Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Las Normas de Seguridad de los Datos del Sector de Tarjetas de Pago (PCI DSS) fijan el
parámetro mínimo de seguridad de los datos. A continuación, encontrarás una guía paso a paso
en la que se explica cómo sostener el cumplimiento y cómo obtener la ayuda de Stripe.
Desde 2005, más de 11.000 millones de registros de clientes se han puesto en riesgo a causa de
más de 8.500 filtraciones de datos. Estos son las últimas cifras de The Privacy Rights
Clearinghouse, que informa sobre filtraciones de datos y violaciones de seguridad que afectan a
los consumidores desde 2005.
Para mejorar la seguridad de los datos del consumidor y la confianza en el ecosistema de pagos,
se creó una norma básica para la seguridad de los datos. En 2006, Visa, Mastercard, American
Express, Discover y JCB formaron el Consejo de Normas de Seguridad para la Industria de las
Tarjetas de Pago (PCI SSC) destinado a administrar y gestionar las normas de seguridad de las
empresas que manejan datos de tarjetas de crédito. Antes de la creación del consejo, estas cinco
empresas de tarjetas de crédito tenían programas de normas de seguridad propios, cada una con
requisitos y objetivos bastante similares. Se unieron en el PCI SSC para adoptar una sola
política estándar, las Normas de Seguridad de los Datos de PCI (conocidas como PCI DSS o
"normativa PCI"), a fin de garantizar un nivel básico de protección de los consumidores y los
bancos en la era de Internet.
Para aliviar esta carga, sigue a continuación una guía paso a paso sobre cómo validar y sostener
el cumplimiento de la normativa PCI.
Si una empresa no necesita manejar los datos sensibles de tarjetas de crédito, no debe hacerlo.
Hay soluciones de terceros (p. ej., Stripe Elements) que aceptan y almacenan los datos de
manera segura, con lo que se evitan todas las complicaciones, los costes y los riesgos. Debido a
que los datos de las tarjetas nunca entran en contacto con sus servidores, estas empresas solo
necesitan confirmar 22 controles de seguridad, la mayoría de los cuales son muy simples como,
por ejemplo, el uso de una contraseña segura.
Validación anual
Independientemente de cómo se acepten los datos de tarjeta, las organizaciones deben completar
un formulario de validación conforme a la normativa PCI todos los años. La forma como se
valide el cumplimiento de la normativa PCI depende de varios factores, que se describen abajo.
A continuación, se presentan 3 casos por los que se le podría pedir a una organización que
demuestre que cumple con la normativa PCI:
Los procesadores de pagos pueden solicitarlo como parte de su proceso obligatorio de
notificación a las marcas de tarjetas de pago.
Los socios comerciales pueden solicitarlo como un requisito previo a la firma de un acuerdo
comercial.
En caso de empresas que usan una plataforma (aquellas cuya tecnología facilita las
transacciones en línea de varios subconjuntos de usuarios), los clientes pueden solicitarlo para
demostrarle a su clientela que manejan los datos de manera segura.
El último conjunto de normas de seguridad, PCI DSS versión 3.2.1, incluye 12 requisitos
principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.
Guía paso a paso para cumplir con la normativa PCI DSS v3.2.1
1. Conoce tus requisitos
El primer paso para cumplir con la normativa PCI implica conocer los requisitos que se aplican
a tu organización. Hay cuatro niveles diferentes de cumplimiento que, por lo general, se basan
en el volumen de transacciones con tarjeta de crédito que procese tu empresa en un lapso de 12
meses.
SE APLICA A REQUISITOS
NIVEL 1
Organizaciones que procesan más de 6 millones de transacciones al año de Visa o MasterCard,
o más de 2,5 millones para American Express, o
Ha habido una filtración de datos; o
Son considerados de "Nivel 1" por cualquier asociación de tarjetas (Visa, Mastercard, etc.)
Informe anual sobre cumplimiento (ROC) a cargo de un evaluador de seguridad cualificado
(QSA), conocido comúnmente como "evaluación en el lugar de Nivel 1", o un auditor interno si
es firmado por un director de la empresa
Escaneo trimestral de la red a cargo de un proveedor aprobado de escaneo (ASV)
Certificación de cumplimiento (AOC) para evaluaciones en el lugar (formularios específicos
para comerciantes y proveedores de servicios)
NIVEL 2 Organizaciones que procesan entre 1 y 6 millones de transacciones por año
Cuestionario de autoevaluación (SAQ) anual de la normativa PCI (9 tipos de SAQ que se
muestran brevemente en la tabla a continuación)
Escaneo trimestral de la red a cargo de un proveedor aprobado de escaneo (ASV)
Certificación de cumplimiento (AOC) (cada uno de los 9 SAQ tiene un formulario de AOC
correspondiente)
NIVEL 3
Organizaciones que procesan entre 20.000 y 1 millón de transacciones online por año
Organizaciones que procesan por año menos de 1 millón de transacciones en total
NIVEL 4
Organizaciones que procesan menos de 20.000 transacciones online por año
Organizaciones que procesan por año hasta 1 millón de transacciones en total .
Para los niveles 2 a 4, hay diferentes tipos de SAQ según qué método de integración de pagos
uses. He aquí una tabla resumida:
SAQ DESCRIPCIÓN
A
Comerciantes que operan sin presencia de la tarjeta (comercio electrónico o pedidos por
teléfono o por correo) que subcontratan a terceros validados conforme a la normativa PCI para
que manejen todas las funciones relacionadas con datos de titulares de tarjeta sin que se
almacenen, procesen o transmitan por vía electrónica datos de titulares de tarjeta a través de sus
sistemas o establecimientos.
