Publicado:

PCI DSS: Qué es, cómo funciona y por qué es importante

Revisado por
Tiempo de lectura:
7 min.

Introducción

Las empresas que operan con un volumen de transacciones a través de tarjetas de pago, están expuestas a vulnerabilidades en su ciberseguridad, esto porque se manejan datos sensibles. Por eso tener normas de seguridad te permite proteger dichos datos y generar confianza a tus clientes.

Para ello se cumple el estándar de seguridad PCI DSS, el cual te explicaremos a continuación para que conozcas la importancia de contar con su certificación. ¡Comencemos!

¿Qué es PCI DSS?

El estándar PCI DSS (Payment Card Industry Data Security Standard o Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago) se refiere a un conjunto de requisitos que son obligatorios para garantizar la seguridad de la información privada de los usuarios de tarjetas de crédito y débito.

Los requisitos de PCI DSS deben ser cumplidos al pie de la letra por todas las empresas, comercios, proveedores de servicios e incluso aquellos e-commerce que trabajen con datos de titulares de tarjetas, tanto de crédito como débito.

Esto surgió debido a la gran cantidad de filtraciones de datos y violaciones de seguridad, por lo que las principales marcas de tarjetas Visa, American Express, Mastercard, JCB y Discover formaron el Payment Card Industry Security Standards Council (PCI SSC) o Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago, en el 2006.

¿Qué datos están protegidos?

Este estándar de seguridad nació con el objetivo de incrementar y gestionar la seguridad de las empresas que realizan pagos en línea, manteniendo a salvo los datos personales del titular de la tarjeta y los métodos de autenticación que utilizó.

Los datos que se protegen son:

  • El número primario de cuenta. 
  • Datos del titular de la tarjeta.
  • La fecha de expiración de la tarjeta.
  • El código de servicio.
  • Datos completos de la banda magnética o del chip.
  • CAV2/CVC2/CVV2/CID.
  • El número de identificación personal.

Pasos para cumplir con el PCI DSS

Cualquier empresa, tanto pequeña como grande, debe cumplir con los controles de seguridad del PCI DSS y para ello debe seguir estos pasos:

  • Definir cuál de los cuestionarios de autoevaluación (Self-Assessment Questionnaire o SAQ) tiene que usar tu empresa. A continuación, te dejamos este manual hecho por PCI Security Standards Council para que encuentres el que se adapte más a tu empresa.
  • Completar dicho cuestionario según las indicaciones.
  • Permitir un escaneo de seguridad de un Proveedor de Escaneo Aprobado o Approved Scanning Vendor (ASV) y tener la certificación de aprobado.

Otorgar el cuestionario completado y la certificación del escaneo de seguridad, además de otros documentos necesarios a tu adquirente.

¿Cuáles son los requisitos del PCI DSS?

En su última versión 3.2.1, las normas de seguridad del PCI DSS incluye 12 requisitos primordiales, organizados en 6 secciones llamadas «objetivos de control», que a su vez contienen más de 300 sub requisitos con las mejores prácticas de seguridad. 

Estos objetivos de control y sus requisitos son:

Desarrollar y mantener una red segura

  1. Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
  2. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.

Proteger los datos de los propietarios de tarjetas

  1. Mantener seguros los datos almacenados de los propietarios de tarjetas.
  2. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.

Mantener un Programa de Gestión de Vulnerabilidades

  1. Usar y actualizar regularmente un software antivirus.
  2. Desarrollar y mantener sistemas y aplicaciones seguras.

Implementar Medidas sólidas de control de acceso

  1. Restringir el acceso a los datos tomando como base la necesidad del cliente de conocer la información.
  2. Asignar una identificación única a cada persona que tenga acceso a un computador.
  3. Restringir el acceso físico a los datos de los propietarios de tarjetas.

Monitorizar y probar regularmente las redes

  1. Rastrear el acceso a los recursos de la red y datos de los propietarios de tarjetas.
  2. Probar regularmente los sistemas y procesos de seguridad.

Mantener una Política de Seguridad de la Información

12. Conservar una política que abarque la seguridad de la información.

¡Es hora de votar por tu Pyme favorita! Reconoce el esfuerzo que hacen todas las Pymes para lograr un impacto positivo en el país.
Vota aquí

Importancia del cumplimiento del estándar PCI DSS

En caso de que tu negocio o e-commerce acepte tarjetas de débito y crédito como formas de pago en línea, entonces es obligatorio que cumplas con los requisitos para proteger los datos bancarios de tus clientes.

El hecho de hacerles saber a tus clientes que cumples con los requisitos PCI DSS genera un aumento de la confianza a la hora de realizar compras, ya que suelen sentir vulnerabilidad cuando se trata de sus datos confidenciales.

Conekta posee la certificación PCI DSS (nivel 1), es decir, nos encargamos de cumplir con todos los requisitos de seguridad estándar para garantizar que los datos sensibles de los clientes se encuentren protegidos al máximo nivel de ciberseguridad.

Es importante para nosotros que tu negocio opere y crezca de forma segura tanto por el negocio como para tus clientes y sin lugar a dudas, ¡eso generaría más ventas! Así que si quieres recibir pagos en línea con tu negocio y aumentar la confianza de tus clientes, contáctanos para asesorarte.

Términos y Condiciones Promoción

Todas las marcas comerciales mencionadas en el presente artículo, diversas a CONEKTA®, son propiedad de sus respectivos titulares y no necesariamente tienen asociación o relación con GRUPO CONEKTAME, S.A. DE C.V.

Las marcas comerciales referidas son citadas con el único fin de ejemplificar y describir productos y/o servicios específicos que fueron objeto del presente artículo. La mención de estas marcas no implica ninguna alianza o relación comercial con sus titulares ni desprestigia los productos o servicios que amparan. El presente artículo tiene una intención informativa y no es una oferta de productos ni servicios. No se garantiza la veracidad de la información debido a que puede contener elementos obtenidos de fuentes públicas.

Bibliografía

Escrito por:

Revisado por:

Sigue aprendiendo

Suscríbete para recibir las últimas noticias.