La determinación del nivel de cumplimiento de una empresa con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) se basa en el volumen de transacciones con tarjetas de pago que procesa la organización. La clasificación de nivel se realiza según el número de transacciones anuales que involucran tarjetas de pago. Hay cuatro niveles principales:
Nivel 1:
Procesadores de más de 6 millones de transacciones con tarjetas por año. Compañías que han sufrido una brecha de datos significativa.
Nivel 2:
Procesadores de entre 1 y 6 millones de transacciones con tarjetas por año.
Nivel 3:
Comerciantes que procesan entre 20,000 y 1 millón de transacciones con tarjetas por año.
Nivel 4:
Comerciantes que procesan menos de 20,000 transacciones con tarjetas por año.
Para determinar el nivel de cumplimiento, sigue estos pasos:
Paso 1: Determinar el volumen de transacciones:
Recopila información sobre el número total de transacciones con tarjetas de pago que tu organización procesa anualmente.
Paso 2: Aplicar los criterios de nivel:
Utiliza la siguiente tabla para determinar el nivel correspondiente:
Nivel | Volumen de transacciones |
1 | Más de 6 millones |
2 | Entre 1 y 6 millones |
3 | Entre 20,000 y 1 millón |
4 | Menos de 20,000 |
Paso 3: Confirmar el Nivel con las Entidades Emisoras:
El cliente también puede contactar a las entidades emisoras de tarjetas con las que trabaja para confirmar el nivel de cumplimiento requerido. A veces, pueden tener requisitos adicionales o variaciones.
Paso 4: Cumplir con los Requisitos del Nivel Correspondiente:
Una vez determinado el nivel, se asegura el cumplimiento de los requisitos específicos de PCI DSS asociados con ese nivel. Esto puede incluir la realización de evaluaciones de seguridad, presentación de informes, y auditorías según sea necesario.
Paso 5: Realizar la Validación del Cumplimiento:
Para los niveles 1 y 2, se requiere la validación del cumplimiento a través de un QSA (Qualified Security Assessor) independiente. Para los niveles 3 y 4, la validación puede ser realizada internamente.
Las entidades bancarias o adquirientes también pueden solicitarles a las entidades el nivel a cumplir.
Recuerda que el cumplimiento con PCI DSS es un proceso continuo, no un evento único. Es importante monitorear y mantener los 12 puntos esenciales para obtener la certificación PCI-DSS de manera constante, para garantizar la seguridad continua de las transacciones con tarjetas de pago.