¿Qué es el cumplimiento de PCI?

click fraud protection

El cumplimiento de la industria de tarjetas de pago (PCI) se basa en un conjunto de 12 estándares técnicos y operativos desarrollados por PCI Security Standards Council (SSC), un organismo independiente formado en 2006 por American Express, Discover, JCB International, Mastercard y Visa. Estos estándares se aplican a cualquier empresa que acepte, transmita o almacene datos de tarjetas de crédito. Fueron creados para garantizar un entorno seguro que proteja la información comercial y de los clientes contra problemas como las filtraciones de datos.

Para comprender mejor el cumplimiento de PCI, es importante saber qué implica, los requisitos y cómo funciona todo.

Definición y requisitos de cumplimiento de PCI

El cumplimiento de PCI es la adhesión a un conjunto de estándares para la seguridad y protección de tarjetas de crédito establecidos por PCI SSC. Estos estándares se crearon para garantizar un entorno seguro para cualquier empresa que procese datos de titulares de tarjetas.

Si bien el PCI SSC desarrolló los estándares, las marcas de pago y los comerciantes son responsables de hacer cumplir las normas.

Cada marca de tarjeta de crédito puede tener sus propios requisitos PCI específicos que las empresas deben seguir. Los dueños de negocios deben verificar con cada marca de pago para asegurarse de que cumplan con todos los requisitos necesarios.

  • Nombre alternativo: Estándar de seguridad de datos de la industria de tarjetas de pago
  • Acrónimo: PCI, PCI DSS

Normas de cumplimiento de PCI

Hay 12 estándares creados por PCI DSS que cubren los componentes del sistema tanto técnicos como operativos:

  • Mantenga un firewall para proteger los datos del titular de la tarjeta
  • Use contraseñas de seguridad de alto nivel en lugar de contraseñas predeterminadas del sistema
  • Proteja los datos almacenados del titular de la tarjeta a través de protocolos de seguridad adecuados
  • Cifrar la transmisión de datos del titular de la tarjeta
  • Proteja todos los sistemas contra malware y actualice regularmente los programas antivirus
  • Desarrollar y mantener sistemas y aplicaciones seguras.
  • Restringir el acceso a la información del titular de la tarjeta
  • Identificar y autenticar el acceso a todos los componentes del sistema
  • Restringir el acceso físico a la información del titular de la tarjeta
  • Rastree y controle todos los accesos a la red y los datos del titular de la tarjeta
  • Probar con frecuencia los sistemas y procesos de seguridad.
  • Mantener una política de seguridad de la información para todo el personal.

Para proteger la información confidencial del titular de la tarjeta, es responsabilidad de cada empresa que procesa, transmite y almacena los datos de la tarjeta del cliente garantizar que se cumplan los estándares PCI. Estos estándares pueden ayudar a los comerciantes a protegerse contra piratas informáticos y ladrones de información.

No cumplir con estos requisitos puede hacer que una empresa sea más vulnerable a daños financieros y podría resultar en costosas tarifas de incumplimiento evaluadas por las marcas de tarjetas de crédito.

¿Cómo funciona el cumplimiento de PCI?

Cada emisor de tarjetas tiene sus propias pautas de cumplimiento de PCI, por lo que es una buena idea que los dueños de negocios verifiquen con cada emisor para asegurarse de que cumplan con las calificaciones adecuadas. Para ser considerada compatible con PCI, las empresas deben pasar por un proceso de tres pasos que incluye la determinación del alcance, la evaluación y la elaboración de informes.

Alcance

Al determinar el alcance, los propietarios de negocios deben identificar todos los sistemas que, si se ven comprometidos, podrían afectar los datos del titular de la tarjeta. La determinación del alcance es generalmente un proceso anual que implica evaluar todos los sistemas y las formas en que los datos del titular de la tarjeta interactúan con una empresa. Este proceso ayudará a determinar el tipo de evaluación necesaria, así como la magnitud y el costo.

evaluando

La parte de evaluación del cumplimiento de PCI consiste en un cuestionario de autoevaluación o una auditoría in situ realizada por un evaluador de seguridad calificado. La evaluación que necesitará una empresa está determinada por los niveles comerciales de la compañía de tarjetas de crédito. Por ejemplo, las empresas que procesan una cantidad específica de transacciones con tarjeta cada año por parte del emisor pueden necesitar solo un cuestionario de autoevaluación.

Los dueños de negocios pueden determinar su nivel comercial a través del sitio web designado de cada compañía de tarjetas de crédito, como estos para Visa, Tarjeta MasterCard, y American Express.

Informes

Una vez que los dueños de negocios completen la autoevaluación, deberán informarlo a la compañía de tarjetas de crédito. Las empresas que califican para una evaluación en persona deben enviar un Informe de cumplimiento directamente al emisor de la tarjeta de pago. Las evaluaciones de cumplimiento de PCI solo se requieren anualmente, pero los propietarios de negocios pueden necesitar escaneos de vulnerabilidad trimestrales realizados por un proveedor de escaneo aprobado. Cualquiera que sea la evaluación que se realice, informar los resultados de la auditoría a los emisores de tarjetas de pago es el paso final para el cumplimiento de PCI.

Conclusiones clave

  • El cumplimiento de PCI es el conjunto de estándares de la industria de tarjetas de crédito que deben seguir las empresas que aceptan, transmiten y almacenan datos de titulares de tarjetas.
  • Hay 12 estándares técnicos y operativos que las empresas deben cumplir para cumplir con PCI.
  • Hay un proceso de tres pasos para cumplir con PCI: alcance, evaluación e informes.
  • El proceso de evaluación implica tomar un cuestionario de autoevaluación u obtener una auditoría en el sitio.
5 maneras de agregar más tiempo a su día a partir de ahora

5 maneras de agregar más tiempo a su día a partir de ahora

Se dice que el primer paso para superar un problema es reconocer que existe un problema. Lo mismo ocurre con el tiempo. Las personas le dirán que no tienen tiempo para proyectos importantes y, en el siguiente aliento, dirán que han visto algo en ...

Lee mas
Redacción publicitaria: ¿Qué es?

Redacción publicitaria: ¿Qué es?

La redacción publicitaria es el arte de escribir mensajes persuasivos que impulsen a las personas a actuar. Conoce más sobre el copywriting, cómo funciona y los diferentes tipos que existen. ¿Qué es la redacción publicitaria? La redacción publ...

Lee mas
Cómo registrar un nombre de dominio

Cómo registrar un nombre de dominio

Hay muchas buenas razones para registrar un nombre de dominio, incluso si no utiliza su sitio web con fines comerciales. En primer lugar, recordemos el propósito básico de un nombre de dominio como johndoe.com: un medio para identificar fácilment...

Lee mas
Privacy2024 © Life About. ALL Rights Reserved.

Life About