Con el propósito de proteger la confidencialidad e integridad de los clientes al realizar transacciones vía comercio electrónico
PCI DSS es un estándar de ciberseguridad respaldado por todas las principales compañías de tarjetas de crédito y procesamiento de pagos, que tiene como objetivo mantener seguros los datos de las tarjetas de crédito y débito.
Por: Raúl Mejía, VP International Operations, GM Sectec
El impacto de la pandemia ha favorecido y aumentado el número de transacciones vía comercio electrónico. Según un análisis realizado por Visa Consulting & Analytics (VCA), la penetración de transacciones en línea en la región de América Latina y el Caribe, creció 5 puntos porcentuales en diciembre del 2020 en comparación con diciembre del 2019 (año previo al COVID), mostrando un aumento en el uso del comercio electrónico por parte de los tarjetahabientes de la región durante la pandemia. El análisis también indica un incremento de la adopción del débito en la región, donde la penetración de las transacciones de débito, que es el porcentaje de transacciones de débito sobre el total de transacciones de Visa, creció 4 puntos porcentuales en diciembre del 2020 en comparación con diciembre del 2019.
Debido a este crecimiento de las transacciones de comercio electrónico, el estándar de seguridad PCI DSS, administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), ha tomado gran relevancia en la región latinoamericana, con el propósito de proteger la confidencialidad e integridad de los clientes mediante diversos lineamientos que deben ser cumplidos por todos los participantes en el proceso de aceptación de tarjetas, incluidos los comercios pequeños o definidos como de nivel 4.
El estándar PCI DSS establece controles de ciberseguridad y prácticas de negocio que cualquier empresa que acepte pagos con tarjeta de crédito debe implementar. Es por ello que todas las entidades que almacenan, transmiten o procesan datos de titulares de tarjetas, independientemente de su tamaño, deben cumplir con los requisitos que se establecen en este estándar.
Los pequeños comercios que procesen por año un millón o menos de transacciones con tarjeta y 20.000 o menos transacciones de comercio electrónico, son definidos por las principales compañías de tarjetas de crédito como comercios de nivel 4. Por lo que un comercio de nivel 4 también está obligado a cumplir la PCI DSS y puede validar su cumplimiento completando con éxito un cuestionario de autoevaluación (SAQ) anual y escaneos externos de red trimestrales realizados por un proveedor de escaneos aprobado (ASV) por el PCI SSC. Un comercio de nivel 4 también puede, a su discreción, contratar a un evaluador de seguridad calificado (QSA) aprobado por el PCI SSC para una evaluación in situ.
Requerimientos de PCI DSS para los Comercios Pequeños
El estándar PCI DSS establece 12 requerimientos fundamentales para los comerciantes:
- Req. 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
- Req. 2: No utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
- Req. 3: Proteger los datos almacenados del titular de la tarjeta.
- Req. 4: Cifrar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.
- Req. 5: Utilizar y actualizar regularmente el software antivirus.
- Req. 6: Desarrollar y mantener sistemas y aplicaciones seguros.
- Req. 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad comercial de la empresa.
- Req. 8: Asignar una identificación única a cada persona con acceso a la computadora.
- Req. 9: Restringir el acceso físico a los datos del titular de la tarjeta.
- Req. 10: Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta.
- Req. 11: Probar regularmente los sistemas y procesos de seguridad.
- Req. 12: Mantener una política que aborde la seguridad de la información.
Recomendaciones para las entidades bancarias adquirientes
A la hora de implementar un programa de gestión de riesgos para comercios, el banco adquirente debe tener en cuenta los siguientes elementos:
- Animar a sus comercios de Nivel 4 a utilizar tecnologías de pago que desvaloricen y desensibilicen los datos de las tarjetas de pago. Las tecnologías de pago seguras incluyen EMV, soluciones validadas de cifrado punto a punto (P2PE) que figuran en el sitio web del PCI SSC y productos de tokenización.
- Incentivar a los comercios de nivel 4 a utilizar los últimos dispositivos de seguridad de transacciones con PIN (PTS) aprobados por la PCI (actualmente la versión 5.x). Los comercios que implementen nuevos dispositivos de pago deben utilizar únicamente dispositivos aprobados PCI PTS en sus entornos de pago.
- Asegurarse de que sus comercios de nivel 4 utilicen únicamente proveedores de servicios que cumplan con PCI DSS y que estos proveedores hayan completado con éxito una evaluación in situ realizada por una QSA aprobada por el PCI SSC.
- Validar que los comercios de nivel 4 utilicen aplicaciones de pago que cumplan con la Norma de Seguridad de Datos de Aplicaciones de Pago del Sector de las Tarjetas (PCI PA- DSS), según corresponda.
- Recomendar a sus comercios de Nivel 4 que utilicen un Integrador y Revendedor Cualificado (QIR) que figure en el sitio web del PCI SSC cuando implementen o den soporte a una aplicación de pago que cumpla con la PCI PA-DSS.
- Animar a sus comercios de nivel 4 de alto riesgo a que contraten a una QSA aprobado por el PCI SSC o a que utilicen un asesor de seguridad interno (ISA) cuando evalúen su cumplimiento de la PCI DSS.