Según un estudio del Banco de la Reserva Federal de San Francisco, en 2020 las tarjetas de crédito se utilizaron para el 27 % de todos los pagos. Este fue el nivel más alto desde que comenzó el estudio en 2016. Las tarjetas de débito representaron el 28 %. El uso de efectivo representó el 19 % de todos los pagos, lo que representa una disminución de siete puntos porcentuales en comparación con 2019. Otros métodos de pago, incluidas las transferencias ACH, los pagos con número de cuenta bancaria, los pagos de facturas de banca en línea y las tarjetas prepago, representaron el 26 %.

La aceptación de tarjetas de pago significa que su empresa debe cumplir con los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) para proteger los datos de los clientes.

Este artículo cubre los conceptos básicos de PCI DSS y el cumplimiento para ayudarlo a comprender los elementos esenciales del marco y cómo se aplica a su empresa.

¿Qué es PCI DSS y qué significa?

PCI DSS significa Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago. Este marco es un conjunto de requisitos de seguridad para comerciantes y proveedores de servicios que almacenan, procesan, transmiten o pueden comprometer la seguridad de los datos de los titulares de tarjetas.

PCI DSS es gestionado y supervisado por el Consejo de Estándares de Seguridad PCI, un organismo independiente fundado por grandes marcas de pago como Visa, MasterCard, American Express, Discovery y JCB. Las marcas de pago son responsables de hacer cumplir el cumplimiento.

¿Es PCI DSS una ley?

Aunque PCI no es una ley, forma parte de una relación contractual entre un banco adquirente y las empresas de pago con las que mantiene una relación. Dado que los bancos adquirentes son responsables de la falta de cumplimiento ante las marcas de tarjetas, determinan cómo deben informar sus comerciantes el cumplimiento de PCI DSS y probablemente trasladarán cualquier multa a ellos.

Además, en algunos estados como Nevada, Minnesota y Washington, partes de PCI DSS se han incorporado a la ley estatal.

¿Qué es el cumplimiento de PCI DSS?

El cumplimiento de PCI DSS significa trabajar con sus clientes o bancos adquirentes para determinar cómo su servicio puede comprometer los datos de los titulares de tarjetas, determinar exactamente qué requisitos de PCI DSS son responsabilidad de su organización y cumplir con los controles de seguridad aplicables dentro del marco de PCI DSS.

Estos requisitos abarcan una amplia gama de controles operativos y técnicos que no solo influyen en cómo se almacenan, procesan o transmiten los datos del titular de la tarjeta, sino que también garantizan la seguridad de las máquinas y redes involucradas en estos procesos, así como del personal responsable de gestionar estos controles.

Los 12 requisitos son:

