Si manejas datos de tarjetas de pago y quieres escalar tu empresa de forma segura, esto debes saber
PCI DSS es un conjunto de controles de seguridad diseñados para garantizar que todas las empresas que recopilan y procesan información de tarjetas de crédito mantengan un entorno seguro.
Si bien fue desarrollado en 2006 para abordar problemas de fraude y filtraciones de datos dentro de la industria, sigue siendo crucial a día de hoy para evitar brechas de seguridad y asegurar el éxito a largo plazo de cualquier empresa que maneje tarjetas de pago.
En esta guía rápida cubriremos los aspectos básicos acerca de qué es PCI DSS, quiénes deben cumplirla y por qué es tan importante en la industria de tarjetas de pago.
¿Qué es PCI DSS?
Payment Card Industry Data Security Standard o PCI DSS es el estándar global de protección de datos en industrias que manejan tarjetas de pago de crédito o débito.
Su objetivo es asegurarse de que todas las empresas posean un nivel básico mínimo de seguridad que proteja los datos de los titulares de tarjetas.
Como muchos marcos de cumplimiento, PCI DSS se actualiza cada cierto tiempo. Si bien la última versión es la 3.2.1, se sabe que para el primer trimestre de 2022 estará vigente la versión 4.0.
El estándar PCI DSS proporciona una serie de lineamientos y mejores prácticas para varios aspectos de la seguridad tanto administrativa, lógica como física. Esto incluye controles, políticas, procesos, seguridad en la arquitectura de red y desarrollo de software, entre otros. Tranquilo, profundizaremos en este tema unos párrafos más adelante.
¿Quiénes deben cumplir con PCI DSS?
Si tu modelo de negocio almacena, procesa o transmite datos de titulares de tarjetas de pago, entonces debes cumplir con PCI DSS. No importa el tamaño de tu empresa.
Si acaso tu empresa no procesa ni almacena datos de tarjeta, pero usa pasarelas de pagos de terceros, también es muy probable que debas adherirte al cumplimiento de este estándar. Porque tal vez sea menos rígida la exigencia, pero debes estar certificado de igual manera.
Por otro lado, PCI DSS establece diferentes requisitos dependiendo de la cantidad de transacciones anuales de la compañía. Es decir, las agrupa según los siguientes niveles:
- Nivel 1: más de seis millones de transacciones anuales
- Nivel 2: entre uno y seis millones de transacciones anuales
- Nivel 3: entre 20.000 y un millón de transacciones anuales
- Nivel 4: menos de 20.000 transacciones anuales
Usualmente para los niveles 2, 3 y 4 solicitan que llenes un cuestionario de autoevaluación llamado SAQ o Self-Assessment Questionnaire, una herramienta de validación cuya intención es asistir a las empresas en el proceso de evaluar su cumplimiento con la norma PCI DSS.
Para el nivel 1, además de completar este SAQ, piden evidencia mucho más exhaustiva de cada requisito, ya que suelen ser empresas grandes como procesadoras de pago, bancos, Fintech dueñas de los botones de pagos, etc. En estos casos, la cantidad de controles y tiempos de auditoría suelen ser mayores.
Requisitos de PCI DSS
En total, el estándar PCI DSS cuenta con 12 requisitos que se esquematizan en 6 grupos o “metas” de cumplimiento. Para que te hagas una idea, estos requisitos, a su vez, contemplan en total más de 300 controles de seguridad.
El cuestionario que mencionamos antes (SAQ) contiene exactamente estos 12 requerimientos (con con cada uno de sus controles) para que la organización complete y demuestre si cumple o no con cada uno de ellos.
Lo sabemos, 300 controles suena abrumador, por eso mismo, en los próximos artículos trataremos una guía con recomendaciones para que sepas cómo abordar esta tarea siendo una pequeña o mediana empresa. Si quieres ser de los primeros en enterarte, puedes seguirnos en LinkedIn, allí publicamos nuevos recursos cada martes y jueves.
¿Por qué cumplir con PCI DSS?
1. Mantiene e incrementa la confianza de tus clientes
La confianza es fundamental para mantener la reputación, sobre todo en las industrias del comercio electrónico y la banca. Tus clientes esperan que las plataformas transmitan y procesen sus datos de pago de forma segura. Y con cada vez más brechas públicas en las noticias, la conciencia del problema aumenta día a día.
En definitiva, cumplir con un estándar internacional como PCI DSS es otra forma de construir y proteger la reputación de tu empresa.
2. Facilita el cumplimiento de regulaciones, estándares y otros requerimientos de seguridad
Los requisitos PCI DSS fueron diseñados por las 5 principales compañías de crédito a nivel mundial (AMEX, Mastercard, VISA, Discover, y JCB International), por lo tanto, ya sea que cumplas con el nivel 1, 2, 3 o 4 aún significa que posees un marco sólido y has tomado medidas importantes para proteger los datos de tus clientes. PCI DSS te funcionará como un punto de partida para cumplir con otros estándares de seguridad internacionales, con regulaciones como la Ley Fintech de México o la RAN 20-10 de Chile, y también con requerimientos de seguridad y privacidad de clientes corporativos comprometidos con la protección de datos.
3. Evita pérdidas financieras
La protección de datos es crucial cuando almacena o procesas datos confidenciales de tus clientes. Por ello, cada vez que una empresa cumple con los 12 requisitos de PCI tiene menos riesgos de ser vulnerada por ciberataques y recibir multas por parte de los gobiernos. En otras palabras, si te alineas a PCI DSS no solo evitas las brechas de datos, también reduces considerablemente los costos de incidentes en el caso de que ocurran.
4. Oportunidad de negocios
Si quieres venderle a otras empresas o corporativos, es fundamental que demuestres que la protección de datos es una prioridad para ti. PCI te permite generar estrategias, múltiples capas de seguridad en la infraestructura TI y evaluaciones para conocer tus vulnerabilidades a tiempo, y esto es exactamente lo que buscarán los auditores de otras organizaciones antes de cerrar un contrato. Asegúrate de estar preparado para que tus competidores no tomen ventaja por estar más preparados que tú.
Conclusión
PCI DSS (Norma de seguridad de datos de la industria de pago) es el estándar internacional enfocado en la protección de datos de titulares de tarjetas de pago de débito o crédito.
En definitiva, su misión es proporcionar un grupo de controles de seguridad para que las empresas que (sin importar su tamaño) almacenen, procesen o transmitan este tipo de datos puedan minimizar posibles daños causados por una brecha de seguridad y/o fraudes.
PCI DSS estableció 4 diferentes niveles de cumplimiento según el volumen de transacciones que manejan las empresas durante cada año. La mayoría de las empresas, entre las cuales es probable que se encuentre la tuya, deben cumplir con los niveles 2, 3 y 4. Este tipo de empresas deben presentar un cuestionario de autoevaluación o Self-Assessment Questionnaire (SAQ), el cual contiene los 12 requerimientos y los sub requerimientos del estándar PCI en los que debes indicar si cumples o no con cada uno de ellos.
Los beneficios de mantener el cumplimiento de PCI DSS son muchos y son esenciales para el éxito a largo plazo de las empresas que manejan datos de titulares de tarjetas.
Ahora ya tienes una idea clara de si debes cumplir o no con este marco, y cuáles son los requisitos para comenzar a hacerlo.
Si tienes más dudas sobre este o cualquier otro framework de cumplimiento, estamos aquí para charlar sobre tu caso y resolver cualquier duda.
