Cumplimiento de PCI: lo que necesitas saber

Infringir el cumplimiento de PCI puede dar lugar a considerables multas para ti y tu negocio. Conoce más sobre el cumplimiento de PCI DSS y observa cómo Square te protege gratis.

CONTENIDO

• Cumplimiento de PCI: una investigación profunda
• Lista de comprobación del cumplimiento de PCI de 2019
• ¿Qué es el cumplimiento de PCI?
• ¿Qué es el cumplimiento de PCI-SPoC?
• Niveles y requisitos del cumplimiento de PCI
• Consecuencias del incumplimiento de PCI DSS
• ¿Cuánto cuesta cumplir la normativa PCI?
• Cómo ayuda Square a las empresas a cumplir la normativa PCI

INTRODUCCIÓN

Introducción al cumplimiento de PCI

Cuando se trata de un negocio en crecimiento, la seguridad de tu información y datos confidenciales y los de tus clientes es probablemente lo más importante, en especial cuando se trata de pagos.

Los nuevos avances en el comercio y la tecnología de pagos suelen ir acompañados de nuevas normas y reglamentos para ayudar a garantizar la protección tanto de las empresas como de los consumidores. El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) es una norma establecida por las cinco mayores compañías de tarjetas de crédito para ayudar a reducir las costosas filtraciones de datos de consumidores y bancos.

Comprender su cumplimiento puede parecer abrumador para los responsables de las empresas. En esta guía, desglosamos lo que hay que saber sobre el cumplimiento de PCI DSS y te guiamos por los pasos necesarios para proteger tu negocio y a tus clientes.

Preguntas frecuentes

Seis preguntas frecuentes sobre el cumplimiento de PCI

¿Qué significa el cumplimiento de PCI?

PCI DSS significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago, que establece los requisitos para que las organizaciones y los vendedores acepten, almacenen, procesen y transmitan de forma segura los datos de los titulares de las tarjetas durante las transacciones con tarjetas de crédito, con el fin de evitar el fraude y las filtraciones de datos.

¿Quién necesita la certificación de cumplimiento de PCI?

Aunque técnicamente no existe la “certificación PCI”, los vendedores de todos los tamaños, los proveedores de servicios, los bancos y cualquier otra organización que procese pagos con tarjeta de crédito deben demostrar que cumplen la PCI.

¿Cuáles son los niveles de cumplimiento de PCI DSS?

Hay cuatro niveles de cumplimiento de PCI, y cada uno tiene requisitos únicos para que un negocio valide su cumplimiento. El nivel en el que se sitúe tu empresa se basa en el volumen total de transacciones anual.

¿Cuál es el costo del cumplimiento de PCI DSS?

Las tasas para cumplir la normativa PCI y mantenerla anualmente pueden oscilar entre $1,000 y más de $50,000 anuales, en función del tamaño de tu empresa.

¿Soy responsable de hacer un cuestionario de autoevaluación de cumplimiento (SAQ) de PCI DSS?

El cuestionario de autoevaluación de cumplimiento de PCI DSS es una lista de comprobación de 19 a 87 páginas, creada y distribuida por el Consejo sobre Normas de Seguridad de la PCI. Se utiliza como mecanismo para que los vendedores autovaliden su cumplimiento de PCI DSS. Square no exige a los vendedores que completen un SAQ o que se autovaliden, dado que el hardware y software de Square cumplen el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS).

¿Existe un cargo por incumplimiento de PCI?

Sí, por lo general hay una tasa asociada al incumplimiento de PCI. Si tu negocio no cumple la normativa PCI, podrías correr el riesgo de sufrir filtraciones de datos, multas, costos de sustitución de tarjetas, costosas auditorías forenses e investigaciones sobre tu negocio, daños a la marca y mucho más.

UNA INVESTIGACIÓN PROFUNDA

Cumplimiento de PCI: una investigación profunda

Seas vendedor de Square o no, sigue siendo una buena idea entender el cumplimiento de PCI, ya que adherirse a ella es parte de la protección de la seguridad de la información financiera de tus clientes y de tu negocio.