1. Instalar y mantener controles de seguridad de la red: Este primer requisito se centra principalmente en la seguridad de su red de datos del titular de la tarjeta. Implementación de componentes de red basados en un estándar de configuración, establecimiento de reglas de firewall para permitir solo el tráfico necesario para el negocio e implementación de controles de seguridad de la red como la segmentación interna de la red y el software de firewall personal en estaciones de trabajo.
2. Aplicar configuraciones seguras para todos los componentes del sistema: El requisito 2 se refiere específicamente a la implementación de sistemas en su entorno para los datos del titular de la tarjeta. Las redes, servidores y otros recursos que se implementen en la red deben configurarse de manera segura antes de la implementación utilizando estándares de configuración como CIS o la documentación del proveedor. Al utilizar políticas de implementación, se garantiza que todas las ID de proveedor predeterminadas o contraseñas se eliminen antes de la implementación en su entorno para datos del titular de la tarjeta.
3. Proteger los datos de cuenta almacenados: El requisito 3 se refiere específicamente a la protección de los datos almacenados del titular de la tarjeta. Este requisito especifica qué datos pueden almacenarse y qué medidas de control son necesarias para un almacenamiento seguro, incluidos los requisitos de cifrado, gestión de claves de cifrado, incluidas las responsabilidades del custodio de claves y cómo se eliminan de manera segura los datos del titular de la tarjeta cuando se desechan o se superan los períodos de retención.
4. Proteger los datos del titular de la tarjeta durante la transmisión a través de redes abiertas y públicas mediante criptografía fuerte: El requisito 4 cubre la seguridad de los datos del titular de la tarjeta durante la transmisión. Requisitos específicos aseguran que se utilice un cifrado fuerte cuando los datos del titular de la tarjeta se transmitan a través de Internet y que los datos se transmitan de manera segura a través de tecnologías de mensajería de usuario final y redes inalámbricas.
5. Proteger todos los sistemas y redes contra software malicioso: El requisito 5 se refiere al uso de software antivirus en todos los servidores y estaciones de trabajo que a menudo se ven afectados por malware y cómo se realiza el monitoreo para sistemas que se ven menos afectados por malware. Este requisito incluye controles sobre la frecuencia de los escaneos, que los usuarios no puedan desactivar el software antivirus y que todo el software antivirus se registre adecuadamente.
6. Desarrollar y mantener sistemas y software seguros: El requisito 6 se centra en la seguridad de los procesos de desarrollo de software y la instalación oportuna de parches. Este requisito incluye controles como la capacitación de los desarrolladores en codificación segura, la protección de las aplicaciones web contra vulnerabilidades de seguridad comunes y la instalación de parches de seguridad críticos en un período de tiempo establecido.
7. Restringir el acceso a los componentes del sistema y a los datos del titular de la tarjeta según el principio de necesidad de conocimiento comercial: El requisito 7 se refiere al control de acceso lógico. Los requisitos se centran específicamente en otorgar acceso solo por razones comerciales y en establecer una denegación predeterminada de todos los accesos que no se definan explícitamente como permitidos.
8. Identificar a los usuarios y autenticar el acceso a los componentes del sistema: El requerimiento 8 cubre controles y requisitos de autenticación como auditorías de acceso, revocaciones oportunas de accesos y requisitos de contraseña. Configuraciones de implementación como tiempos de expiración de sesiones, complejidad de contraseñas y limitaciones de acceso para cuentas compartidas.
9. Restringir el acceso físico a los datos del titular de la tarjeta: El requerimiento 9 trata sobre la seguridad física de su CDE, incluidos los lugares de trabajo, centros de datos y la gestión de medios físicos. Asegúrese de que existan controles de seguridad física, como gestión de visitantes, mecanismos de control de acceso y el manejo adecuado de medios físicos que contengan datos del titular de la tarjeta.
10. Registrar y monitorear todos los accesos a los componentes del sistema y los datos del titular de la tarjeta: El requerimiento 10 cubre controles de registro y monitoreo, como métricas de seguridad específicas que deben ser registradas, reportadas y resueltas por un equipo de seguridad de la información. La detección y respuesta oportuna a estos eventos de seguridad es necesaria y está cubierta por controles como configuraciones de registro para todos los sistemas en el alcance, monitoreo 24/7 por parte del personal y un procedimiento establecido para la respuesta a los eventos.
11. Pruebas regulares de la seguridad de los sistemas y redes: El requerimiento 11 incluye controles relacionados con el establecimiento de un proceso de gestión de vulnerabilidades. Los controles incluyen la realización de escaneos de vulnerabilidades internos y externos trimestrales y una prueba de penetración anual.
12. Apoyar la seguridad de la información con políticas y programas organizacionales: El requerimiento 12 incluye controles relacionados con la seguridad operativa de su organización, como la gestión de políticas y procedimientos, la metodología de evaluación de riesgos y los protocolos de respuesta a incidentes.

¿Es obligatoria la conformidad con PCI-DSS?

Sí. La conformidad con PCI-DSS es obligatoria para cualquier comerciante o proveedor de servicios que procese, almacene, transmita o pueda afectar la seguridad de los datos del titular de la tarjeta, independientemente del tamaño y el alcance de su negocio.

Una pequeña empresa que maneje 100 transacciones con tarjeta al año debe cumplir con los requisitos de PCI-DSS al igual que una gran empresa que procese 1 millón de transacciones.

Sin embargo, la conformidad con PCI para una pequeña empresa es algo diferente a la de una gran empresa.