Si tienes una tienda online o un marketplace y quieres saber más sobre el PCI DSS, aclarar dudas o saber cómo hacer para cumplirlo este post puede ayudarte.
A buena parte de los negocios que aceptan pagos con tarjetas les es familiar el término PCI DSS (Payment Card Industry Data Security Standard). En cuanto comienzas a establecerte y saber qué debes tener para procesar tarjetas y cómo hacerlo, aparece el tema. ¿Cuántas veces no has escuchado hablar de la certificación PCI o del estándar PCI? Y los hay que optan por evitar ocuparse del tema tomándolo como un problema que se quitan de encima (el papeleo, las gestiones interminables, etcétera). Pero de nada vale si tu negocio acepta pagos con tarjetas. Dicho más fácil: si como negocio aceptas pagos con tarjetas tienes que tener una certificación PCI.
Más que agobiarse, lo mejor entonces es saber cómo puedes tener esa certificación para tu negocio online. Así que analicemos más de cerca el PCI DSS para entender qué se debe cumplir y cómo hacerlo de manera que el proceso sea más sencillo.
De manera breve se puede decir que el PCI DSS surgió como un programa de seguridad de datos que busca frenar cualquier fraude de filtración de información relacionado con tarjetas. Conseguir una certificación PCI te ayuda a establecer en tu negocio buenas prácticas en el procesamiento de la información sensible de las tarjetas, pero atento, que la certificación por sí misma no hace magia. Con los requisitos que tiene ayuda, pero mantener el cumplimiento de cada requisito depende del negocio y sus trabajadores.
Desde el principio el PCI DSS ha estado apoyado por importantes entidades financieras (Visa, MasterCard, American Express, etcétera) a las que se fueron sumando de a poco otros esfuerzos para mejorar el cumplimiento.
Lo más importante: se trata de un estándar de obligado cumplimiento para la industria de los medios de pago aun cuando no está prescrito en alguna ley.
Todos los involucrados en el proceso de pago que aceptan, guardan o transmiten información de tarjetas tienen que tener una certificación PCI. No importa si son comercios (e-commerce, tiendas físicas, agencias de viajes), proveedores de servicios (emisores de tarjetas, pasarelas de pago, procesadores de transacciones) o entidades financieras «clásicas» (bancos). No importa si la información de las tarjetas se obtiene de forma indirecta a través de un tercero (un proveedor de servicios), el cumplimiento del estándar es igual, con la misma rigurosidad. Hay un estándar PCI que tienes que cumplir para continuar siendo un negocio de referencia y estar mejor preparado para cumplir con otros requisitos de seguridad y aspirar a obtener mejores condiciones comerciales de los proveedores de servicios de tarjetas. Está claro que a un proveedor de tarjetas le importa la seguridad de sus clientes y si en tu negocio no cumples con el PCI DSS te dará la espalda en cualquier negociación.
Pues esta pregunta no viene sola, normalmente viene junta a estas otras: ¿cuándo debo cumplir con el PCI DSS?, ¿qué consecuencias tiene escaquearse y no cumplir?, ¿cómo cumplo con los requisitos del PCI DSS en la actualidad?, ¿qué debo hacer si no estoy cumpliéndolos y me interesa hacerlo por mi seguridad y la de mis clientes?
Y es normal hacerte estas preguntas cuando comienzas a interesarte en este tema, por ahí empiezas a recibir paquetazos de información y no sabes por dónde arrancar para saber si tu negocio cumple y si no lo hace saber cómo hacerlo. Todos hemos estado ahí pero dedicándole un poco de esfuerzo se puede sacar el tema adelante.
Más arriba respondimos un poco cuándo debes cumplir con el PCI DSS. Recuerda, si tu negocio transmite, guarda o acepta pagos con tarjetas tienes que cumplir y obtener una certificación PCI. Así tengas un negocio pequeño, mediano o grande, o vendas productos o servicios, proceses 50 transacciones o 50K, da igual, tienes que cumplir porque procesas información sensible de las tarjetas. Y por información sensible, nos referimos a lo básico, es decir, PAN, nombre del titular de la tarjeta, fecha de expiración de la tarjeta, código de servicio, código de seguridad, etcétera.
Una vez que tengas claro esto, lo siguiente es conocer que existen dos opciones principales con las que se evalúa el cumplimiento del PCI DSS. La distinción entre ambas opciones se hace en base al volumen de transacciones y el modo de procesamiento de las mismas. La primera es una auditoría externa que coordina una entidad certificada por el consejo PCI. Este consejo está conformado por las principales compañías de tarjetas, así que seriedad y rigor no faltarán en el proceso de la auditoría. La buena noticia, según como lo veas, es que muchos negocios aplican para la segunda opción en la que solo es necesario realizar una autoevaluación en forma de cuestionario que puede estar o no supervisada. En este último caso lo recomendable es responder en función del cumplimiento real, ya que ese cuestionario prácticamente es una declaración jurada.
