¿Qué es la normativa PCI-DSS?
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard o PCI DSS) es un estándar de seguridad orientado a la protección de los datos del titular de una tarjeta, así como a otros datos sensibles de autenticación durante su procesamiento, almacenamiento y/o transmisión.
Actualmente, este estándar está actualizado hasta la versión 4.0, publicada en marzo de 2022. Es obligatorio cumplir con esta normativa para todas aquellas empresas que aceptan, procesan o transmiten los datos de tarjetas. De lo contrario pueden enfrentarse a grandes multas o a perder los permisos de procesamiento de pagos.
Contexto previo a la PCI-DSS
Antes de la publicación de una primera versión del estándar PCI DSS, cada empresa emisora de tarjetas de pago contaba con un programa propio de seguridad. Cada uno de estos programas definía los controles de seguridad que las entidades debían implementar, los procesos de reporte de cumplimiento y las sanciones a aplicar en caso de incumplimiento.
Esto implicaba que si una entidad trabajaba con datos de tarjetas pertenecientes a alguna de estas marcas, se veía en la obligación de cumplir con su programa de seguridad, lo que podía llevar a duplicidades, incongruencias y solapamientos en la implementación de controles.
Requisitos para cumplir la PCI-DSS
Con la llegada de la PCI DSS, todos los requisitos se unificaron bajo un estándar de seguridad. Estos son los requerimientos necesarios para proteger la información sensible de las tarjetas y evitar los fraudes.
- Uso de firewalls para prevenir accesos no autorizados.
- Cifrado de datos para garantizar la confidencialidad.
- Controles de acceso para limitar el acceso a personal autorizado.
- Monitoreo de redes para detectar actividades sospechosas.
- Pruebas de seguridad para identificar vulnerabilidades.
- Políticas de gestión de contraseñas para asegurar contraseñas robustas y seguras.
Estos elementos forman un marco integral que protege contra amenazas como el robo de datos y el fraude.De esta manera se asegura la seguridad de la información de los clientes y el cumplimiento con la normativa PSD2.
Niveles de cumplimiento PCI DSS
La normativa PCI DSS establece cuatro niveles de cumplimiento según el volumen de transacciones anuales:
- Nivel 1: más de seis millones de transacciones.
- Nivel 2: entre uno y seis millones de transacciones.
- Nivel 3: entre 20.000 y un millón de transacciones.
- Nivel 4: menos de 20.000 transacciones.
Los niveles 2, 3 y 4 deben cumplir con los siguientes requisitos:
- Completar el cuestionario de autoevaluación SAQ (Self-Assessment Questionnaire).
- Realizar un escaneo trimestral de la red, llevado a cabo por un proveedor de escaneo aprobado (ASV – Approved Scanning Vendor).
- Obtener la certificación de cumplimiento (AOC – Attestation of Compliance).
Para el Nivel 1 se aplican controles más estrictos y los tiempos de auditoría suelen ser mayores. Además de los requisitos mencionados para los niveles anteriores, las entidades de Nivel 1 deben presentar un informe anual sobre cumplimiento (ROC – Report on Compliance), elaborado por un evaluador de seguridad cualificado (QSA – Qualified Security Assessor).
PaynoPain y PCI-DSS
En PaynoPain, como proveedor de soluciones de pagos, llevamos más de 15 años garantizando el cumplimiento de la normativa PCI DSS 1, uno de los estandares de seguridad más elevados de la industria actual. Además, también cumplimos la ISO 27001, que supone la implementación de un sistema de gestión de la seguridad de la información (SGSI) que cumple con los estándares internacionales establecidos para proteger la confidencialidad, integridad y disponibilidad de la información.
