Qué es PCI DSS y Para Qué Sirve | eDefense ®

¿Qué es el PCI-DSS y por qué es tan importante para los ecommerce?

pago con tarjeta en tpv tienda

Imagen de https://www.freepik.es

El “Payment Card Industry Data Security  Standard o PCI-DSS” hace referencia a un conjunto de estándares de seguridad que ayuda a las empresas a evitar fraudes y robos de los datos contenidos en las tarjetas de crédito, ya sean datos personales de los titulares o datos referentes a la propia tarjeta, como son los datos de autenticación (PAN, fecha de caducidad y código de seguridad).

¿Cómo nace el PCI-DSS?

Esta normativa referente al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago nace como resultado de un acuerdo entre las principales marcas de tarjetas de pago, (Visa, MasterCard, Visa Usa..)  de crear un framework único y aplicable a todas, que facilitase el control de cumplimiento de medidas de seguridad y la gestión de la protección de estas.

La primera versión de esta normativa se publicó en el año 2004 , fue pionera en definir los principios básicos de ciberseguridad para la protección de los datos de tarjetas de pago. Con el paso del tiempo y  atendiendo a diversos comentarios de las diferentes entidades y empresas a las que se aplicaba se fueron publicando nuevas versiones, mejorando los fallos anteriores, es así como se llega a la versión actual que es la 4.0 de marzo de 2022. Se pueden consultar las versiones anteriores así como información adicional en la página del PCI Security Standards Council.

¿Qué regula el PCI-DSS?

Este marco de cumplimiento establece 12 requisitos, recogidos en 6 grupos o metas de cumplimientos. A través de ellos se establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos en el ámbito de los pagos con tarjetas. A continuación se presentan los requisitos fijados en la última versión, pudiendo contrastar los cambios respecto a la anterior en el enlace.

¿Qué es el PCI-DSS y por qué es tan importante para los ecommerce?

¿Quién debe cumplir el PCI-DSS?

¿Qué es el PCI-DSS y por qué es tan importante para los ecommerce?
Imagen de https://www.freepik.es

Los requisitos marcados por este estándar deben ser cumplidos por todas aquellas entidades que participen en los procesos de almacenamiento, procesamiento y/o transmisión de datos confidenciales de autenticación de las tarjetas de pago, entre las que incluiríamos los siguientes grupos:

  • Comerciantes
  • Procesadores
  • Adquirentes
  • Entidades emisoras
  • Proveedores de servicios de pagos

Aquí entran, por supuesto, las tiendas online o ecommerce.

También quedarían incluidas aquellas entidades que ofertan servicios a dichos entornos, como pueden ser:

  • Proveedores de servicios gestionados
  • Proveedores de infraestructuras tecnológicas
  • Proveedores de servicios en la nube
  • Servicios de alojamiento web
  • Servicios de seguridad física
  • Proveedores de desarrollo de software
  • Servicios de destrucción segura de documentación y/o de medios de almacenamiento electrónicos.

Dentro del PCI DSS encontramos cuatro niveles de cumplimiento, basados en el número anual de transacciones  del comerciante en cuestión así de este modo, dependiendo del nivel en el que se halle la entidad, los requisitos con los que habrá de cumplir serán más o menos exigentes.

Los niveles son los siguientes:

  • El PCI-DSS Nivel 1 corresponde a negocios que manejan cada año más de 6 millones de transacciones por tarjetas Visa o MasterCard, o 2,5 millones en American Express.
  • El PCI-DSS Nivel 2 está destinado a empresas que procesen entre 1 millón y 6 millones de transacciones anualmente.
  • El PCI-DSS Nivel 3 corresponde a negocios que procesan entre 20.000 y 1 millón de transacciones por tarjetas Visa o MasterCard.
  • El PCI-DSS Nivel 4 está destinado a empresas que procesen menos de 20000 transacciones online por tarjetas Visa o MasterCard anualmente.

Conclusión

El incumplimiento del estándar PCI-DSS supone entre otras cuestiones, la limitación por parte de las marcas de tarjeta de pago, bancos adquirentes o pasarela de pagos para procesar transacciones de entidades que no cumplen con las pautas de seguridad marcadas. En la misma línea la entidad incumplidora deberá asumir todos los costes derivados en el caso de que se produzca un incidente de seguridad.

El objetivo principal de este marco normativo es garantizar la existencia de una herramienta de control de medidas de seguridad, aplicable a todas las tarjetas de crédito y débito. De esta manera, las empresas que se encargan de almacenar, procesar o transmitir este tipo de datos, podrán minimizar los posibles daños que cause una brecha de seguridad y/o fraude, siempre y cuando se verifique el cumplimiento de los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago.

Para más artículos sobre ecommerce, visite https://edefense.es/ecommerce/

Otros artículos que pueden interesarte.

Ecommerce
Álvaro Díaz Labrador

Qué hacer ante la prohibición de listings de Amazon y cómo recuperarlos

Imagen de vectorjuice en Freepik.jpg Amazon es, sin lugar a dudas, el mayor marketplace del mundo. Miles de vendedores independientes intentan hacerse hueco para incluir sus productos en una lista interminable de artículos de todo tipo. Esto implica que conseguir un buen posicionamiento de una oferta o producto sea, cuanto menos, una ardua tarea que

Leer más
Software
Antonela Coloma

¿Cuándo se considera ilícito el uso de una licencia de software?

Imagen extraída de freepik.es Un software o un programa como bien sabemos se encuentra protegido y amparado por el derecho de autor. La normativa reguladora aplicable a este tipo de supuesto, teniendo en cuenta nuestra ubicación geográfica es el Real Decreto Legislativo 1/1996, de 12 de abril, más conocido como la Ley de Propiedad Intelectual.

Leer más
diseño de una marca para después registrarla
Marcas y patentes
Tiffany De La Torre García

Registro de marca europea. Subvención 2023.

Imagen de rawpixel.com en Freepik El Fondo para Pymes «Ideas Powered for business» es un programa de subvenciones diseñado para ayudar a las pequeñas y medianas empresas (pymes) de la UE a proteger sus derechos de propiedad industrial (PI). A finales del mes de enero se abrió el plazo para solicitar la subvención del fondo

Leer más
Ir arriba