Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

PCI DSS: Cumplimiento de Tarjetas de Crédito

Inicio Glosario PCI DSS: Cumplimiento de Tarjetas de Crédito

Si tu negocio maneja transacciones con tarjetas de crédito y no cumple con PCI DSS, necesitas seguir leyendo para evitar posibles repercusiones legales.

PCI DSS es el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago. Protege a los usuarios de tarjetas de crédito al exigir a los comerciantes que cumplan con ciertos criterios para manejar transacciones con tarjetas de crédito en su negocio.

PCI DSS: Cumplimiento de Tarjetas de Crédito

¿Qué es el Cumplimiento PCI DSS?

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un marco de seguridad de la información diseñado, publicado y gestionado por el Consejo de Normas de Seguridad para la Industria de Tarjetas de Pago. PCI DSS regula explícitamente la seguridad en torno a las transacciones con tarjetas de crédito y otras formas de pagos basados en tarjetas (tarjetas de débito respaldadas por crédito, compras en línea, etc.).

El Consejo PCI, formado por American Express, Discover Financial Services, JCB International, Visa y Mastercard, gestiona la seguridad de la información en la industria de procesamiento de pagos en evolución.

Dado que los pagos con tarjeta de crédito y en línea se han convertido en la norma en las últimas décadas, el Consejo PCI se formó para abordar las salvaguardias técnicas y de cumplimiento que los comerciantes y procesadores de pagos pueden implementar para proteger los datos de los clientes, prevenir el robo y el fraude, y mantener la confianza del consumidor en el procesamiento de pagos con tarjeta de crédito.

PCI DSS no es un requisito legal para manejar pagos. En cambio, es instituido por el Consejo PCI a instancias de los principales proveedores de tarjetas de crédito. Estos proveedores controlan las redes de pago y tienen autoridad sobre los requisitos que un comerciante o procesador de pagos debe cumplir para usar esas redes. Los comerciantes u otros procesadores que no sigan PCI DSS pueden enfrentar sanciones cada vez más punitivas o incluso perder completamente su capacidad de aceptar tarjetas de crédito como pagos.

Cumplimiento PCI DSS 4.0: Qué Hay de Nuevo

PCI DSS 4.0 introduce cambios significativos que impactan el cumplimiento de tarjetas de crédito para empresas que manejan pagos con tarjeta. El estándar actualizado enfatiza un enfoque más flexible y personalizado para lograr el cumplimiento, permitiendo a las organizaciones adaptar las medidas de seguridad según sus entornos específicos. También refuerza los requisitos para la autenticación multifactor, el cifrado y la monitorización continua de los sistemas para mejorar la seguridad del procesamiento de tarjetas de crédito.

Además, PCI DSS 4.0 exige procedimientos de prueba más rigurosos, incluyendo escaneo de vulnerabilidades y pruebas de penetración, para asegurar un cumplimiento robusto de las tarjetas de pago. Las empresas que buscan mantenerse en cumplimiento con PCI DSS deben mantenerse al tanto de estas nuevas directrices para proteger eficazmente los datos de los titulares de tarjetas y evitar severas penalizaciones asociadas con el incumplimiento.

¿Cuáles son los Niveles PCI y Cómo Impactan las Auditorías?

Todos los comerciantes o procesadores de pagos que esperan aceptar pagos con tarjeta de crédito deben tener un Informe de Cumplimiento que demuestre el cumplimiento. El Informe de Cumplimiento es requerido anualmente a través de auditorías de cumplimiento. Las auditorías son investigaciones realizadas ya sea internamente o por un Evaluador de Seguridad Calificado (QSA) registrado y certificado por el Consejo PCI. Si una empresa debe someterse a una auditoría de terceros o una auditoría interna depende de la calificación de la organización bajo las métricas PCI.

Los cuatro niveles de cumplimiento se basan en el volumen de transacciones publicadas anualmente y son los siguientes:

  • Nivel 4: El nivel más bajo, los comerciantes en el Nivel 4 solo procesan menos de 20,000 transacciones por año.
  • Nivel 3: En esta etapa, los comerciantes procesan entre 20,000 y 1 millón de transacciones.
  • Nivel 2: En el Nivel 2, los comerciantes procesan entre 1 y 6 millones de transacciones por año.
  • Nivel 1: Los minoristas y comerciantes más grandes, el Nivel 1 se aplica a los comerciantes que procesan más de 6 millones de transacciones por año.

Los comerciantes en el Nivel 1 están obligados a someterse a evaluaciones de terceros por parte de QSAs. Sin embargo, aquellos en los Niveles 2, 3 y 4 pueden completar una autoevaluación, junto con un Cuestionario de Autoevaluación. Los comerciantes en los Niveles 3 y superiores que sufran una brecha de seguridad pueden verse obligados a cumplir con los requisitos de niveles superiores por un período de tiempo intermedio.

¿Cuáles son los 12 Requisitos de PCI DSS?

El núcleo del cumplimiento es la adhesión a 12 requisitos principales. Estos requisitos son los siguientes:

  1. Usar Cortafuegos: Un perímetro de TI debe tener un cortafuegos de seguridad adecuado para proteger contra el acceso no autorizado. El cumplimiento requiere que los comerciantes y procesadores implementen y mantengan cortafuegos.
  2. Protección de Contraseñas: Las organizaciones deben tener gestión de identidades y acceso segura y conforme y/o herramientas de acceso seguro para controlar cómo los usuarios interactúan con su infraestructura. Esto incluye proteger contraseñas e implementar algún control de acceso basado en roles formal.
  3. Proteger los Datos de los Titulares de Tarjetas: Las organizaciones deben usar cifrado y criptografía para proteger los datos de los usuarios en tránsito y en reposo.
  4. Cifrado de Datos Transmitidos: Específicamente, los comerciantes deben cifrar cualquier información de pago transmitida a través de redes, y los datos nunca deben enviarse a una ubicación desconocida.
  5. Usar Software Anti-malware: Aunque el software anti-malware es excelente para usar en cualquier escenario, PCI DSS requiere anti-malware en dispositivos de pago, sistemas de punto de venta (POS) o cualquier infraestructura que contenga información de pago o del cliente.
  6. Software Actualizado Adecuadamente: Los cortafuegos, el anti-malware y cualquier otro software o firmware del sistema deben actualizarse regularmente.
  7. Restringir el Acceso a los Datos: Los comerciantes deben tener restricciones lógicas contra el acceso no autorizado a los datos. Esto incluye acceso restringido desde fuera de la organización a acceso segmentado internamente.
  8. IDs de Acceso Únicos: Cualquier usuario que acceda a información de pago debe tener un ID único y seguro utilizado para autenticación, autorización y monitoreo.
  9. Restringir el Acceso Físico: Además del acceso digital restringido, el cumplimiento también espera que los comerciantes monitoreen y restrinjan el acceso físico a los sistemas que contienen información de pago. Esto significa asegurar centros de datos y estaciones de trabajo, monitorear el acceso en todos los dispositivos y usar cámaras y teclados de seguridad para mantener la responsabilidad.
  10. Mantener Registros de Acceso: Cualquier interacción con la información de pago debe incluir permiso del sistema o de un superior. Sin embargo, PCI DSS requiere que las empresas implementen herramientas de registro para rastrear todos los eventos de usuario, incluyendo el acceso a datos.
  11. Implementar Escaneo de Vulnerabilidades y Pruebas de Penetración: El cumplimiento incluye escaneo de vulnerabilidades y pruebas de penetración regulares para detectar debilidades.
  12. Usar Documentación: Aunque un negocio conforme pueda tener herramientas de registro en su lugar, también deben tener políticas de documentación en su lugar. Esto incluye documentar políticas y procedimientos en torno al cumplimiento, actualizaciones y fallos.

¿Cuáles son las Penalizaciones por Incumplimiento de PCI DSS?

Es importante notar que PCI DSS no es un requisito legal para hacer negocios. Sin embargo, es un requisito para aceptar pagos con tarjeta de crédito.

Las penalizaciones de PCI DSS en sí mismas no se publican ni se hacen públicas, pero el incumplimiento (especialmente las brechas que resultan del incumplimiento) puede resultar en multas severas.

Las penalizaciones pueden incluir lo siguiente:

  • Multas de entre $5,000 y $100,000 por mes por violaciones repetidas. Los comerciantes más grandes, de Nivel 1, con problemas significativos pueden ver más escrutinio y penalizaciones más altas.
  • Daño a la Cuenta del Comerciante. Un negocio puede encontrar difícil o costoso continuar aceptando pagos con tarjeta de crédito debido a tarifas más altas o un perfil de riesgo desafiante.
  • Suspensión o Pérdida del Procesamiento de Pagos. Las compañías de tarjetas pueden decidir que la violación de las regulaciones es lo suficientemente grave como para merecer la pérdida completa de privilegios.

¿Cuáles son los Beneficios y Mejores Prácticas para el Cumplimiento de PCI DSS?

Los comerciantes que trabajan para cumplir o mantener su cumplimiento pueden seguir algunas mejores prácticas:

  • Usar un Proveedor Cumplidor con PCI para el Procesamiento de Pagos: Cuando un negocio no maneja su propio procesamiento para vender bienes o servicios, el mejor primer paso es trabajar con un proveedor conforme. Proveedores como Square o PayPal pueden ofrecer incluso a las empresas más pequeñas un procesamiento de pagos simple y seguro.
  • Usar Intercambio de Archivos Cumplidor con PCI y Almacenamiento: Las empresas que manejan su procesamiento de pagos son aconsejadas a usar servicios de intercambio de archivos conformes. Los proveedores que ofrecen servicios de gestión de documentos conformes, características de transferencia de archivos como transferencia de archivos administrada cumpliendo con PCI o protocolo de transferencia de archivos seguro, y correo electrónico seguro pueden simplificar el cumplimiento y permitir que los líderes empresariales y de TI se concentren en cosas más importantes.
  • Incluir Capacitación y Educación sobre Cumplimiento: Desafortunadamente, el eslabón más débil de la mayoría de los sistemas de seguridad y cumplimiento son las personas, y esto se debe en gran parte a la falta de comprensión de los protocolos. Un negocio conforme debe tener programas de educación completos, exhaustivos y en evolución para apoyar a los miembros del equipo y enseñarles cómo mantener a la organización dentro de las regulaciones.
  • Mantener Pruebas de Seguridad y Monitoreo Regulares: Cualquier negocio que maneje datos de crédito de clientes, ya sea para almacenamiento o procesamiento, también debe tener un programa de pruebas regular. Esto incluye monitoreo continuo, escaneo de vulnerabilidades y pruebas de penetración. Las pruebas anuales, como mínimo, pueden apoyar el cumplimiento.

Pensando en el Futuro para el Cumplimiento de PCI DSS 4.0

Mientras que muchas organizaciones no creen que sean responsables del cumplimiento, el aumento de las compras en línea y el comercio electrónico, donde los pagos con tarjeta de crédito son predominantes, está empujando a más y más organizaciones a aprender sobre los requisitos de PCI.

Si deseas aprender más sobre el cumplimiento de PCI DSS 4.0 y cómo la tecnología en la nube puede apoyar tus esfuerzos de cumplimiento de PCI DSS, regístrate para una breve demostración de la plataforma Kiteworks para aprender cómo unifica, rastrea, controla y asegura todas tus comunicaciones de contenido.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks