Pequeñas empresas en Latinoamérica deberán cumplir con el estándar PCI SSC

Share

Por: Raúl Mejía, VP International Operations, GM Sectec

Debido al crecimiento de las transacciones de comercio electrónico, el  estándar de seguridad PCI DSS, administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), ha tomado gran relevancia en la región latinoamericana, con el propósito de proteger la confidencialidad e integridad de los clientes mediante diversos lineamientos que deben ser cumplidos por todos los participantes en el proceso de aceptación de tarjetas, incluidos los comercios pequeños o definidos como de nivel 4.

El estándar PCI DSS establece controles de ciberseguridad y prácticas de negocio que cualquier empresa que acepte pagos con tarjeta de crédito debe implementar. Es por ello que todas las entidades que almacenan, transmiten o procesan datos de titulares de tarjetas, independientemente de su tamaño, deben cumplir con los requisitos que se establecen en este estándar.

Los pequeños comercios que procesen por año un millón o menos de transacciones con tarjeta y 20.000 o menos transacciones de comercio electrónico, son definidos por las principales compañías de tarjetas de crédito como comercios de nivel 4. Por lo que un comercio de nivel 4 también está obligado a cumplir la PCI DSS y puede validar su cumplimiento completando con éxito un cuestionario de autoevaluación (SAQ) anual y escaneos externos de red trimestrales realizados por un proveedor de escaneos aprobado (ASV) por el PCI SSC. Un comercio de nivel 4 también puede, a su discreción, contratar a un evaluador de seguridad calificado (QSA) aprobado por el PCI SSC para una evaluación in situ.

Requerimientos de PCI DSS para los pequeños comercios

El estándar PCI DSS establece 12 requerimientos fundamentales para los comerciantes. Los requerimientos son:

  • 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
  • 2: No utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  • 3: Proteger los datos almacenados del titular de la tarjeta.
  • 4: Cifrar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.
  • 5: Utilizar y actualizar regularmente el software antivirus.
  • 6: Desarrollar y mantener sistemas y aplicaciones seguros.
  • 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad comercial de la empresa.
  • 8: Asignar una identificación única a cada persona con acceso a la computadora.
  • 9: Restringir el acceso físico a los datos del titular de la tarjeta.
  • 10: Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta.
  • 11: Probar regularmente los sistemas y procesos de seguridad.
  • 12: Mantener una política que aborde la seguridad de la información.

Recomendaciones para las entidades bancarias adquirientes

A la hora de implementar un programa de gestión de riesgos para comercios, el banco adquirente debe tener en cuenta los siguientes elementos:

  • Animar a sus comercios de Nivel 4 a utilizar tecnologías de pago que desvaloricen y desensibilicen los datos de las tarjetas de pago. Las tecnologías de pago seguras incluyen EMV, soluciones validadas de cifrado punto a punto (P2PE) que figuran en el sitio web del PCI SSC y productos de tokenización.
  • Incentivar a los comercios de nivel 4 a utilizar los últimos dispositivos de seguridad de transacciones con PIN (PTS) aprobados por la PCI (actualmente la versión 5.x). Los comercios que implementen nuevos dispositivos de pago deben utilizar únicamente dispositivos aprobados PCI PTS en sus entornos de pago.
  • Asegurarse de que sus comercios de nivel 4 utilicen únicamente proveedores de servicios que cumplan con PCI DSS y que estos proveedores hayan completado con éxito una evaluación in situ realizada por una QSA aprobada por el PCI SSC.
  • Validar que los comercios de nivel 4 utilicen aplicaciones de pago que cumplan con la Norma de Seguridad de Datos de Aplicaciones de Pago del Sector de las Tarjetas (PCI PA- DSS), según corresponda.
  • Recomendar a sus comercios de Nivel 4 que utilicen un Integrador y Revendedor Cualificado (QIR) que figure en el sitio web del PCI SSC cuando implementen o den soporte a una aplicación de pago que cumpla con la PCI PA-DSS.
  • Animar a sus comercios de nivel 4 de alto riesgo a que contraten a una QSA aprobado por el PCI SSC o a que utilicen un asesor de seguridad interno (ISA) cuando evalúen su cumplimiento de la PCI DSS.