El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de estándares de seguridad, diseñado para garantizar que las empresas que aceptan y procesan información de tarjetas de crédito y débito, lo hagan en un entorno seguro.
No importa en qué sector opere o qué tamaño de negocio tenga, si acepta pagos con tarjeta y procesa, transmite y almacena datos de titulares de tarjetas, debe alojar sus datos de forma segura en un proveedor de alojamiento que sea compatible con PCI.
$config[code] not foundEl Consejo de Normas de Seguridad de PCI se formó en 2006 por las cinco principales marcas de tarjetas de crédito: American Express, Visa, MasterCard, Japanese Credit Bureau (JCB) y Discover. Si bien cada marca de tarjeta de crédito tiene sus propios programas de cumplimiento, los estándares PCI son la base de todos ellos.
Si bien el Consejo no tiene autoridad legal, si su empresa tiene la intención de aceptar transacciones con tarjeta de crédito o débito, deberá cumplir con los estándares de PCI.
¿Qué es el cumplimiento de PCI?
PCI se compone de un conjunto de 12 requisitos específicos que cubren seis objetivos. Los objetivos fundamentales son maximizar la seguridad en relación con los pagos e informar a los comerciantes sobre cómo ser más seguros. Y esto significa construir y mantener una red segura, proteger los datos de los titulares de tarjetas y probar y monitorear regularmente las redes.
Encontrará cuatro niveles diferentes de cumplimiento de PCI en función del volumen de transacciones que realice su empresa durante un período de 12 meses. El volumen de transacciones se deriva del número total de transacciones de Visa realizadas, incluidas las transacciones con tarjeta de crédito, débito y prepago de un comerciante de Doing Business As "DBA".
Si vende en más de un DBA, considere el volumen agregado de transacciones procesadas, almacenadas o transmitidas en general para determinar su nivel de validación.
Si su empresa procesa 20,000 transacciones o menos cada año, o si los datos de la tarjeta son procesados únicamente por proveedores tales como proveedores de tarjetas de compras, su empresa tendrá menos requisitos de PCI y se clasificará como Nivel 4.
Si su empresa procesa entre 20,000 y 1 millón de transacciones por año, se lo clasificará como Nivel 3. Las empresas que procesen entre 1 y 6 millones de transacciones con tarjeta en un período de 12 meses se clasifican como Nivel 2. Cada nivel trae consigo un número más alto de los requisitos de cumplimiento.
Level 1 trae consigo la mayor cantidad de requisitos de cumplimiento reservados para negocios que procesan 6 millones o más transacciones por año o que almacenan sus propios datos de tarjetas, escriben su propio código y ejecutan sus propios servidores.
¿Cuánto costará el cumplimiento de PCI a mi negocio?
Para un negocio de nivel 4 con datos de tarjeta de crédito almacenados electrónicamente en su sitio o sistemas de procesamiento con conectividad en línea, un proveedor de escaneo aprobado debe completar un sitio web o escaneo de red regularmente. El personal de la empresa también debe completar un Cuestionario de autoevaluación y una Declaración de cumplimiento. Esto podría costar tan poco como $ 60 por mes.
Si su negocio es el Nivel 3, los costos asociados con un sitio web regular o un escaneo de la red por parte de un Proveedor de escaneo aprobado y la finalización del Cuestionario de autoevaluación y la Declaración de cumplimiento anuales pueden aumentar hasta $ 1,200 por año.
Para las empresas del nivel 2, este costo podría ascender a entre $ 10,000 y $ 50,000 al año, dependiendo de la cantidad de direcciones IP y el tamaño de su red.
Para las compañías en el Nivel 1 de cumplimiento con PCI, los costos pueden variar desde $ 50,000 hacia arriba e involucran no solo el escaneo regular de la red por parte de un Proveedor de escaneo aprobado, sino también una Declaración de cumplimiento y un Informe anual de cumplimiento por parte de un Asesor de seguridad calificado.
¿Qué puede hacer mi empresa para cumplir con los requisitos de PCI?
Como se sugirió anteriormente, para garantizar el cumplimiento de PCI, deberá obtener un escaneado de red o sitio web regular por un proveedor de escaneo aprobado, sin importar a qué nivel esté clasificado su negocio. Las compañías de nivel 1 también necesitarán la asistencia de un Asesor de seguridad calificado para llevar a cabo evaluaciones anuales en el lugar.
Para las pequeñas empresas que manejan menos de 6 millones de transacciones de tarjetas de crédito y débito por año, cumplir con los estándares de cumplimiento de PCI solo requiere la asistencia de un proveedor de escaneo aprobado y algunos trabajos de su propio personal.
Foto a través de Shutterstock
Más en: Qué es el comentario ▼
