Omar Cruz, Consulting Manager Latam de Nordstern Cybersecurity Services, nos da una breve definición de PCI DSS. Sigue leyendo este artículo para conocer más detalles.
¿Cómo nace la certificación PCI DSS?
La iniciativa de crear programas de seguridad para proteger la información de los tarjetahabientes en la industria de las tarjetas de pago nació en 2001. Por una parte se encontraba el Programa de Seguridad de la Información del Tarjetahabiente (CISP- Visa´s Cardholder information Scurity Program) de Visa y por otro, el de Protección de Datos del Sitio de MasterCard (SDP - MasterCard´s Site Data Protection).
En 2003, el CISP, programa de Visa, se extendió para abarcar, además de procesadores y emisores de tarjetas de crédito y débito, a los comerciantes que contaban con alto volumen de transacciones y proveedores de servicios.
En el 2006 se aliaron cinco de las más importantes marcas en la industria de tarjetas de pago (Visa, Mastercard, American Express, JCB y Discover) formando el Consejo sobre Normas de Seguridad de la PCI (PCI SSC - Payment Card Industry Security Standards Council) para crear la norma internacional PCI DSS, el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard), con la finalidad de homologar los estándares de cumplimiento para todas las organizaciones que procesan, almacenan o transmitan información de tarjetas de pago, los cuales protegen los datos de los titulares de las tarjetas contra el acceso no autorizado.
Esta norma ha ido evolucionado y adaptándose a los nuevos requerimientos y demandas del mercado hasta llegar a la PCI DSS v4.0, la última versión del estándar.
¿Qué es PCI DSS?
PCI DSS cubre tanto las áreas técnicas como operativas del sistema, como la conexión a los datos de los tarjetahabientes. Esta norma exige a las organizaciones que manejan información de tarjetas de débito o crédito que adopten y apliquen una amplia gama de controles técnicos y mejores prácticas para salvaguardar los datos de los titulares de las tarjetas. Para mantener el cumplimiento de la norma, una organización debe satisfacer ciertos requisitos obligatorios y aplicar un conjunto de controles mínimos de riesgo. Estos controles ayudarán a minimizar las posibilidades de que un atacante acceda a los datos sensibles de los titulares de las tarjetas. Es importante que las organizaciones que manejan transacciones con tarjetas de pago entiendan lo que implica PCI DSS para que puedan identificar las soluciones adecuadas para sus necesidades específicas.
¿Quiénes deben cumplir?
Tomando en cuenta el aumento radical en el uso de las tarjetas de pago, el cual trae consigo un enorme riesgo pues los ciberdelitos también están incrementando, el cumplimiento de esta norma comienza a ser de gran preocupación para las empresas.
Dentro de las primeras dudas que genera el estándar PCI DSS se encuentra ¿qué tipo de organizaciones debe cumplir con ella? la respuesta es simple, como lo mencionamos al inicio, cualquier empresa que acepta o procesa pagos con tarjeta, debe cumplir. Y es importante mencionar que no solo abarca a entidades financieras o grandes empresas, sino no a comercios de todo tipo, Pequeñas y Medianas Empresas (Pymes), como tiendas de autoservicio o en línea, proveedores de servicios de pasarelas de pago e incluso a los fabricantes de tarjetas con transacciones menores a 20 mil dólares anuales.
Existen varios niveles de cumplimiento y estos varían en función del número de transacciones y el riesgo del sistema de pago. Para determinarlo, es necesario la evaluación a través de un auditor o PCI QSA (Qualified Security Assesor). En caso de que una empresa no requiera auditoría puede realizar un cuestionario de autoevaluación.
En caso de no cumplir, una organización corre el riesgo de robo de información, pérdida de reputación, afectaciones a terceros e incluso sanciones como el retiro de permiso para procesar pagos con tarjetas, o bien, multas que pueden ascender a miles de dólares.
Para ponerse al día y evitar sanciones, existen opciones en el mercado de proveedores en servicios de ciberseguridad, como el de Nordstern Cybersecurity Services, que hacen mucho más sencillos los procesos de consultoría, auditoría y certificación PCI DSS a través de herramientas automatizadas que generan autoevaluaciones más rápidas con el objetivo de reconocer los requerimientos de la empresa que desee lograr la certificación PCI DSS y es una de las pocas entidades certificadoras en Latam.
