Todo sobre la norma PCI DSS: manejo de datos, almacenamiento seguro y validación anual

El PCI Security Standards Council es un foro mundial abierto destinado a la formulación, la mejora, el almacenamiento, la difusión y la aplicación permanentes de las normas de seguridad para la protección de datos de cuentas. Este comité está formado por las empresas de tarjetas (tanto de crédito como de débito) más importantes y ha elaborado el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS.

La norma PCI DSS está basada fundamentalmente en una guía que ayuda a las compañías que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran a las tarjetas de pago de débito y crédito.

Y es que las empresas que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o corren serio riesgo de perder sus permisos para procesar las tarjetas y de enfrentarse a auditorías rigurosas o pagos de multas. Los responsables de este tipo de servicios para todo tipo de tarjetas, están obligados a validar su cumplimiento de manera periódica, a través de auditores autorizados. Únicamente, las empresas que realizan menos de 80.000 transacciones anuales están autorizados a realizar una autoevaluación, a través del cuestionario suministrado por el consorcio del PCI (PCI SSC).

Tres aspectos fundamentales

La normativa PCI establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Se aplica a toda organización que acepte o procese tarjetas de pago.

El cumplimiento de la normativa PCI implica tres aspectos importantes:

  1. Manejar la recepción de los datos de tarjetas de crédito de los consumidores, es decir, reunir y transmitir los datos sensibles de las tarjetas de manera segura.
  2. Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de la normativa PCI, por ejemplo, mediante cifrado, vigilancia continua y verificación de la seguridad del acceso a los datos de tarjeta.
  3. Validar anualmente que funcionen los controles de seguridad necesarios, lo que puede implicar formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros.

Manejo de los datos de tarjeta

Algunos modelos comerciales exigen el manejo directo de los datos sensibles de tarjetas de crédito al aceptar los pagos, mientras que otros no. Es posible que a las empresas que sí necesitan manejar los datos (p. ej., porque aceptan números de cuentas primarias sin un token en una página de pago) se les solicite que cumplan cada uno de los más de 300 controles de seguridad estipulados en la normativa PCI. Aun cuando los datos de las tarjetas pasen por su servidor brevemente, la empresa deberá comprar, instalar y mantener software y hardware de seguridad, según asegura la compañía Stripe.

Si una empresa no necesita manejar los datos sensibles de tarjetas de crédito, no debe hacerlo. Hay soluciones de terceros  que aceptan y almacenan los datos de manera segura, con lo que se evitan todas las complicaciones, los costes y los riesgos. Debido a que los datos de las tarjetas nunca entran en contacto con sus servidores, estas empresas solo necesitan confirmar 22 controles de seguridad, la mayoría de los cuales son muy simples como, por ejemplo, el uso de una contraseña segura.

Almacenamiento seguro de los datos

Si una organización maneja o almacena datos de tarjetas de crédito, debe definir el alcance del entorno de datos del titular de la tarjeta (CDE). La normativa PCI define el CDE como las personas, los procesos y las tecnologías que sirven para almacenar, procesar o transmitir datos de tarjetas de crédito, o cualquier sistema relacionado con esto.

Debido a que al CDE se le aplican todos los requisitos de seguridad de la normativa PCI, que son más de 300, es importante segmentar bien el entorno de pago del resto de la empresa para limitar el alcance de la validación conforme a esta normativa. Si una organización no puede contener el alcance del CDE con una segmentación pormenorizada, los controles de seguridad conforme a la normativa PCI deben aplicarse a todo sistema, ordenador portátil o dispositivo que esté en su red corporativa.

Validación anual

Independientemente de cómo se acepten los datos de tarjeta, las organizaciones deben completar un formulario de validación conforme a la normativa PCI todos los años. La forma como se valide el cumplimiento de la normativa PCI depende de varios factores, que se describen abajo. A continuación, se presentan tres casos por los que se le podría pedir a una organización que demuestre que cumple con la normativa PCI:

  • Los procesadores de pagos pueden solicitarlo como parte de su proceso obligatorio de notificación a las marcas de tarjetas de pago.
  • Los socios comerciales pueden solicitarlo como un requisito previo a la firma de un acuerdo comercial.
  • En caso de empresas que usan una plataforma (aquellas cuya tecnología facilita las transacciones en línea de varios subconjuntos de usuarios), los clientes pueden solicitarlo para demostrarle a su clientela que manejan los datos de manera segura.

La entrada Todo sobre la norma PCI DSS: manejo de datos, almacenamiento seguro y validación anual es original de MuyPymes


Muy PYMES
Enlace: Todo sobre la norma PCI DSS: manejo de datos, almacenamiento seguro y validación anual

No hay comentarios

Debes estar autenticado para publicar un comentario.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR