PCI DSS y su Importancia en la Industria de los Pagos con Tarjeta

<span id=hs_cos_wrapper_name class=hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text style= data-hs-cos-general-type=meta_field data-hs-cos-type=text PCI DSS y su Importancia en la Industria de los Pagos con Tarjeta

Tabla de Contenido:

¿Qué es PCI DSS?
¿Cómo surge el PCI DSS?
¿Principales funciones del PCI DSS?
Instituciones que regulan la seguridad de los pagos con tarjeta
Entidades que necesitan cumplir el PCI DSS
Cómo ayuda el PCI al sector de la Ciberseguridad
Qué ocurre si una institución no cumple el PCI DSS
¿Cómo Toku ayuda a los negocios a cumplir el PCI?

En los últimos años, la tecnología ha dado un importante impulso al sector de los pagos y los servicios financieros lo cual, permitió incrementar el acceso a este tipo de productos en diferentes economías y sectores de la población y al mismo tiempo, ha planteado nuevos retos en cuanto a regulaciones y temas de seguridad se refiere.

En este contexto, es importante que empresas y usuarios se informen acerca de las herramientas disponibles, tanto para la protección de datos, como para la seguridad y confianza indispensables en el uso y adopción de estos nuevos servicios financieros.

A continuación, te compartimos todo lo que necesitas saber acerca del estándar de seguridad de datos de la industria de tarjetas de pago.

¿Qué es PCI DSS?

El PCI DSS es un estándar de seguridad orientado a la creación y definición de reglas enfocadas en la protección de datos sensibles de personas y titulares de tarjetas, así mismo, es responsable de la protección de toda la información que se genera durante la transmisión, almacenamiento, autenticación y procesamiento de pagos con tarjetas.

La norma PCI DSS debe su nombre a las siglas en inglés “Payment Card Industry Data Security Standard” que significa Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago.

El PCI DSS se actualiza constantemente y en este momento se encuentra en la versión 4.0 la cual, fue publicada en marzo de 2022 y se puede consultar o descargar directamente en la página del Security Standards Council.

¿Cómo surge el PCI DSS?

El PCI DSS surge como parte de la necesidad de unificar las reglas estándar de seguridad en el procesamiento de pagos, anteriormente, las distintas compañías operadoras de tarjetas de crédito y debito como Mastercard, Visa, American Express entre otras, gestionaban y creaban sus propios estándares de forma independiente.

Esta falta de unificación ocasionaba que si una compañía quería tratar datos o realizar transacciones con las diferentes operadoras de tarjetas, debía cumplir con las regulaciones de cada compañía lo cual, los obligaba a tener que manejar y acreditar múltiples estándares.

Fue así que el 14 de diciembre de 2004, se publicó la primera versión del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago.

Antes de dicha unificación existían 6 diferentes programas de seguridad que eran:

Mastercard llamado Site Data Protection (SDP)
Visa International llamado Account Information Security Program (AIS)
Visa USA llamado Cardholder Information Security Program (CISP)
American Express llamado Data Security Operating Policy (DSOP)
JCB International llamado Data Security Program (DSP)
Discover llamado Discover Information Security Compliance (DISC)

Estas mismas marcas de tarjetas de pago actualmente integran el PCI SSC (Payment Card Industry Security Standards Council) una organización independiente fundada el 7 de septiembre de 2006 y que ahora, gestiona el 100% del proceso de los estándares de seguridad en tarjetas y de sus documentos regulatorios asociados.

¿Principales funciones del PCI DSS?

El PCI DSS tiene múltiples funciones entre las más destacadas podemos encontrar las siguientes:

Controles de seguridad: Se encarga de la definición, publicación y difusión de los estándares de seguridad de datos de tarjetas de pago, así como de la gestión de los programas de formación de asesores (QSA)
Implementación y cumplimiento: Es responsable de la creación, supervisión, implementación y cumplimiento de los estándares de seguridad definidos.
Definición de entidades: Realiza la clasificación y evaluación de aquellas instituciones que requieren y deben cumplir las regulaciones.
Manejo de Sanciones: En conjunto con las empresas operadoras de tarjetas de crédito y débito son responsables de la definición y aplicación de sanciones y multas en caso de incumplimiento.

Instituciones que regulan la seguridad de los pagos con tarjeta

Como mencionamos anteriormente, con la unificación de los estándares de seguridad apareció también el PCI SSC (Payment Card Industry Security Standards Council) esta organización independiente es la responsable de regular la seguridad de los pagos con tarjeta.

El PCI DSS es administrado y depende del PCI SSC, este consejo está integrado por las principales compañías operadoras de tarjetas de crédito por lo que en conjunto, regulan la seguridad de la industria de pagos con tarjeta en general.

El consejo (PCI SSC) a su vez, se apoya de asesores cualificados en estándares de seguridad los cuales, son conocidos bajo la figura de (QSA), ellos son los únicos autorizados y certificados para realizar evaluaciones formales del cumplimiento de los estándares de seguridad.

El asesor cualificado de seguridad, (Qualified Security Assessor) o QSA debe cumplir con una sólida formación que incluye varias certificaciones de seguridad reconocidas por la industria, cumplir con una serie de créditos de formación continua, realizar el curso anual de formación PCI DSS entre otros.

Entidades que necesitan cumplir el PCI DSS

Todas las instituciones que procesen, almacenen, transmitan y autentifiquen datos de titulares de tarjetas y en general, operen datos confidenciales de cualquier tarjeta de pago deberán cumplir con la regulación PCI DSS.

Ejemplos de entidades que deben cumplir con el PCI DSS

La lista de entidades que deben cumplir con estos estándares es larga pero, a continuación te compartimos algunas de las más comunes:

Comerciantes y tiendas que reciben tarjetas de pago
Compañías y servicios de procesamiento de pagos
Entidades emisoras de tarjetas de pagos
Proveedores de servicios de pago (pasarelas de pago y autorizadores de cobro)
Proveedores de infraestructura tecnológica
Proveedores de servicios en la nube (cloud)
Proveedores de servicios de bases de datos
Servicios de alojamiento web (hosting)
Servicio de contratación externa de personal (outsourcing)
Proveedores de desarrollo de software

Las empresas certificadas se sitúan en 4 niveles de cumplimiento en función del número de transacciones que realizan al año por lo que, según el nivel que ocupe cada empresa, las exigencias para su certificación y auditoría serán distintas.

PCI-1

Cómo ayuda el PCI al sector de la Ciberseguridad

El sector de la ciberseguridad es enorme y es que cada día se realizan más procesos y transacciones en la red por lo que gestionar, vigilar y brindar seguridad a todos los usuarios de internet se ha vuelto cada vez más difícil.

Por ejemplo, un informe realizado por la plataforma de servicios digitales Akamai reveló que en Estados Unidos los ataques a aplicaciones web y API contra empresas de servicios financieros crecieron un 257% en relación con el año 2021 mientras que, los consumidores perdieron poco menos de 8.8 mil millones de dólares en 2022 debido a los fraudes financieros los cuales, crecieron un 44% con respecto al 2021.

Para brindar mayor seguridad y evolucionar los procesos de ciberseguridad, al mismo ritmo que el crecimiento del mercado, fue necesario crear mecanismos independientes de regulación, así como unificar los estándares de seguridad para las diferentes industrias y segmentos que utilizan datos de tarjetas de crédito y débito.

El PCI DSS entonces, ayudó al segmento de la ciberseguridad tomando y responsabilizándose de una parte de los riesgos de seguridad en internet, el del manejo de datos sensibles y confidenciales en tarjetas.

De esta forma, segmentando y creando organismos especializados por industrias, la ciberseguridad ha sido capaz de evolucionar con mayor velocidad y brindar certidumbre y fortaleza a cada vez más sectores y usuarios de internet.

Qué ocurre si una institución no cumple el PCI DSS

Como hemos podido constatar, el cumplimiento del estándar de seguridad es obligatorio, aunque los requisitos de cumplimiento así como las auditorías son distintas y van en función de la clasificación de cada empresa, el PCI DSS integra las bases mínimas de seguridad para el manejo de datos de tarjetas de pago e incumplir, traería consigo las siguientes consecuencias:

Si ocurre un incidente de seguridad en el manejo de datos, la entidad “infractora” o sin acreditación deberá asumir la totalidad de los costos derivados como son:
1. Costos por demandas e indemnizaciones a los afectados
2. Costo de los cargos no reconocidos o “fraudulentos” realizados con las tarjetas afectadas.
3. Costos de la investigación a cargo de un profesional PCI Forensic Investigator (PFI)
4. Costos de implementación de controles y certificación PCI DSS post-incidente
5. Costos por daños a la imagen o derivados que condicionen la percepción del público
Multas legales por afectar datos de carácter personal
Multas por parte de las marcas de pago (Mastercard, Visa, American Express etc) en función de la cantidad de datos de tarjetas de pago involucrados
Limitación o negativa de convenio y uso por parte de las marcas de tarjetas de pago (Mastercard, Visa, American Express etc), los bancos emisores y las diferentes pasarelas de pago.

¿Cómo Toku ayuda a los negocios a cumplir el PCI DSS?

Toku es un Software de recaudación y cobranza para empresas de pagos recurrentes que cuenta con la certificación PCI Compliance Nivel 1 la cual, se otorga a aquellas instituciones que procesan más de 6 millones de operaciones por año, todas, bajo los más altos estándares de ciberseguridad.

Poseer esta certificación con valor global, y que solo se otorga a compañías que cumplen todos los requerimientos en la protección y manejo de datos de tarjetas, brinda a nuestros clientes y usuarios la confianza y tranquilidad de realizar sus operaciones de pago sin riesgo alguno.

Los negocios que deben cumplir con la certificación PCI pueden integrar nuestro portal de pago a sus operaciones y con ello, dejar de necesitar la certificación, ya que Toku estaría procesando sus pagos, despreocupándose de las regulaciones, auditorías y procesos que conlleva obtener el PCI de forma independiente.

¿Cómo lo hace Toku para que los negocios se olviden de necesitar la certificación PCI? lo que ocurre es que, cuando un negocio o usuario realiza un pago desde nuestro portal, captura sus datos sensibles y los de su tarjeta en un dominio personalizado, que funciona como un campo de captura de información el cual, se encuentra alojado directamente en nuestros sistemas.

Nuestro sistema, está íntegramente certificado por la norma PCI DSS por lo que todo el procesamiento y captura de datos que se lleva a cabo “dentro de él” cumple con las normas de regulación.

Además de no necesitar la certificación PCI, nuestros clientes pueden ofrecer, desde una misma plataforma, distintos métodos de pago a sus usuarios de una forma rápida, fácil y segura.

Esperamos que esta información te sea muy útil, no olvides compartir la nota con personas a las que podría interesarles y suscríbete a nuestro newsletter para recibir más información, nos encantará saber de ti.

Desarrollamos este contenido con información del Security Standards Council (PCI SSC), la organización sin fines de lucro PCI Hispano y los reportes de mercado y uso de tecnología de Akamai.