El PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS por sus siglas en inglés) es un estándar de seguridad orientado a la definición de controles para la protección de los datos del titular de la tarjeta y/o datos confidenciales de autenticación durante su procesamiento, almacenamiento y/o transmisión, que actualmente, se encuentra en la versión 3.2.1.
Este estándar es publicado por el PCI SECURITY STANDARDS COUNCIL, que es un foro global abierto al desarrollo, mejora, almacenamiento, difusión e implementación continuos de los estándares de seguridad de protección de datos, el cuál fue fundado por American Express, Discover Financial Services, JCB International, MasterCard y Visa Inc.
¿Quién debe cumplir con PCI DSS?
La normativa PCI DSS es de obligado cumplimiento para cualquier entidad, organización o empresa que procese cualquier tipo de transacción con tarjetas de crédito. Aunque tendemos a pensar que esta normativa está dirigida a bancos o a empresas de adquirencia, es decir, compañías que afilian los comercios para que puedan aceptar las tarjetas de pago como medio de pago, como ya hemos dicho, cualquier comercio tiene que ajustarse a ella para poder aceptar el pago con tarjetas de sus clientes. Por eso, es muy importante que tengas esto en cuenta a la hora de contratar tu proveedor de pagos asegurándote que cumpla con la normativa como es debido.
Los datos del titular de la terjeta (Cardholder Data) que deben protegerse ya sean para su almacenamiento, procesamiento, transmisión o autenticación, son:
- Número primario de la cuenta (PAN)
- Nombre del titular de la tarjeta
- Fecha de expiración
- Código de servicio
Así como los datos para su autenticación como:
- Datos de la banda magnética y/o chip
- Código de verificación de la tarjeta CVV o CVC
- Número de identificación personal y bloques de PIN
¿Qué ocurre si no se cumple con PCI DSS?
Además de la pérdida de la confianza por parte de los clientes y posibles problemas reputacionales con las marcas con las que colabores, como puedes suponer, se producirá una serie de multas y sobrecostes por no haberla cumplido en su momento, como pueden ser:
- Costos por las demandas e indemnizaciones a los afectados
- Costos por las posibles transacciones realizadas a costa de los afectados
- Multas por las marcas de pago utilizadas en el negocio
- Multas asociadas al Reglamento General de Protección de Datos GRPD/RGPD
- Costos forenses para comprobar el origen del problema
- Costos por la implementación post-incidente
El último conjunto de normas de seguridad, PCI DSS versión 3.2.1, incluye 12 requisitos principales con más de 300 sub requisitos que reflejan las mejores prácticas de seguridad.
- Instalar y mantener un cortafuego configurado para proteger los datos de los titulares de tarjeta
- No uses los valores predeterminados suministrados por el proveedor para las contraseñas de los sistemas y otros parámetros de seguridad.
- Proteger los datos del titular almacenados
- Cifrar la transmisión de los datos de titulares de tarjeta en las redes abiertas o públicas
- Proteger todos los sistemas contra software maliciosos y actualizar periódicamente el software antivirus
- Desarrollar y mantener sistemas y aplicaciones seguros
- Restringir el acceso a los datos conforme a la necesidad de saber que tenga la empresa
- Identificar y autenticar el acceso a los componentes del sistema
- Restringir el acceso físico a los datos de titulares de tarjeta
- Rastrear y monitorizar todo el acceso a los recursos de la red y los datos de titulares de tarjeta
- Verificar periódicamente los sistemas y procesos de seguridad
- Tener una política que contemple la seguridad de la información para todo el personal
Para que a las empresas nuevas les resulte «más fácil» el proceso de validación del cumplimiento de la normativa PCI, el Consejo PCI creó nueve formularios diferentes o cuestionarios de autoevaluación (SAQ) que subdividen los requisitos de la normativa PCI. La clave está en determinar cuál se aplica o si es necesario contratar a un auditor aprobado por el consejo para que verifique si se ha cumplido cada requisito de seguridad conforme a la normativa PCI. Además, este consejo modifica las reglas cada tres años y publica actualizaciones progresivas durante todo el año, lo que hace que su complejidad sea aún más dinámica.