LISTA DE COMPROBACIÓN DE CUMPLIMIENTO DE PCI DE 2019

#	Requisito de cumplimiento
1	Instala y mantén una configuración de cortafuegos para proteger los datos de los titulares de las tarjetas.
2	No utilices los valores predeterminados del proveedor para las contraseñas del sistema y otros parámetros de seguridad.
3	Protege los datos almacenados de los titulares de las tarjetas.
4	Cifra la transmisión de los datos de los titulares de las tarjetas a través de redes públicas y abiertas.
5	Usa y actualiza tu antivirus de manera regular.
6	Desarrolla y mantén sistemas y aplicaciones seguros.
7	Restringe el acceso a los datos de los titulares de tarjetas por necesidad de conocimiento de la empresa.
8	Asigna un ID único a cada persona con acceso a la computadora.
9	Restringe el acceso físico a los datos de los titulares de las tarjetas.
10	Haz un seguimiento de todo acceso a los recursos de red y los datos de los titulares de las tarjetas y contrólalo.
11	Comprueba regularmente los procesos y sistemas de seguridad.
12	Mantén una política de seguridad y asegúrate de que todo el personal la conozca.

Esta lista de comprobación del cumplimiento de PCI se obtuvo en julio de 2018 y es posible que no esté actualizada, así que asegúrate de que cumples la normativa vendiendo con Square o visitando el sitio web del Consejo sobre Normas de Seguridad de la PCI.

Comprender la historia del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) nació en 2006, al igual que Internet surgió como una herramienta necesaria y valiosa para las empresas de todos los tamaños. A medida que la era de Internet fue alcanzando su madurez, las empresas que decidieron aprovechar su poder comenzaron a poner en línea sus sistemas de procesamiento de pagos, conectándolos de forma inalámbrica a sus terminales físicas y virtuales. Mientras tanto, los clientes comenzaron a sentirse cada vez más cómodos al usar tarjetas de crédito para realizar compras en línea y presenciales.

La relevancia histórica de estos estándares de seguridad es fundamental para saber cómo y por qué evolucionó la normativa PCI. Estas nuevas vías de comercio expusieron a las empresas y a los consumidores a cada vez más riesgos, y la oportunidad de que los estafadores robaran la información de las tarjetas de crédito en redes y sistemas de pago inseguros se hizo más frecuente.

Como respuesta al creciente robo de datos, las cinco mayores marcas de tarjetas de crédito (Visa, Mastercard, Discover, American Express y JCB) implementaron el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) para evitar costosas filtraciones de datos de consumidores y bancos. Fue con la llegada de esta normativa y del Consejo sobre Normas de Seguridad de la PCI que el cumplimiento de PCI se convirtió en un paso importante en la regulación de la seguridad del sector de los pagos con tarjeta de crédito y aún sigue siéndolo.

Para ayudar a gestionar las normas de cumplimiento, las marcas de pago también crearon el Consejo de Normas de Seguridad de la PCI como organismo independiente, destinado a “supervisar las amenazas y mejorar los medios del sector para hacerles frente, mediante la mejora de las normas de seguridad de la PCI y la formación de los profesionales de la seguridad”.

Sin embargo, es importante notar que las empresas de tarjetas de crédito convirtieron el cumplimiento de la PCI en un mandato autorregulado, lo que significa que trasladaron a los vendedores y a las organizaciones la responsabilidad de mantener el cumplimiento en todas las partes del ciclo de vida del procesamiento de pagos.

Así, mientras que el Consejo se encarga de fijar las normas y establecer los requisitos que deben cumplir los vendedores (como las solicitudes de cumplimiento de PCI y los cuestionarios de autoevaluación (SAQ) o listas de comprobación, las marcas de pago se encargan de hacerlos cumplir entre los vendedores y las empresas que aceptan tarjetas de crédito.

Antes de que empecemos a explorar los estándares de cumplimiento de PCI en mayor profundidad, es importante señalar que, en general, las tarjetas de crédito son seguras y, gracias a las nuevas normas y estándares como las tarjetas con chip EMV, son cada vez más seguras (hablaremos de ello más adelante). Pero incluso las marcas más grandes pueden correr el riesgo de sufrir grandes filtraciones de datos relacionados con las tarjetas de crédito.

Tanto si tienes una empresa como si tienes un pequeño negocio secundario, probablemente hayas oído el término PCI DSS. Al mantener el cumplimiento de PCI, puedes ayudar a defender tu negocio contra los piratas informáticos que pueden hacerse con los datos confidenciales de los titulares de las tarjetas y utilizarlos para suplantar a los titulares o robar su identidad.

¿Qué es el cumplimiento de PCI DSS?

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) se refiere a las normas de seguridad de los pagos que garantizan que todos los vendedores acepten, almacenen, procesen y transmitan de forma segura los datos del titular de la tarjeta (también conocidos como la información de la tarjeta de crédito de tus clientes) durante una transacción con tarjeta de crédito.

