Qué es PCI DSS y la importancia para tu negocio

PCI DSS

A medida que la tecnología avanza, las formas de pago también. Ya hemos hablado sobre las distintas posibilidades que podemos encontrar hoy en día como alternativas al dinero en efectivo como los pagos a través de wereables, los pagos invisibles o incluso el pago por voz. Aunque cada una funciona de una forma distinta, todas tienen algo en común, y es la seguridad que ofrecen en las transacciones para los usuarios y sus datos personales.

Gracias a los estándares y a los parámetros de seguridad que las compañías encargadas de ofrecer estos servicios han aplicado a través de la normativa PCI DSS (Payment Card Industry Data Security Standar), como se refleja en el estudio El Futuro de los Medios de Pago 2021 realizado por UniversalPay, el 83,4% de los usuarios encuestados perciben el comercio online como seguro, y no es de extrañar ya que la industria de los pagos se posiciona como una de las claves para hacer las transacciones comerciales más seguras que nunca.

En este sentido, en el siguiente artículo te contaremos cuál es el origen de esta normativa, en qué consiste y qué requisitos se deben cumplir para llegar a ser PCI Compliance y poder procesar con tarjetas de crédito en tu negocio. 

¿Qué es PCI DSS?

El acrónimo PCI DSS proviene de Payment Card Industry Data Security Standar, es decir, El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago. Se trata de una normativa básica con el objetivo de mejorar la seguridad de los pagos online protegiendo los datos de los usuarios.

Su origen se encuentra en la unión de las 5 grandes marcas de tarjetas de pago a nivel mundial, conocidas como Payment Card Industry Security Standars Council (PCI SSC), para proteger el ecosistema de los pagos con tarjetas: American Express, Master Card, Visa USA, Discover y JCB International.

Hasta 2005, cada una de estas compañías contaba con sus propios estándares de seguridad, muy similares entre ellos, pero tras detectar algunas brechas de seguridad, se vieron en la necesidad de crear el primer borrador de esta normativa que se centraba en 3 aspectos fundamentales:

  • El manejo de forma segura de la recepción y transmisión de los datos de las tarjetas de los consumidores. 
  • El almacenamiento seguro de los datos siguiendo los 12 puntos que te contamos más abajo.
  • Y verificar de forma anual que los estándares se aplican correctamente a través de auditorias, controles de seguridad o cualquier otro sistema para mantener la seguridad del sistema.

¿Quién debe cumplir con PCI DSS?

Como ya hemos comentado, la normativa PCI DSS es de obligado cumplimiento para cualquier entidadorganización o empresa que procese cualquier tipo de transacción con tarjetas de crédito. Aunque tendemos a pensar que esta normativa está dirigida a bancos o a empresas de adquirencia, es decir, compañías que afilian los comercios para que puedan aceptar las tarjetas de pago como medio de pago, como ya hemos dicho, cualquier comercio tiene que ajustarse a ella para poder aceptar el pago con tarjetas de sus clientes. Por eso, es muy importante que tengas esto en cuenta a la hora de contratar tu proveedor de pagos asegurándote que cumpla con la normativa como es debido.

Los datos del titular de la terjeta (Cardholder Data) que deben protegerse ya sean para su almacenamiento, procesamiento, transmisión o autenticación, son:

  • Número primario de la cuenta (PAN)
  • Nombre del titular de la tarjeta
  • Fecha de expiración
  • Código de servicio

Así como los datos para su autenticación como:

  • Datos de la banda magnética y/o chip
  • Código de verificación de la tarjeta CVV o CVC
  • Número de identificación personal y bloques de PIN
Tarjeta PCI DSS

¿Cómo ser PCI Compliance?

Ser PCI Compliance consiste en cumplir la normativa actual PCI DSS. Como te mostramos en la siguiente imagen, esta se recoge en 6 grupos los cuales recogen un total de 12 requerimientos obligatorios que toda empresa que se dedique al procesamiento de tarjetas de pago debe cumplir para conseguir la certificación.

Normativa PCI DSS

SAQ y PCI DSS

Aunque en la actualidad muchos negocios eligen la vía de contratar los servicios de pasarelas de pago certificadas para que sean ellas las que lleven a cabo todo el proceso de evaluación del PCI DSS y su correcta aplicación, también existe una herramienta que certifica que el negocio es PCI Compliance y apto para poder procesar transacciones con tarjetas.

Se le conoce como SAQ (Self-Assessment Questionnaire) o cuestionario de autoevaluación. Esta no es más que una herramienta a modo de “checklist” a la que pueden acceder determinados comercios y proveedores de servicios (dependiendo de su volumen de transacciones anuales) para demostrar que cumple con la normativa. 

Pero, ¿cualquier comercio o proveedor de servicios puede acceder a él? No, serán las compañías de adquirencia, centros autorizados o proveedores de servicios los que notifiquen a sus comercios asociados la necesidad de realizar un reporte a través del SAQ.  

¿Qué ocurre si no se cumple con PCI DSS? 

Como comentábamos anteriormente, cualquier entidad implicada, de forma directa o indirecta, con el procesamiento de pagos con tarjetas de crédito tiene la obligación de aplicar las dimensiones antes mencionadas y los requerimientos que se les exijan. 

Y te preguntarás ¿qué ocurre si no las cumplo? Además de la pérdida de la confianza por parte de los clientes y posibles problemas reputacionales con las marcas con las que colabores, como puedes suponer, se producirá una serie de multas y sobrecostes por no haberla cumplido en su momento, como pueden ser:

  • Costes por las demandas e indemnizaciones a los afectados
  • Costes por las posibles transacciones realizadas a costa de los afectados
  • Multas por las marcas de pago utilizadas en el negocio
  • Multas asociadas al Reglamento General de Protección de Datos GRPD/RGPD
  • Costes forenses para comprobar el origen del problema
  • Costes por la implementación post-incidente 

Sin duda, ha quedado muy claro que cumplir con la normativa PCI DSS no es solo obligatorio, sino que también necesario para poder ofrecer un buen servicio a los clientes. Contar con un proveedor de servicios con todos los estándares de seguridad como UniversalPay no solo te ayudará a llevar un control sobre su aplicación, sino que también se eliminan los posibles problemas que puedan surgir. 

¿Te ha gustado esta entrada? ¡No dudes en compartirlo!