Cumplimiento de la normativa PCI: Definición, requisitos, ventajas e inconvenientes
¿Qué es la conformidad PCI?
El cumplimiento de la industria de tarjetas de pago (PCI) es un conjunto de normas y directrices establecidas por las compañías de tarjetas de crédito para garantizar la seguridad de las transacciones con tarjetas de crédito dentro de la industria de pagos. Se refiere a las normas técnicas y operativas que deben seguir las empresas para asegurar y proteger los datos de las tarjetas de crédito facilitados por los titulares y transmitidos a través de las transacciones de procesamiento de tarjetas.
El Consejo de Normas de Seguridad de la PCI es responsable de desarrollar y gestionar las normas de cumplimiento de la PCI. Se considera que las empresas que siguen y alcanzan los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) cumplen la normativa PCI.
Entender el cumplimiento de la PCI
Aunque no existe un mandato normativo para el cumplimiento de la PCI, se considera obligatorio por precedente judicial. La Comisión Federal de Comercio (FTC) supervisa el procesamiento de tarjetas de crédito para garantizar la protección del consumidor. El cumplimiento de la normativa PCI es un componente básico del protocolo de seguridad de cualquier empresa de tarjetas de crédito y, por lo general, es obligatorio para las empresas de tarjetas de crédito y se trata en los acuerdos de la red de tarjetas de crédito.
El Consejo de Normas de la PCI, creado en 2006, es responsable de desarrollar las normas para el cumplimiento de la PCI. Estas normas se aplican al procesamiento en comercios y también se han ampliado para establecer requisitos para las transacciones encriptadas por Internet. Otras entidades asociadas al establecimiento de normas en el sector de las tarjetas de crédito son The Card Association Network y la National Automated Clearing House (NACHA).
Requisitos para el cumplimiento de la PCI
Las normas de cumplimiento de la PCI exigen que los comerciantes y las empresas manejen la información de las tarjetas de crédito de forma segura para reducir la probabilidad de que se robe información confidencial de cuentas financieras. No manejar la información de las tarjetas de crédito de acuerdo con las normas PCI puede dar lugar a piratería informática y acciones fraudulentas, incluido el robo de identidad.
Para cumplir las normas PCI, las empresas deben seguir una serie de directrices establecidas por el Consejo de Normas PCI. Las Normas de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) describen los requisitos para el cumplimiento de la PCI. Consta de 12 requisitos clave, 78 requisitos básicos y más de 400 procedimientos de prueba.
Cómo cumplir la normativa PCI
Para cumplir las directrices de la PCI, las empresas deben adoptar varias medidas consideradas mejores prácticas de seguridad. Estos pasos incluyen:
- Implantar cortafuegos para proteger los datos
- Utilizar una protección adecuada de las contraseñas, como la autenticación de dos factores (2FA).
- Protección de los datos del titular de la tarjeta
- Cifrado de los datos de los titulares de tarjetas transmitidos
- Utilización de software antivirus y antimalware
- Actualizar el software y mantener los sistemas de seguridad con regularidad
- Restringir el acceso a los datos de los titulares de tarjetas
- Asignación de identificadores únicos a las personas con acceso a los datos
- Restricción del acceso físico al almacenamiento de datos
- Creación y supervisión de registros de acceso
- Comprobación periódica de los sistemas de seguridad
- Crear una política documentada que pueda seguirse
La versión más reciente de PCI DSS, la 4.0, se publicó en marzo de 2022. Esboza una serie de pasos que los procesadores de tarjetas de crédito deben seguir continuamente, incluida la evaluación de redes y sistemas, infraestructura de tecnología de la información, procesos empresariales y procedimientos de gestión de tarjetas de crédito.
Ventajas del cumplimiento de la PCI
El cumplimiento de la normativa PCI y la evaluación continua de las deficiencias de seguridad son cruciales para evitar el robo de información confidencial de los titulares de tarjetas, como los números de la seguridad social y del carné de conducir. Entre las ventajas del cumplimiento de la normativa PCI se incluyen:
- Reducción del riesgo de filtración de datos
- Evitar multas relacionadas con la violación de datos
- Mejorar la reputación de la marca
- Mantener a los clientes confiados y satisfechos, lo que conduce a la fidelidad a la marca
320
Las violaciones de datos pueden tener graves consecuencias financieras y para la reputación de las empresas. Proteger los datos de los titulares de tarjetas no sólo beneficia a la empresa, sino que también garantiza que las personas no se vean perjudicadas ni sufran pérdidas económicas.
Inconvenientes de la no conformidad con PCI
El cumplimiento de la normativa PCI es obligatorio para las empresas que manejan información de transacciones con tarjetas de crédito. El incumplimiento de las normas PCI puede conllevar un mayor riesgo de filtración de datos, multas, sanciones y la pérdida de la capacidad de procesar datos de tarjetas de crédito. Los bancos y las empresas de pago también pueden optar por no hacer negocios con entidades que no cumplan las normas, lo que se traduce en pérdidas de ventas y una imagen de marca empañada.
Las multas por incumplimiento pueden oscilar entre 5.000 y 500.000 dólares por incidente o violación de la seguridad de los datos PCI. Además, las empresas deben notificar a las personas cuya información pueda haberse visto comprometida, lo que aumenta el riesgo de cargos fraudulentos.
