Las empresas que no cumplen con el PCI-DSS se enfrentan a multas e infracciones, así como a consecuencias menos tangibles como la pérdida de la confianza de los clientes.
Para evitar estas consecuencias, es importante entender si su empresa está dentro del alcance del PCI DSS.
¿A quién se aplica el PCI-DSS?
El PCI DSS se aplica a cualquier empresa que acepte, procese, almacene o transmita datos de titulares de tarjetas. El estándar también se aplica a cualquier organización que pueda afectar la seguridad de los datos de los titulares de tarjetas.
El estándar PCI-DSS clasifica a las empresas en dos categorías principales: comerciantes y proveedores de servicios. A continuación, explicamos las diferencias entre ambos.
PCI DSS para Comerciantes
Un comerciante es cualquier empresa que acepta pagos con una tarjeta que lleva el logotipo de una de las cinco principales empresas de tarjetas de crédito: American Express, Visa, Mastercard, Discover y JCB.
Los pasos para cumplir con el PCI-DSS varían según el nivel de cumplimiento PCI al que pertenece su empresa o las demandas específicas de su banco adquirente. Estos niveles se determinan según el número de transacciones con tarjeta que su empresa procesa en un año determinado.
Aquí hay una descripción general de los niveles de cumplimiento para comerciantes:
- Nivel 1: Comerciantes que procesan más de 6 millones de transacciones con tarjeta al año
- Nivel 2: Comerciantes que procesan de 1 a 6 millones de transacciones al año
- Nivel 3: Comerciantes que procesan de 20,000 a 1 millón de transacciones al año
- Nivel 4: Comerciantes que procesan menos de 20,000 transacciones al año
PCI DSS para Proveedores de Servicios
Un proveedor de servicios participa directamente en el procesamiento, almacenamiento o transmisión de datos de titulares de tarjetas en nombre de un comerciante.
Una empresa que ofrece servicios que pueden controlar o afectar la seguridad de los datos de los titulares de tarjetas también se considera un proveedor de servicios.
Ejemplos comunes de proveedores de servicios son:
- Procesadores de pagos
- Proveedores de sistemas POS gestionados
- Procesadores de transacciones
- Pasarelas de pago
- Empresas de hospedaje web
- Empresas de marketing de terceros
- Proveedores que realizan mantenimiento de POS
- Proveedores que ofrecen soluciones de cortafuegos de red gestionadas
Hay dos niveles de cumplimiento para proveedores de servicios, determinados según el número de transacciones que almacenan, procesan o transmiten.
- Nivel 1: Proveedores de servicios que almacenan, procesan o transmiten más de 300,000 transacciones con tarjeta al año
- Stufe 2: Dienstleister, die jährlich weniger als 300.000 Kreditkartentransaktionen speichern, verarbeiten oder übertragen
Ihre Dienstleisterstufe hilft festzulegen, welche Berichtspflichten Sie erfüllen müssen, um Ihre Konformität nachzuweisen. Beispielsweise unterzieht sich ein Dienstleister der Stufe 1 jährlichen Prüfungen durch einen QSA, um die Konformität nachzuweisen, während ein Dienstleister der Stufe 2 jährlich ein SAQ D ausfüllen wird.