Cumplimiento del estándar PCI DSS

Las empresas que reciben información de sus clientes mediante el uso de tarjetas de crédito y débito deben cumplir con el Payment Card Industry Data Security Standard, mejor conocido como PCI DSS.

Los beneficios de realizar el correcto cumplimiento de este estándar de seguridad informática son diversos y, gracias al enfoque que el Security Standards Council ha aplicado en él, también neutrales, en el sentido de que el PCI DSS está diseñado para poder brindar seguridad en cualquier tipo de tecnología.

Por ello, en cada actualización, como la PCI DSS 4.0, se añaden nuevas herramientas para flexibilizar y mejorar la seguridad de los datos sensibles de los tarjetahabientes. A continuación, veremos algunos de los beneficios que las empresas pueden obtener al cumplir con este estándar y otras características relevantes.

Trabajo remoto

Luego de la pandemia por Covid-19, muchos negocios probaron suerte con el trabajo a distancia, en esquemas híbridos o totalmente remotos. Si bien este tipo de trabajo tiene beneficios, también es cierto que coloca a los trabajadores de cualquier negocio en una posición de mayor vulnerabilidad ante ataques que busquen el robo de información sensible y/o confidencial de la compañía.

Es por esa razón que cuando se desempeñan labores desde entornos remotos, la tecnología debe garantizar que el trabajo es seguro para los datos de los tarjetahabientes.

Debemos tener en cuenta que el personal de una compañía puede ser una de las primeras vulnerabilidades de un negocio, aunque, con capacitación y conocimiento de las políticas de seguridad, puede transformarse en una sólida defensa.

Para estos casos, el PCI DSS cuenta con diversos requerimientos para que el trabajo remoto sea seguro, tales como:

  • Autenticación multifactor
  • Uso de contraseñas seguras y únicas
  • Sistemas actualizados, con protección antimalware y firewall
  • Controles de acceso
  • Comunicaciones cifradas y seguras

Protección para empresas de todos los tamaños

El PCI DSS presenta distintos requerimientos para los negocios, dependiendo de la cantidad de transacciones realizadas al año. Esto es conocido como niveles y podemos dividirlo de la siguiente forma:

Niveles PCI DSS

Cantidad de transacciones al año

Nivel 1

6 millones o más transacciones

Nivel 2

Entre 1 y 6 millones de transacciones

Nivel 3

Entre 20 mil y 1 millón de transacciones

Nivel 4

Menos de 20 mil transacciones

*Información de itgovernance.eu

Esto significa que un negocio que realiza solo 20 mil transacciones anuales debe cumplir ciertos estándares en sus procesos, en el riesgo operativo y en cuanto a seguridad informática. Por ejemplo, la instalación de firewall para proteger los datos del titular de la tarjeta, el cifrado en la transmisión de datos, la actualización de software o antivirus, restricciones de acceso según cada empresa y más.

En pocas palabras, entre más transacciones realice una organización, más requerimientos deberá cubrir.

Seguridad

Aplicar el estándar PCI DSS permite reducir la posibilidad de amenazas como el skimming, que es uno de los riesgos que enfrenta el comercio digital y tradicional.

El skimming consiste en infectar con virus los sitios web para comprometer la información de los titulares de las tarjetas de crédito y débito. Este robo de información ocurre sin que sea perceptible para el usuario y también se realiza de forma física en los puntos de venta, con tecnología que extrae la información de la banda magnética de la tarjeta.

Por ello, cumplir con los estándares de PCI DSS ayuda a garantizar la seguridad de la información, ya que busca que se establezcan procedimientos bien diseñados y ejecutados, además de que se cuente con la infraestructura necesaria en materia de ciberseguridad, como el equipo especializado para mantener la seguridad y la integridad de los datos de los tarjetahabientes.

En Mazars, ofrecemos servicios de cumplimiento de PCI y asesoramos sobre los procesos adecuados, su diseño y ejecución, además de la infraestructura en ciberseguridad. Contáctenos y un equipo especializado podrá asesorarlo en favor de su negocio.

¿Quiere saber más?