Cualquier comercio con una identificación de comercio que acepte tarjetas de pago debe seguir las normas de cumplimiento de PCI para protegerse de las filtraciones de datos. Los requisitos (mencionados en la lista de comprobación del cumplimiento de la PCI anterior) van desde el establecimiento de políticas de seguridad de datos para tu empresa y tus empleados hasta la eliminación de los datos de las tarjetas de tu sistema de procesamiento y terminales de pago.

Los datos del “titular de la tarjeta” o del pago abarcan información como el número de cuenta principal completo (PAN, por sus siglas en inglés), el nombre del titular de la tarjeta y el código de servicio de la tarjeta de crédito y la fecha de vencimiento. Los vendedores también son responsables de proteger los datos confidenciales de autenticación en los datos de la banda magnética (por ejemplo, CAV2, CVC2, CVV2, CID, PIN, bloques de PIN, etc.).

El diagrama de la tarjeta de crédito anterior muestra dónde se encuentran los datos únicos y confidenciales del titular en una tarjeta de crédito. Las organizaciones que recopilan, procesan, almacenan o transmiten transacciones con tarjetas de pago deben completar y mantener los rigurosos procesos de verificación del cumplimiento de PCI. Es importante señalar que las entidades que intervienen en las transacciones con tarjetas de pago nunca deben almacenar datos confidenciales de autenticación después de la autorización. No almacenes datos confidenciales de autenticación después de la autorización. Esto incluye el código de seguridad de tres o cuatro dígitos impreso en el anverso o el reverso de una tarjeta, los datos almacenados en la banda magnética o el chip de una tarjeta (también llamados “datos de seguimiento completo”) o los números de identificación personal (PIN, por sus siglas en inglés) ingresados por el titular de la tarjeta.

La normativa PCI se aplica a lo siguiente:

• Lectores de tarjeta
• Sistema de punto de venta
• Redes de almacenamiento y enrutadores de acceso inalámbrico
• Almacenamiento y transmisión de datos de tarjetas de pago
• Datos de tarjetas de pago almacenados en registros en papel
• Aplicaciones de pago en línea y carritos de compra

Como podrás imaginar, cumplir la normativa PCI y mantenerla puede ser un proceso complejo. Significa implementar controles de seguridad, contratar un costoso consultor externo para instalar software y hardware caros, y firmar un contrato costoso y vinculante en el que se aceptan las condiciones del banco para el cumplimiento anual de la normativa PCI, realizar autoevaluaciones anuales, etc.

Consulta la Guía de la PCI sobre pagos seguros para pequeños comercios para obtener más información sobre cómo proteger mejor los datos de las tarjetas de pago y tu negocio.

¿Cuánto estás pagando realmente?

Desde el costoso hardware hasta las elevadas tarifas y las tasas adicionales, es posible que estés pagando más de lo que crees por el procesamiento de pagos.

¿Qué es el cumplimiento de PCI-SPoC?

PCI-SPoC es una normativa que rige a las aplicaciones que se ejecutan en los dispositivos (iPad, teléfonos móviles) que podrían tener que aceptar PIN para completar las transacciones. Square somete a estas aplicaciones a un proceso de certificación riguroso para garantizar la integridad de todos los datos que se alojan en las aplicaciones. Hay algunos pasos que te pedimos que tengas en cuenta.

¿Cuáles son los requisitos y niveles de cumplimiento de PCI?

Si tu negocio acepta tarjetas de pago con cualquiera de los cinco miembros de las marcas de tarjetas de crédito de PCI SSC (American Express, Discover, JCB, Mastercard y Visa), se te exige que cumplas con PCI dentro de varios niveles, según lo determine tu volumen de transacciones.

El 65% de los pequeños negocios no cumplen los requisitos mínimos de conformidad.

Ten en cuenta que no todos los requisitos de información sobre el cumplimiento de la normativa son iguales; pueden variar en función de tu volumen de procesamiento. Por ejemplo, los vendedores con un alto volumen de transacciones (como se describe en la matriz más abajo) están obligados a trabajar con evaluadores de seguridad internos (ISA, por sus siglas en inglés), evaluadores de seguridad cualificados (QSA, por sus siglas en inglés) y proveedores de escaneo aprobados (ASV, por sus siglas en inglés) por la PCI.

