Información sobre PCI DSS
Antecedentes
Los comerciantes que aceptan pagos con tarjeta y los proveedores de servicios que puedan afectar la seguridad del entorno de datos del titular de la tarjeta deben cumplir con los requisitos de seguridad definidos en el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).
Loomis Pay regula esto en sus términos y condiciones. Un comerciante debe estar en cumplimiento con PCI DSS en todo momento y presentar documentación válida si así se solicita.
Para ampliar los detalles, a continuación se proporciona información técnica y organizativa en línea con los requisitos relevantes y el acuerdo de aceptación.
¿Qué es PCI DSS?
El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de requisitos técnicos y operativos que tiene como objetivo proteger el ecosistema de pagos en general y, en particular, proteger los datos de las tarjetas contra amenazas de seguridad a nivel global.
PCI DSS representa un marco de mejores prácticas de seguridad para proteger a los comerciantes, titulares de tarjetas y otros actores del sector, adaptándose a amenazas emergentes y apoyando pagos seguros en todo el mundo.
En términos generales, PCI DSS se trata de proteger los datos de tarjetas y generar confianza entre los titulares como base del ecosistema de nuestra industria.
¿De dónde surge?
¿Qué significa cumplir con PCI DSS?
Cumplir con PCI DSS implica satisfacer sus requisitos en todo momento y contar con documentación válida como prueba de ello. Los documentos válidos de cumplimiento incluyen un Cuestionario de Autoevaluación (SAQ) completado correctamente o una Declaración de Cumplimiento (AoC) / Informe de Cumplimiento (ROC), los cuales pueden necesitar estar acompañados por informes de escaneo limpios emitidos por un Proveedor de Escaneo Aprobado (ASV). La validación de cumplimiento de PCI DSS debe renovarse anualmente. Otras medidas de seguridad continuas (como escaneos ASV trimestrales, parches de software regulares, monitoreo de red, cambio de contraseñas, etc.) deben ser gestionadas por el comerciante o sus proveedores de servicios asignados.
En caso de que algún requisito de seguridad no se cumpla, el comerciante está obligado a aplicar de inmediato medidas correctivas para cumplir con los estándares de seguridad.
¿Quién debe cumplir con PCI DSS?
El estándar PCI DSS se aplica a todas las organizaciones que aceptan, almacenan, procesan o transmiten datos del titular de la tarjeta y/o datos de autenticación sensibles, o que puedan afectar la seguridad del entorno de datos del titular (incluyendo comerciantes, procesadores, adquirentes, emisores y otros proveedores de servicios).
➔ Es responsabilidad del comerciante que acepta pagos con tarjeta de crédito estar en cumplimiento con PCI DSS en todo momento, y asegurarse de que todos los proveedores de servicios relevantes que contraten también cumplan con PCI DSS.
➔ La validación del cumplimiento también se exige a organizaciones que han externalizado completamente las funciones relacionadas con los datos del titular de la tarjeta a proveedores de servicios conformes con PCI.
¿Por qué es relevante el cumplimiento con PCI DSS para un comerciante?
El cumplimiento con PCI DSS es promovido por las asociaciones de tarjetas (marcas de pago), que han establecido programas de seguridad como un requisito fundamental en sus regulaciones (por ejemplo, Visa AIS, Mastercard SDP). Estos programas incluyen supervisión, informes y sanciones relacionadas con PCI.
Proteger los datos de pago y de los clientes ayuda a evitar riesgos financieros y reputacionales graves, y también es esencial para generar confianza entre los clientes, lo cual es la base para un negocio sostenible y próspero.
Reconocida como una norma global más allá de la industria de pagos, la certificación PCI DSS también es aceptada por otras entidades, compañías de seguros, organismos del sector (por ejemplo, IATA) y consumidores como prueba de cumplimiento con estándares actualizados de seguridad de datos, y puede ayudar a excluir la negligencia grave.
¿Cómo valido el cumplimiento con PCI DSS?