A-EP
Comerciantes de comercio electrónico que subcontratan a terceros validados conforme a la
normativa PCI para que procesen todos los pagos y que tienen sitios web que no reciben los
datos de los titulares de tarjeta directamente, pero que pueden afectar a la seguridad de la
transacción de pago. No se almacenan, procesan ni transmiten por vía electrónica datos de los
titulares de tarjeta a través de los sistemas o establecimientos del comerciante.
B
Comerciantes que usan solo:
B-IP
Comerciantes que usan solo terminales de pago autónomas aprobadas conforme a la norma de
seguridad de transacciones con PIN (PTS) con una conexión IP al procesador de pagos sin
almacenamiento electrónico de datos de titulares de tarjeta.
C-VT
Comerciantes que introducen manualmente una transacción por vez mediante el uso de un
teclado conectado a una terminal de pago virtual basada en Internet, provista y alojada por un
proveedor de servicios validado conforme a la normativa PCI.
C
Comerciantes con sistemas de aplicaciones de pago conectados a Internet sin almacenamiento
electrónico de los datos de titulares de tarjeta.
P2PE
Comerciantes que usan solo terminales de pago físicas incorporadas a una solución de cifrado
de punto a punto (P2PE) incluida en la lista del consejo PCI y administradas por dicha solución
sin almacenamiento electrónico de los datos del titular.
D
SAQ D PARA COMERCIANTES: Todos los comerciantes no incluidos en las descripciones de
los tipos de SAQ que figuran arriba.
El diagrama de flujo que aparece en la página 18 de este documento sobre la normativa PCI te
ayudará a elegir el SAQ y los documentos de certificación que mejor se ajusten a tu
organización.
Los requisitos PCI cambian con el paso del tiempo, por lo que una de las mejores formas de
mantenerse al tanto de los nuevos requisitos de certificación o los cambios y cómo cumplirlos
consiste en convertirse en una organización participante del consejo PCI (PO) .
En primer lugar, identifica las áreas de la empresa orientadas al consumidor que impliquen
transacciones con tarjeta. Por ejemplo, puedes aceptar pagos a través de un carrito de compra
virtual, las terminales de pago de una tienda o un pedido telefónico.
En segundo lugar, identifica las diferentes maneras como se manejan los datos de los titulares
de tarjeta en toda la empresa. Es importante saber exactamente dónde se guarda la información
y quién tiene acceso a ella.
Por último, identifica los sistemas internos o tecnologías subyacentes que tienen contacto con
transacciones de pago. Esto incluye tus sistemas de red, los centros de datos y los entornos en la
nube.
3. Verificación de los controles y protocolos de seguridad
Una vez que identificas todos los puntos que podrían tener contacto con datos de tarjetas de
crédito en tu organización, trabaja con los equipos de TI y seguridad para garantizar que se
instituyan las configuraciones y protocolos de seguridad correctos (ver la lista de 12 requisitos
de seguridad de la normativa PCI arriba). Estos protocolos han sido concebidos para proteger la
transmisión de datos, como Transport Layer Security (TLS).
Los 12 requisitos de seguridad de la normativa PCI DSS v3.2.1 salen de las mejores prácticas
para proteger los datos sensibles de cualquier empresa. Varios se superponen con los requisitos
exigidos conforme al RGPD, la HIPAA y otros mandatos de privacidad, por lo que es posible
que tu organización ya esté cumpliendo algunos de ellos.
4. Vigilar y mantener
Cabe destacar que el cumplimiento de la normativa PCI no es un acontecimiento aislado, sino
un proceso continuo con el que asegurar que tu empresa siga cumpliendo con la normativa a
medida que el flujo de datos y los puntos de contacto con los clientes aumentan. Algunas
marcas de tarjetas de crédito pueden solicitar informes trimestrales o anuales o llevar a cabo una
evaluación anual en el establecimiento para validar el cumplimiento constante, en especial si
procesas más de 6 millones de transacciones por año.
La gestión del cumplimiento de la normativa PCI durante el año ( y a través de los años) suele
requerir apoyo y colaboración interdepartamental. Si no existe, vale la pena crear un equipo
interno dedicado a ello para asegurar debidamente el cumplimiento. Si bien cada empresa es
única, para crear un buen "equipo PCI" se puede empezar por incluir un representante de cada
uno de los siguientes sectores:
Al contar con métodos de aceptación de tarjetas más seguros como estos, rellenamos el
cuestionario de autoevaluación (SAQ) de la normativa PCI en el Dashboard de Stripe para que
la validación conforme a la normativa implique solo hacer clic en un botón. En caso de
organizaciones pequeñas, esto puede ahorrar cientos de horas de trabajo. En caso de
organizaciones más grandes, puede implicar miles de horas menos.
Para todos los usuarios, independientemente del tipo de integración, Stripe actúa como un
intercesor de la normativa PCI y ayuda de diferentes maneras.
Conclusión
La evaluación y la validación del cumplimiento de la normativa PCI, por lo general, se hacen
una vez al año, pero no se trata de un acontecimiento aislado, sino de un gran esfuerzo continuo
de evaluación y reparación. A medida que una empresa crece, se amplían los principales
procesos y lógicas comerciales, lo que implica que aumentan también los requisitos de
cumplimiento. Una empresa online, por ejemplo, puede decidir abrir tiendas físicas, entrar en
nuevos mercados o lanzar un centro de soporte para el cliente. Si algo de lo nuevo implica datos
de tarjetas de pago, es aconsejable que te adelantes y verifiques si repercute en tu método de
validación conforme a la normativa PCI y revalida el cumplimiento según sea necesario.