Ejemplos de cumplimiento de la normativa PCI y violación de datos
El cumplimiento de la normativa PCI ayuda a las empresas a evitar actividades fraudulentas y a mitigar las violaciones de datos. El “Informe Verizon sobre seguridad en los pagos” de Verizon ofrece una evaluación anual de la seguridad en los pagos. El informe destaca la importancia de PCI DSS para asegurar los sistemas de pago y prevenir las brechas.
Solo en el primer semestre de 2020, se expusieron 36.000 millones de registros a través de filtraciones de datos. Dado que el 86% de las filtraciones tienen una motivación económica, el riesgo financiero es significativo. Proteger los datos de los titulares de tarjetas no solo es bueno para el negocio, sino también lo correcto para evitar daños y pérdidas financieras a las personas.
Lo esencial
El cumplimiento de la normativa PCI es esencial para las empresas que realizan transacciones con tarjetas de crédito. Implica adherirse a un conjunto de normas y directrices establecidas por las compañías de tarjetas de crédito para garantizar la seguridad de los datos de las tarjetas de crédito. Siguiendo los requisitos de cumplimiento de la PCI, las empresas pueden reducir el riesgo de filtración de datos, proteger los datos de los titulares de tarjetas, evitar multas y mejorar la reputación de su marca.
Para cumplir la normativa PCI, las empresas deben aplicar diversas medidas de seguridad, como utilizar cortafuegos, cifrar los datos, restringir el acceso a la información de los titulares de tarjetas y probar periódicamente los sistemas de seguridad. De este modo, pueden crear un entorno seguro para procesar las transacciones con tarjeta de crédito y salvaguardar la información financiera confidencial.
Entre las ventajas del cumplimiento de la normativa PCI figuran la reducción del riesgo de filtración de datos y usurpación de identidad, la evitación de multas asociadas al incumplimiento y el mantenimiento de una imagen de marca positiva. Por otro lado, el incumplimiento puede conllevar mayores riesgos, sanciones económicas y daños a la reputación.
Los ejemplos de cumplimiento de la normativa PCI y de filtraciones de datos ponen de manifiesto la importancia de aplicar medidas de seguridad para evitar actividades fraudulentas y proteger los datos de los titulares de tarjetas. Las empresas deben dar prioridad al cumplimiento de la normativa PCI para garantizar la seguridad de los sistemas de pago y mitigar el riesgo de filtraciones.
En conclusión, el cumplimiento de la normativa PCI es un aspecto crucial del procesamiento de tarjetas de crédito, diseñado para proteger los datos de los titulares de tarjetas y garantizar la seguridad de las transacciones. Al conocer y cumplir las normas de la PCI, las empresas pueden mejorar su seguridad, generar confianza entre sus clientes y mitigar los riesgos asociados a las filtraciones de datos.
Preguntas y respuestas
¿Qué es la conformidad PCI?
El cumplimiento de la normativa PCI se refiere a un conjunto de normas y directrices establecidas por las empresas de tarjetas de crédito para garantizar la seguridad de las transacciones con tarjetas de crédito. Incluye normas técnicas y operativas que las empresas deben seguir para asegurar y proteger los datos de las tarjetas de crédito.
¿Quién es responsable de elaborar las normas de cumplimiento de la PCI?
El PCI Security Standards Council (Consejo de Normas de Seguridad de la PCI) es responsable de desarrollar y gestionar las normas de cumplimiento de la PCI. Este consejo está formado por las principales empresas de tarjetas de crédito, como Visa, Mastercard, American Express, Discover y JCB.
¿Cuáles son los requisitos para el cumplimiento de la PCI?
Las Normas de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) describen los requisitos para el cumplimiento de la PCI. Estas normas constan de 12 requisitos clave, 78 requisitos básicos y más de 400 procedimientos de prueba. Algunos de los requisitos son la implantación de cortafuegos, el cifrado de los datos transmitidos, la restricción del acceso a la información de los titulares de tarjetas y la comprobación periódica de los sistemas de seguridad.
¿Es obligatorio cumplir la normativa PCI?
Aunque no existe un mandato normativo para el cumplimiento de la PCI, se considera obligatorio por precedente judicial. La Comisión Federal de Comercio (FTC) supervisa el procesamiento de tarjetas de crédito para garantizar la protección de los consumidores, y el cumplimiento de la PCI suele ser obligatorio para las empresas de tarjetas de crédito y se trata en los acuerdos de la red de tarjetas de crédito.
¿Cuáles son las ventajas de cumplir la normativa PCI?
El cumplimiento de la normativa PCI ayuda a las empresas a reducir el riesgo de filtración de datos, salvaguardar los datos de los titulares de tarjetas, evitar multas relacionadas con filtraciones de datos, mejorar la reputación de la marca y mantener la confianza y satisfacción de los clientes.
¿Cuáles son las consecuencias del incumplimiento de las normas PCI?
El incumplimiento de las normas PCI puede conllevar un mayor riesgo de filtración de datos, multas, sanciones y la pérdida de la capacidad de procesar datos de tarjetas de crédito. Los bancos y las empresas de pago también pueden optar por no hacer negocios con entidades que no cumplan las normas, lo que se traduce en una pérdida de ventas y en una imagen de marca dañada.
¿Con qué frecuencia deben evaluar las empresas su cumplimiento de la normativa PCI?
Las empresas deben evaluar continuamente su cumplimiento de la norma PCI para garantizar una seguridad permanente. La versión más reciente de PCI DSS, la 4.0, se publicó en marzo de 2022. Es importante que las empresas evalúen periódicamente sus redes, sistemas, infraestructuras y procedimientos de gestión de tarjetas de crédito para mantener el cumplimiento de las normas más recientes.