el QSA.

También es muy importante tener en cuenta que cualquier comerciante que haya sufrido una violación de datos que haya llevado a la compromisión de los datos del titular de la tarjeta, puede ser clasificado en el Nivel 1 por sus bancos adquirientes o partes solicitantes.

Nivel PCI 2

Los comerciantes de Nivel 2 procesan entre 1 y 6 millones de transacciones con tarjetas al año. Estos comerciantes no necesitan someterse a una auditoría anual del informe de cumplimiento por parte de un QSA. En cambio, completan un SAQ. Es posible que necesiten una empresa externa de un QSA para confirmar este SAQ en el Nivel 2 de PCI.

Un SAQ contiene una serie de preguntas autoguiadas que evalúan su cumplimiento de PCI. Hay ocho tipos de SAQ, y cuál debe completar depende de si es un proveedor de servicios o un comerciante y de qué tipo de comerciante es.

Un ejemplo: un comerciante de comercio electrónico que procesa transacciones sin tarjeta y utiliza una tercera parte para transmitir la captura de los datos del titular de la tarjeta, completaría un SAQ A. Un comerciante de comercio electrónico que recopila datos del titular de la tarjeta a través de su aplicación gestionada y transmite estos datos a una tercera parte, completaría un SAQ A-EP.

El número de preguntas varía según el tipo de SAQ. El SAQ A es el más corto con 24 preguntas, mientras que el SAQ D contiene 328 preguntas.

Nivel PCI 3

Los comerciantes de Nivel 3 procesan entre 20,000 y 1 millón de transacciones al año. Los comerciantes de este nivel deben completar un SAQ para su negocio, incluidos los escaneos ASV y las pruebas de penetración requeridas.

También deben realizar escaneos trimestrales por un ASV y completar un AoC.

Nivel PCI 4

Los comerciantes de Nivel 4 procesan menos de 20,000 transacciones al año y tienen los requisitos de informe más bajos de los cuatro niveles de cumplimiento. Las pequeñas empresas a menudo entran en esta categoría de cumplimiento y solo necesitan un SAQ, incluidos los escaneos ASV y las pruebas de penetración requeridas.

Niveles de proveedores de servicios

Al igual que los comerciantes, los proveedores de servicios también se dividen en niveles de conformidad, según la cantidad de datos de titulares de tarjetas que manejan o los requisitos de sus clientes.

Nivel 1

Los proveedores de servicios de Nivel 1 almacenan, procesan, transmiten o influyen en más de 300,000 transacciones con tarjetas por año.

Al igual que un comerciante de Nivel 1, los proveedores de servicios de Nivel 1 también deben someterse a una auditoría anual dirigida por un QSA. Al finalizar la auditoría, el QSA emite un RoC.

Los proveedores de servicios de Nivel 1 también deben realizar pruebas de penetración anuales, escaneos de red trimestrales por un ASV y completar un formulario AoC.

Nivel 2

Los proveedores de servicios de Nivel 2 almacenan, procesan, transmiten o influyen en menos de 300,000 transacciones con tarjetas por año.

Este nivel debe completar un SAQ D para proveedores de servicios y un formulario AoC para demostrar el cumplimiento con PCI. Es posible que los clientes de este nivel requieran que el SAQ sea certificado por un QSA. Los proveedores de servicios de Nivel 2 también deben realizar pruebas de penetración anuales y escaneos de red trimestrales por un ASV.

Cómo determinar su nivel de cumplimiento PCI DSS

Puede determinar su nivel de cumplimiento PCI DSS revisando su volumen de transacciones con tarjetas durante el último período de 52 semanas y comunicándose con su banco adquirente o sus clientes sobre sus requisitos de PCI para su empresa.

Cada marca de tarjetas tiene sus propios criterios estándar para los niveles de cumplimiento, pero en general todos son similares a los umbrales mencionados anteriormente.

Si tiene dificultades para acceder a su información de volumen de transacciones o desea confirmar su nivel de cumplimiento, puede comunicarse con las marcas de tarjetas que acepta, su banco adquirente, clientes o cualquier organización que requiera el cumplimiento PCI DSS de su empresa.