Imagen de https://www.freepik.es
El “Payment Card Industry Data Security Standard o PCI-DSS” hace referencia a un conjunto de estándares de seguridad que ayuda a las empresas a evitar fraudes y robos de los datos contenidos en las tarjetas de crédito, ya sean datos personales de los titulares o datos referentes a la propia tarjeta, como son los datos de autenticación (PAN, fecha de caducidad y código de seguridad).
¿Cómo nace el PCI-DSS?
Esta normativa referente al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago nace como resultado de un acuerdo entre las principales marcas de tarjetas de pago, (Visa, MasterCard, Visa Usa..) de crear un framework único y aplicable a todas, que facilitase el control de cumplimiento de medidas de seguridad y la gestión de la protección de estas.
La primera versión de esta normativa se publicó en el año 2004 , fue pionera en definir los principios básicos de ciberseguridad para la protección de los datos de tarjetas de pago. Con el paso del tiempo y atendiendo a diversos comentarios de las diferentes entidades y empresas a las que se aplicaba se fueron publicando nuevas versiones, mejorando los fallos anteriores, es así como se llega a la versión actual que es la 4.0 de marzo de 2022. Se pueden consultar las versiones anteriores así como información adicional en la página del PCI Security Standards Council.
¿Qué regula el PCI-DSS?
Este marco de cumplimiento establece 12 requisitos, recogidos en 6 grupos o metas de cumplimientos. A través de ellos se establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos en el ámbito de los pagos con tarjetas. A continuación se presentan los requisitos fijados en la última versión, pudiendo contrastar los cambios respecto a la anterior en el enlace.
¿Quién debe cumplir el PCI-DSS?
Los requisitos marcados por este estándar deben ser cumplidos por todas aquellas entidades que participen en los procesos de almacenamiento, procesamiento y/o transmisión de datos confidenciales de autenticación de las tarjetas de pago, entre las que incluiríamos los siguientes grupos:
- Comerciantes
- Procesadores
- Adquirentes
- Entidades emisoras
- Proveedores de servicios de pagos
Aquí entran, por supuesto, las tiendas online o ecommerce.
También quedarían incluidas aquellas entidades que ofertan servicios a dichos entornos, como pueden ser:
- Proveedores de servicios gestionados
- Proveedores de infraestructuras tecnológicas
- Proveedores de servicios en la nube
- Servicios de alojamiento web
- Servicios de seguridad física
- Proveedores de desarrollo de software
- Servicios de destrucción segura de documentación y/o de medios de almacenamiento electrónicos.
Dentro del PCI DSS encontramos cuatro niveles de cumplimiento, basados en el número anual de transacciones del comerciante en cuestión así de este modo, dependiendo del nivel en el que se halle la entidad, los requisitos con los que habrá de cumplir serán más o menos exigentes.
Los niveles son los siguientes:
- El PCI-DSS Nivel 1 corresponde a negocios que manejan cada año más de 6 millones de transacciones por tarjetas Visa o MasterCard, o 2,5 millones en American Express.
- El PCI-DSS Nivel 2 está destinado a empresas que procesen entre 1 millón y 6 millones de transacciones anualmente.
- El PCI-DSS Nivel 3 corresponde a negocios que procesan entre 20.000 y 1 millón de transacciones por tarjetas Visa o MasterCard.
- El PCI-DSS Nivel 4 está destinado a empresas que procesen menos de 20000 transacciones online por tarjetas Visa o MasterCard anualmente.
Conclusión
El incumplimiento del estándar PCI-DSS supone entre otras cuestiones, la limitación por parte de las marcas de tarjeta de pago, bancos adquirentes o pasarela de pagos para procesar transacciones de entidades que no cumplen con las pautas de seguridad marcadas. En la misma línea la entidad incumplidora deberá asumir todos los costes derivados en el caso de que se produzca un incidente de seguridad.
El objetivo principal de este marco normativo es garantizar la existencia de una herramienta de control de medidas de seguridad, aplicable a todas las tarjetas de crédito y débito. De esta manera, las empresas que se encargan de almacenar, procesar o transmitir este tipo de datos, podrán minimizar los posibles daños que cause una brecha de seguridad y/o fraude, siempre y cuando se verifique el cumplimiento de los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago.
Para más artículos sobre ecommerce, visite https://edefense.es/ecommerce/