Los requisitos de validación para las entidades sujetas a PCI DSS varían dependiendo de la naturaleza del negocio, la complejidad y el alcance del entorno, y el volumen de transacciones procesadas por el comerciante.
La principal herramienta que utiliza Loomis Pay para validar el cumplimiento con PCI DSS es: el Cuestionario de Autoevaluación (SAQ). Esta herramienta requiere completar y confirmar el cuestionario aplicable.
El cumplimiento con PCI DSS es válido para el entorno específico evaluado. Cambios relevantes realizados después de la evaluación que impacten el entorno de datos de tarjetas (por ejemplo, software, terminales, sitio web, proveedores de servicios) pueden requerir una nueva validación.
¿Quién asume los costos del cumplimiento con PCI DSS?
¿Cuál es el riesgo de no cumplir con los estándares PCI?
Algunos ejemplos de impactos y riesgos graves por no cumplir con PCI (lista no exhaustiva):
➔ Incumplimiento contractual que puede conllevar tarifas, multas y otras sanciones
➔ Brechas de seguridad que implican exposición no intencionada o pérdida de datos sensibles
➔ Explotación accidental o fraudulenta de vulnerabilidades del sistema u organización
➔ Manipulación maliciosa de la infraestructura de pagos (dispositivos, entorno del sistema, organización)
➔ Ciberataques
➔ Facilitar el robo de datos de tarjetas, ataques de ransomware, y violaciones del RGPD
➔ Riesgos y responsabilidades comerciales derivados de violaciones de datos (impactos financieros, reputacionales y operativos)
➔ Suspensión abrupta del procesamiento de tarjetas y, por tanto, pérdida de ingresos
➔ Trabajos correctivos no planificados para solucionar vulnerabilidades
➔ Investigaciones forenses imprevistas y auditorías PCI DSS en sitio por un QSA
➔ Aumento de tarifas, multas y costos de recuperación por parte de las marcas de tarjetas
➔ Daños a la reputación y atención mediática
➔ Requisitos de notificación pública y sanciones por parte de los reguladores
➔ Pérdida de la confianza del consumidor, que es la base del negocio, del ecosistema del sector y de sus actores
¿Cuáles son los requisitos técnicos y organizativos clave de PCI DSS?
Los requisitos de PCI DSS se aplican a todos los componentes del sistema. En el contexto de PCI DSS, los “componentes del sistema” se definen como cualquier componente de red, servidor o aplicación que esté incluido o conectado al entorno de datos del titular de la tarjeta. También se incluyen componentes de virtualización como máquinas virtuales, switches/enrutadores virtuales, appliances virtuales, aplicaciones virtuales/escritorios virtuales y hypervisores.
El entorno de datos del titular de la tarjeta está compuesto por personas, procesos y tecnología que manejan datos del titular o datos de autenticación sensibles. (extracto de “Navigating PCI DSS: Understanding the Intent of the Requirements”, PCI Security Standards Council LLC)
Para más información sobre la versión actual del estándar, consulte el sitio web del PCI SSC: www.pcisecuritystandards.org
¿Qué requisitos de validación PCI se aplican a un comerciante?
Las asociaciones de tarjetas han definido qué medidas de validación son necesarias como prueba de cumplimiento con PCI DSS y qué documentos deben proporcionarse según el nivel PCI del comerciante.
| PCI DSS Merchant Compliance Levels | |
| PCI DSS Merchant Levels | |
| PCI DSS Merchant Level 1 | > 6M Transactions / Year |
| PCI DSS Merchant Level 2 |
1 - 6M Transactions / Year |
| PCI DSS Merchant Level 3 |
20K - 1M Transactions / Year |
Los criterios de clasificación para los niveles PCI de los comerciantes se basan en el entorno de procesamiento del comerciante y el número de transacciones procesadas.
Los comerciantes deben validar el cumplimiento con PCI DSS mediante la evaluación con el Cuestionario de Autoevaluación (SAQ) correspondiente.
Loomis Pay puede solicitar en cualquier momento al comerciante que proporcione documentos actualizados de validación de cumplimiento con PCI DSS.