Si ya cumples con la normativa PCI DSS, entonces te contaremos más sobre la actualización a la nueva PCI DSS V4.0.

A continuación, te explicaremos todo sobre lo que significa esta normativa, quiénes deben cumplirla, en qué consiste, cómo puedes obtenerla y cuáles son los requisitos. Además, si ya cuentas con esta certificación, te informaremos sobre la nueva versión 4.0 y cómo actualizarte. Todo esto con la ayuda de Linko.

Primeramente, es importante ponerte en contexto sobre lo que esta normativa significa y qué ofrece, ya que esto es básico para proteger la información sensible de tu empresa y para mejorar la seguridad de los datos del consumidor y la confianza en el ecosistema de pagos.

En 2006, Visa, Mastercard, American Express, Discover y JCB formaron el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC), destinado a administrar y gestionar las normas de seguridad de las empresas que manejan datos de tarjetas de crédito.

Antes de la creación del consejo, estas cinco empresas de tarjetas de crédito tenían programas de normas de seguridad propios, cada uno con requisitos y objetivos bastante similares. Se unieron en el PCI SSC para adoptar una sola política estándar, las Normas de Seguridad de los Datos de PCI (conocidas como PCI DSS o "normativa PCI"), a fin de garantizar un nivel básico de protección de los consumidores y los bancos en la era de Internet, y, con ello, evitar el robo de datos personales con fines de extorsión, principalmente.

Esta certificación cumple con un Estándar de Seguridad de Datos PCI (PCI DSS), que es un estándar global, el cual proporciona una línea de base de requisitos técnicos y operativos designados para proteger los datos de pago. Actualmente, PCI DSS V4.0 es la próxima evolución del estándar.

¿Quiénes deben cumplir con la normativa PCI DSS?
Si tu modelo de empresa exige manejar datos de tarjetas, es posible que debas cumplir cada uno de los más de 300 controles de seguridad estipulados en esta normativa. 

PCI DSS es la normativa internacional de seguridad para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas o datos sensibles de autenticación. La normativa PCI establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Se aplica a toda organización que acepte o procese tarjetas de pago.

El cumplimiento de la normativa PCI considera 3 aspectos importantes:

1. Manejar la recepción de los datos de tarjetas de crédito de los consumidores, es decir, reunir y transmitir los datos sensibles de las tarjetas de manera segura.
2. Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de la normativa PCI. Paor ejemplo, mediante cifrado, vigilancia continua y verificación de la seguridad del acceso a los datos de la tarjeta.
3. Validar anualmente que funcionen los controles de seguridad necesarios, lo que puede implicar formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros.

¿Qué empresas requieren adquirir la certificación PCI DSS? 

Algunos modelos comerciales exigen el manejo directo de los datos sensibles de tarjetas de crédito al aceptar los pagos, mientras que otros no.

Es posible que a las empresas que sí necesitan manejar los datos (por ejemplo, porque aceptan números de cuentas primarias sin un token en una página de pago) se les solicite que cumplan cada uno de los más de 300 controles de seguridad estipulados en la normativa PCI. Aun cuando los datos de las tarjetas pasen por su servidor brevemente, la empresa deberá comprar, instalar y mantener software y hardware de seguridad.

Si una empresa no necesita manejar los datos sensibles de tarjetas de crédito, no debe hacerlo. Debido a que los datos de las tarjetas nunca entran en contacto con sus servidores, estas empresas solo necesitan confirmar 22 controles de seguridad, la mayoría de los cuales son muy simples como, por ejemplo, el uso de una contraseña segura.

¿Tu empresa tiene el perfil de cumplimiento a la norma?

Da el primer paso: conoce cuáles son los requisitos.
El primer paso para cumplir con la normativa PCI implica conocer los requisitos que se aplican a tu organización. Hay cuatro niveles diferentes de cumplimiento que, por lo general, se basan en el volumen de transacciones con tarjeta de crédito que procese tu empresa en un lapso de 12 meses.

NIVEL 1

SE APLICA EN:

1. Organizaciones que procesan más de 6 millones de transacciones al año de Visa o MasterCard, o más de 2,5 millones para American Express.
2. Ha habido una filtración de datos.
3. Son considerados de "Nivel 1" por cualquier asociación de tarjetas (Visa, Mastercard, etc.)

