Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Las empresas que trabajan con tecnología y datos sensibles deben velar porque se cumplan las mejores prácticas en materia de seguridad por su bien y el de los clientes.
En el caso de las tarjetas de pago, hay una normativa llamada PCI DSS que establece los requisitos a seguir por las compañías para proteger la información. ¿Sabes de qué se trata? A continuación te lo explicamos.
El Payment Card Industry Data Security Standard (PCI DSS) o Estándar de seguridad de datos de la industria de tarjetas de pago, es un conjunto de controles de seguridad (más de 300) que establecen las condiciones necesarias para proteger los datos personales de los titulares de las tarjetas de crédito y débito (número de cuenta principal, datos del titular de la tarjeta, fecha de expiración, número de identificación personal, números de seguridad, entre otros).
Se originó en 2004 por el esfuerzo de las principales marcas de tarjeta de pago: Visa, MasterCard, American Express, Discover y JCB. En 2006, estas empresas crearon el Payment Card Industry Security Standards Council (PCI SSC), un consejo autónomo para gestionar y mejorar la seguridad de los pagos online.
El PCI Security Standards Council se convirtió en un foro internacional que vela por el desarrollo, el almacenamiento, la difusión y el cumplimiento del estándar de seguridad para proteger los datos sensibles de los clientes. Para ello mantiene un estándar de seguridad de datos de aplicaciones de pago o PA-DSS (Payment Application Data Security Standard).
Todos aquellos negocios o empresas que guardan, transmiten o procesan datos de titulares de tarjetas de crédito o débito, así como datos de autenticación confidenciales, tienen que seguir la norma de seguridad de datos de la industria de pago.
En el caso de los e-commerce es importante ser compatibles con los sistemas de seguridad de la PCI DSS para mantener redes seguras y evitar el fraude o robo de datos. En 2019, la empresa IBM informó que en Estados Unidos el costo promedio por robo de datos superó los 8 millones de dólares.
El estándar rige a las diferentes entidades que participan en el almacenamiento, procesamiento y transmisión de datos del titular de una tarjeta, así como en los datos confidenciales de autenticación. Entre ellos se encuentran:
Si una empresa tiene pensado en el plan de negocio entrar al sistema de pago con tarjetas de crédito o débito mediante el ofrecimiento de un servicio o trabajando con empresas que sí tienen PCI y manejan los datos de tarjetas de pago, también deberán cumplir con este requisito. Algunas de ellas son:
En este último caso, estas entidades pueden participar en cada una de las revisiones de la PCI DSS de sus clientes, someterse a las evaluaciones que les soliciten o realizar una o varias evaluaciones anuales por cuenta propia.
El PCI DSS estableció cuatro niveles, según el volumen de transacciones anuales:
Los niveles 2, 3 y 4 deben llenar un cuestionario de autoevaluación llamado SAQ o Self-Assessment Questionnaire, cumplir con el escaneo trimestral de la red a cargo de un ASV (Approved scanning Vendors) y la certificación de cumplimiento (AOC-Attestation of Compliance) para evaluaciones.
En el nivel 1 se aplican más controles y los tiempos de auditoría suelen ser mayores. Además de los requisitos mencionados en los otros niveles, tienen que presentar un informe anual sobre cumplimiento (ROC-Report on Compliance) a cargo de un evaluador de seguridad cualificado (QSA-Qualified Security Assessor).
El protocolo de seguridad PCI DSS incluye 12 condiciones que las empresas deben cumplir de forma obligatoria para garantizar que no existan brechas o vulnerabilidades en su sistema de seguridad informática.
A continuación te presentamos cuáles son los requisitos de PCI DSS:
Ejecutar los protocolos de seguridad PCI DSS ofrece como resultado los siguientes beneficios:
Si los clientes pueden transmitir y procesar sus datos de pago de forma segura, se fomenta la confianza y se construye y protege la reputación de una empresa. Por ejemplo, es importante la transferencia de datos cifrados mediante un estándar de seguridad global como el protocolo SSL (Secure Socket Layer).
Gracias al protocolo PCI DSS, podrás demostrar a las empresas que la protección de datos es una prioridad. Cuando los auditores deseen evaluarte, sabrás qué hacer porque habrás generado estrategias, capas de seguridad en la infraestructura tecnológica y conocerás tus vulnerabilidades.
Si la empresa ejecuta todos los pasos del protocolo, disminuirá el riesgo de sufrir ciberataques o ciberfraudes. Esto es fundamental cuando se almacenan o procesan datos confidenciales.
Delta Protect ofrece CISO as a service y Apolo para simplificar y automatizar la ciberseguridad y el cumplimiento de PyMES y startups de Latinoamérica.
El PCI DSS reduce de manera considerable los costos que puedan generarse en caso de incidentes y le permite a la empresa prever cómo actuar en caso de escenarios que impliquen gastos como la renovación de las tarjetas de pago afectadas, demandas e indemnizaciones, la implementación de controles post-incidentes, entre otros.
Cumplir con el protocolo evita las multas por parte de los gobiernos o reguladores financieros, así como los procesos legales que surjan. La falta también puede acarrear la limitación de las transacciones por parte de las marcas de tarjeta de pago, las pasarelas de pago o los bancos adquirentes.
Delta Protect ayuda a las empresas a optimizar y acortar su certificación PCI DSS. Detecta, corrige y mitiga las vulnerabilidades críticas antes que otros la encuentren y te permite alcanzar una postura elevada de cumplimiento y certificación diez veces más rápido que con métodos tradicionales.
Si quieres simplificar tus procesos de ciberseguridad y cumplimiento, en Delta Protect contamos con el personal capacitado para ayudarte. Entra a nuestra página web y conoce más.