Hay cuatro niveles distintos de cumplimiento que estipulan los requisitos de los que son responsables los vendedores. El Consejo de la PCI considera que el aprobado es el cumplimiento del 100% de los criterios. Debido a esta complicada responsabilidad, muchas grandes empresas optan por trabajar con un consultor de cumplimiento de PCI en las normas y la forma de cumplir estos requisitos de nivel de cumplimiento de PCI.

Cada vendedor entra en una de las cuatro categorías en función de su volumen de transacciones durante un periodo de 12 meses. Aunque cada marca de tarjeta de crédito tiene sus propios criterios ligeramente diferentes, en general los niveles de cumplimiento de PCI son los siguientes*:

Niveles de cumplimiento de PCI

Nivel de comercio	Aplicable a	Requisitos de PCI*
1	Vendedores que procesan más de seis millones de transacciones al año, cualquier comercio que haya sufrido una filtración de datos o un ataque que haya dado lugar a una exposición de los datos de la cuenta, y cualquier comercio identificado por cualquier asociación de tarjetas como Nivel 1	Informe anual de cumplimiento (ROC, por sus siglas en inglés) realizado por un evaluador de seguridad calificado (QSA) (también conocido como evaluación in situ de Nivel 1) o por un auditor interno si está firmado por un directivo de la empresa. Evaluación trimestral de la red por parte de un proveedor de escaneo aprobado (ASV). Formulario de Declaración de cumplimiento
2	Vendedores que procesan de un millón a seis millones de transacciones al año	Completa el cuestionario de autoevaluación PCI DSS según las instrucciones que contiene. Completa y obtén evidencia de un escaneo de vulnerabilidad aprobado con un proveedor de escaneo aprobado (ASV) por el PCI SSC. Completa la correspondiente declaración de cumplimiento en su totalidad (situada en la herramienta SAQ). Envía el SAQ, la prueba de que has superado el escaneo (si procede) y la declaración de cumplimiento, junto con cualquier otra documentación solicitada, a tu adquirente
3	Vendedores que procesan de 20,000 a 1 millón de transacciones de comercio electrónico al año	Completa el cuestionario de autoevaluación PCI DSS según las instrucciones que contiene. Completa y obtén evidencia de un escaneo de vulnerabilidad aprobado con un proveedor de escaneo aprobado (ASV) por el PCI SSC. Completa la correspondiente declaración de cumplimiento en su totalidad (situada en la herramienta SAQ). Envía el SAQ, la prueba de que has superado el escaneo (si procede) y la declaración de cumplimiento, junto con cualquier otra documentación solicitada, a tu adquirente
4	Vendedores que procesan menos de 20,000 transacciones de comercio electrónico y todos los demás vendedores que procesan hasta 1 millón de transacciones al año	Completa el cuestionario de autoevaluación PCI DSS según las instrucciones que contiene. Completa y obtén evidencia de un escaneo de vulnerabilidad aprobado con un proveedor de escaneo aprobado (ASV) por el PCI SSC. Completa la correspondiente declaración de cumplimiento en su totalidad (situada en la herramienta SAQ). Envía el SAQ, la prueba de que has superado el escaneo (si procede) y la declaración de cumplimiento, junto con cualquier otra documentación solicitada, a tu adquirente

• Cada una de las cinco marcas de pago tiene sus propios programas de seguridad de datos que obligan a los comercios a salvaguardar los datos de procesamiento de las tarjetas de crédito. Este es un ejemplo útil de los requisitos de PCI DSS de Visa.

¿Cuáles son las consecuencias del incumplimiento?

Si no conoces las reglas del cumplimiento de PCI o las consecuencias de su incumplimiento, no te preocupes.

Aunque el cumplimiento de PCI no es una ley, eso no significa que el incumplimiento no sea un gran problema. De hecho, un Informe sobre incidentes de filtración de datos de Verizon de 2019 descubrió que hubo casi 42,068 incidentes de seguridad de datos este año. Por eso es más importante que nunca que tu ciclo de vida de procesamiento de pagos sea seguro.

Si tu negocio no cumple la normativa PCI, podrías correr el riesgo de sufrir filtraciones de datos, multas, costos de sustitución de tarjetas, costosas auditorías forenses e investigaciones sobre tu negocio, daños a la marca y mucho más cuando se produzca una infracción.

De hecho, el 30% de los pequeños negocios afirman no conocer las sanciones por incumplimiento de la normativa PCI DSS 3.0.