REQUISITOS

Informe anual sobre cumplimiento (ROC) a cargo de un evaluador de seguridad calificado (QSA), conocido comúnmente como "evaluación en el lugar de Nivel 1", o un auditor interno si es firmado por un director de la empresa

Escaneo trimestral de la red a cargo de un proveedor aprobado de escaneo (ASV) Certificación de cumplimiento (AOC) para evaluaciones en el lugar (formularios específicos para comerciantes y proveedores de servicios).

NIVEL 2

1. Organizaciones que procesan entre 1 y 6 millones de transacciones por año.

NIVEL 3

1. Organizaciones que procesan entre 20.000 y 1 millón de transacciones online por año.

2. Organizaciones que procesan por año menos de 1 millón de transacciones en total.

NIVEL 4

1. Organizaciones que procesan menos de 20.000 transacciones online por año.

2. Organizaciones que procesan por año hasta 1 millón de transacciones en total.

REQUISITOS:

Cuestionario de autoevaluación (SAQ) anual de la normativa PCI (9 tipos de SAQ que se muestran brevemente en la tabla a continuación)

Escaneo trimestral de la red a cargo de un proveedor aprobado de escaneo (ASV)

Certificación de cumplimiento (AOC) (cada uno de los 9 SAQ tiene un formulario de AOC correspondiente).

El diagrama de flujo que aparece en la página 18 de este documento sobre la normativa PCI te ayudará a elegir el SAQ y los documentos de certificación que mejor se ajusten a tu organización.


Segundo paso: traza el diagrama de los flujos de datos

Para poder proteger los datos sensibles de tarjetas de crédito, debes saber dónde residen y cómo llegan hasta allí. Tendrás que trazar un diagrama integral de los sistemas, las conexiones de red y las aplicaciones que interactúen con datos de tarjetas de crédito en tu organización. Según cuál sea tu función, es probable que para esto, tengas que trabajar con los equipos de TI y seguridad.

En primer lugar, identifica las áreas de la empresa orientadas al consumidor que impliquen transacciones con tarjeta. Por ejemplo, puedes aceptar pagos a través de un carrito de compra virtual, las terminales de pago de una tienda o un pedido telefónico.

En segundo lugar, identifica las diferentes maneras como se manejan los datos de los titulares de tarjeta en toda la empresa. Es importante saber exactamente dónde se guarda la información y quién tiene acceso a ella.

Por último, identifica los sistemas internos o tecnologías subyacentes que tienen contacto con transacciones de pago. Esto incluye tus sistemas de red, los centros de datos y los entornos en la nube.

Tercer paso: verificar los controles y protocolos de seguridad

Una vez que identificas todos los puntos que podrían tener contacto con datos de tarjetas de crédito en tu organización, trabaja con los equipos de TI y seguridad para garantizar que se instituyen las configuraciones y protocolos de seguridad correctos. Estos protocolos han sido concebidos para proteger la transmisión de datos, como Transport Layer Security (TLS).

Cuarto paso: vigilar y mantenerse

Cabe destacar que el cumplimiento de la normativa PCI no es un acontecimiento aislado, sino un proceso continuo con el que asegurar que tu empresa siga cumpliendo con la normativa a medida que el flujo de datos y los puntos de contacto con los clientes aumentan. Algunas marcas de tarjetas de crédito pueden solicitar informes trimestrales o anuales o llevar a cabo una evaluación anual en el establecimiento para validar el cumplimiento constante, en especial si procesas más de 6 millones de transacciones por año.

La gestión del cumplimiento de la normativa PCI durante el año ( y a través de los años) suele requerir apoyo y colaboración interdepartamental. Si no existe, vale la pena crear un equipo interno dedicado a ello para asegurar debidamente el cumplimiento. Si bien cada empresa es única, para crear un buen "equipo PCI" se puede empezar por incluir un representante de cada uno de los siguientes sectores:

Seguridad: el Director General de Seguridad (CSO), el Director General de Seguridad Informática (CISO) y sus equipos garantizan que la organización siempre invierta correctamente en los recursos y políticas de privacidad y seguridad de los datos necesarios.

Tecnología / Pagos: El Director General de Tecnología (CTO), el vicepresidente de Pagos y sus equipos garantizan que las principales herramientas, integraciones e infraestructuras se mantengan dentro de la norma a medida que crecen los sistemas de la organización.

Finanzas: El Director General de Finanzas (CFO) y su equipo garantizan que se tomen en cuenta todos los flujos de datos de pago cuando se trata de socios y sistemas de pago.

Asuntos Jurídicos: Este equipo ayuda a manejar la gran cantidad de matices legales que implica el cumplimiento de la normativa PCI.

Si solo lees esta guía y algunos otros documentos acerca de la normativa, te recomendamos también algunos temas como: enfoque prioritario de la normativa PCI, instrucciones y guía sobre los SAQ, las preguntas más frecuentes sobre el uso de los criterios de admisibilidad de los SAQ a fin de determinar los requisitos de evaluación en el lugar, y las preguntas más frecuentes sobre las obligaciones de los comerciantes que desarrollan aplicaciones para dispositivos que aceptan datos de tarjetas de pago de los consumidores.

El cumplimiento a la norma PCI DSS es anual: revisa tus fechas y renuévate.

Si has identificado que tu empresa debe cumplir con esta regulación, deberás completar un formulario de validación conforme a la normativa PCI cada año para estar renovando. Cabe señalar que, de no cumplir o renovar esta certificación, podrás ser objeto de costosas multas por incumplimiento, entre otros aspectos importantes.

A continuación, se presentan 3 casos por los que se le podría pedir a una organización que demuestre que cumple con la normativa PCI:

1. Los procesadores de pagos pueden solicitarlo como parte de su proceso obligatorio de notificación a las marcas de tarjetas de pago.
2. Los socios comerciales pueden solicitarlo como un requisito previo a la firma de un acuerdo comercial.
3. En caso de empresas que usan una plataforma (aquellas cuya tecnología facilita las transacciones en línea de varios subconjuntos de usuarios), los clientes pueden solicitarlo para demostrarle a su clientela que manejan los datos de manera segura.

El último conjunto de normas de seguridad, PCI DSS versión 3.2.1, incluye 12 requisitos principales con más de 300 sub requisitos que reflejan las mejores prácticas de seguridad.
‍

‍
Actualiza tu certificado a la nueva PCI DSS V4.0

El desarrollo de PCI DSS v4.0 fue conducido por la industria de retroalimentación. Esta versión promueve la protección de pago de datos con nuevos controles para direccionar ataques cibernéticos sofisticados. A continuación, te mostramos algunos aspectos que considera esta nueva versión:

-Continuar satisfaciendo las necesidades de seguridad de la industria de pagos.

-Promover la seguridad como proceso continuo.

-Agregar flexibilidad para diferentes metodologías.

-Mejorar los métodos de validación.

-Está desarrollada con la colaboración global de la industria

-Nuevos requisitos de comercio electrónico y phishing para hacer frente a nuevas amenazas en curso.

Para que a las empresas nuevas les resulte "más fácil" el proceso de validación del cumplimiento de la normativa PCI, el Consejo PCI creó nueve formularios diferentes o cuestionarios de autoevaluación (SAQ) que subdividen los requisitos de la normativa PCI. La clave está en determinar cuál se aplica o si es necesario contratar a un auditor aprobado por el consejo para que verifique si se ha cumplido cada requisito de seguridad conforme a la normativa PCI. Además, este consejo modifica las reglas cada tres años y publica actualizaciones progresivas durante todo el año, lo que hace que su complejidad sea aún más dinámica.
‍

‍
¿Cómo ayuda Linko a que las organizaciones cumplan y sostengan el cumplimiento de la normativa PCI?

En Linko, actuamos como un intercesor de la normativa PCI y ayudamos de diferentes maneras, desde la asesoría, acompañamiento, guía y soporte para que cumplas con esta certificación actualizada a la V4.0.

La evaluación y la validación del cumplimiento de la normativa PCI, por lo general, se hace una vez al año, pero no se trata de un acontecimiento aislado, sino de un gran esfuerzo continuo de evaluación y reparación en la que nosotros  podemos hacer equipo contigo para alcanzar este objetivo de manera más amigable y sencilla.

A medida que una empresa crece, se amplían los principales procesos y lógicas comerciales, lo que implica que aumentan también los requisitos de cumplimiento. Por lo tanto, en Linko te mantendremos al día en este cumplimiento para tu empresa, de manera precisa y eficaz. Lo mejor para tu compañía.

No dejes que un descuido sea el motivo que afecte el desarrollo y evolución de tu empresa, deja en manos de expertos estos cuidados.

En Linko, tienes un aliado tecnológico confiable.

‍Contáctanos para mayores informes en el tema: https://www.linko.mx/landing-page/lp-cryptobus

‍