Las sanciones no son muy publicitadas, pero pueden ser destructivas para las empresas. Por ejemplo, si tu empresa infringe las normas de cumplimiento de PCI, las marcas de tarjetas de crédito pueden imponer multas de entre $5,000 y $100,000 al mes a tu banco adquirente. Los bancos suelen trasladar este costo al comercio y pueden rescindir los contratos o aumentar las comisiones por las transacciones en respuesta a las infracciones y violaciones.

Además del costo financiero, también hay otras responsabilidades potenciales que podrían afectar tu negocio. De acuerdo con los estándares de seguridad de la PCI, el incumplimiento de la normativa PCI y las consiguientes filtraciones de datos podrían dar lugar a lo siguiente:

• Pérdida de confianza, por lo que los clientes acuden a otros comercios
• Disminución de las ventas
• Costo de la reemisión de nuevas tarjetas de pago
• Pérdidas por fraude
• Mayores costos posteriores de cumplimiento
• Costos legales, acuerdos y sentencias
• Multas y sanciones
• Cese de la capacidad de aceptar tarjetas de pago
• Pérdida de puestos de trabajo (CISO, CIO, CEO y puestos profesionales dependientes)
• Cierre de la empresa

¿Cuál es el costo del cumplimiento de PCI?

Convertirse en una empresa que cumple la normativa PCI y mantenerla puede ser costoso, en función del tipo y tamaño de la empresa y del nivel de cumplimiento que se te exija.

Por niveles, los costos suelen oscilar entre los siguientes:

Nivel 4: de $60 a $75 al mes o más

El costo incluye un proveedor de escaneo aprobado (ASV), que debe realizar un escaneo periódico de la red o del sitio web, y la cumplimentación de un cuestionario de autoevaluación (SAQ) y una declaración de cumplimiento por parte tuya o de tu personal.

Nivel 3: a partir de $1,200 al año

El costo incluye los escaneos periódicos de los ASV y aumenta en función del tamaño de tu red informática y del número de direcciones IP, además del costo de completar el cuestionario de autoevaluación anual y la declaración de cumplimiento.

Nivel 2: a partir de $10,000 al año

El costo incluye los escaneos periódicos de los ASV y aumenta en función del tamaño de tu red informática y del número de direcciones IP, además del costo de completar el cuestionario de autoevaluación anual y la declaración de cumplimiento.

Nivel 1: a partir de $50,000 al año

El costo incluye un escaneo periódico de la red por parte de un proveedor de escaneo autorizado, un informe anual sobre el cumplimiento por parte de un evaluador de seguridad calificado y una declaración de cumplimiento.

Ten cuidado con los abusos de los proveedores de servicios que cobran tasas elevadas, pero solo satisfacen una parte de tus requisitos de PCI.

Square se ocupa del cumplimiento de PCI para tu negocio

Square cumple el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) para que no tengas que validar individualmente tu situación de cumplimiento.

1. Nuestro hardware y nuestros lectores disponen de cifrado de extremo a extremo sin necesidad de configuración y sin costo adicional, sin comisiones mensuales ni requisitos de evaluación anual. Mantenemos el software que cumple la normativa PCI sin costo adicional para ti, sin contratos mensuales ni compromisos a largo plazo. Siempre que utilices Square para todo el almacenamiento, el procesamiento y la transmisión de los datos de las tarjetas de tus clientes, no tendrás que tomar ninguna medida para validar tu cumplimiento de PCI ante Square y no tendrás que pagar ningún cargo por cumplimiento de PCI.

2. Square es el comercio de registro para cada transacción. Tratamos con los bancos en tu nombre, incluyendo el cumplimiento de PCI, la regulación y el procesamiento. Abogamos en tu nombre para asegurarnos de que los errores simples, las equivocaciones honestas y las disputas se resuelvan de forma equitativa.

3. El enfoque técnico de Square también está diseñado para protegerte a ti y a tus clientes. Cumplimos la normativa PCI líder del sector para gestionar nuestra red, proteger nuestras aplicaciones web y de cliente y establecer políticas en toda nuestra organización. El sistema de pago integrado de Square proporciona cifrado de extremo a extremo para cada transacción en el punto de deslizamiento, inserción o acercamiento, y tokeniza los datos una vez que llegan a nuestros servidores. Además, supervisamos cada transacción desde la aceptación hasta el pago, innovamos continuamente en la prevención del fraude y protegemos tus datos como si nuestro negocio dependiera de ellos, porque así es.

¿Cuánto estás pagando realmente?

Desde el costoso hardware hasta las elevadas tarifas y las tasas adicionales, es posible que estés pagando más de lo que crees por el procesamiento de pagos.