Vamos a chequear de manera breve algunos de los requisitos que consideramos más importantes. Como tal el estándar establece 12 requisitos, pero creemos que centrándonos en algunos de ellos podemos tener una idea más formada del camino que hay que recorrer. Hablaremos de los que recogen el espíritu general del PCI DSS y de todas formas al final de este capítulo te dejamos una infografía con todos los requisitos.
Bienvenido al PCI DSS. Fíjate que en los requisitos que se piden para cumplir con el PCI DDS vigente ubican este de último, pero está clarísimo que la política de seguridad de la información es la esencia del asunto. Vamos, que de política de seguridad se trata todo esto. Porque lo primero que debes hacer si tienes un negocio que acepta pagos con tarjetas es preocuparte y ocuparte de este tema, ¿cuán eficiente es la política de seguridad que tienes?, ¿cubre todo el flujo del procesamiento de información? ¿todos los trabajadores están al tanto de ella? Eso, sabiendo además, que esa política de seguridad no se restringe a la información que se obtiene directamente de los pagos. La protección aplica a toda la información que proceses, de ahí que para el funcionamiento general del negocio es vital que cada trabajador, por ejemplo, conozca la responsabilidad que tiene en la protección de los datos que maneja.
Con una política de seguridad de la información bien definida se puede evaluar de manera eficiente los riesgos y vulnerabilidades a las que se enfrenta la organización (intrusiones en la red, filtración de información después de un cambio en la red, presencia de accesos inalámbricos no autorizados, etcétera). Y estos procedimientos de seguridad que se establezcan deberán probarse con regularidad mediante exploraciones parciales o más específicas.
Al representar los intereses de la entidad, todo lo que se documente en la política de seguridad debe ser de obligado cumplimiento por cada uno de los trabajadores.
Lo recomendable es mantener (o instalar en caso de no tenerla) una configuración de firewall para cada conexión a internet en todos los dispositivos con que cuente el negocio. En este punto sirve de mucho haber inventariado previamente los equipos disponibles y haber regulado su funcionamiento según las responsabilidades (lo común es justificar cada servicio y asignar IPs y puertos) de cada grupo o persona individual que los use.
Antes dijimos que no toda la información de las tarjetas es necesaria para cerrar una transacción, así que lo conveniente es limitar el almacenamiento de esos datos innecesarios, porque a simple vista traería menos riesgos y haría el proceso más sencillo. Para los datos que sí almacenes, una de las mejores estrategias de protección es la tokenización, más si decides contratar un proveedor de servicios, por ejemplo, si has decidido integrar una pasarela de pago en tu negocio. La tokenización podría ser un detalle al que podrías prestarle atención para decidirte por una u otra pasarela y actualmente se encuentra entre los protocolos de seguridad de más alto nivel. Mediante la tokenización el PAN es reemplazado por un código token que se asocia de manera única a los datos reales de la tarjeta. Ese token no permite inferir el dato confidencial con el que se relaciona, lo que permite minimizar el riesgo de almacenamiento inseguro. La gran ventaja de este protocolo es que con la tokenización no es necesario implementar controles asociados a datos confidenciales, porque el token no es considerado un dato confidencial.
Este requisito no lleva mucha explicación y lo cierto es que evita muchos dolores de cabeza si se mantiene una periodicidad en este procedimiento de seguridad.
La recomendación es que combines ambas opciones y las implementes, con sus respectivas actualizaciones, en cada uno de los sistemas y aplicaciones de la organización que sean accesibles desde internet. Así te evitas situaciones indeseadas por comprometer información indebida y de paso te aseguras que tus redes y sistemas sean seguros ante un posible un hackeo. Otra recomendación es que te mantengas al tanto de la evolución de las amenazas, pues es una buena vía para prevenir futuros contratiempos.
Es una manera de restringir cualquier acceso a archivos que contengan datos del titular de la tarjeta. Estableciendo esas restricciones puedes determinar quién accede y bajo qué condiciones lo hace. Teniendo esa información podrás gestionar mejor la seguridad de los datos que almacenes. También vale la pena revisar periódicamente los registros de actividad con el objetivo de identificar a tiempo cualquier eventualidad que surja.
Y aunque quede como una obviedad también es necesario restringir el acceso físico a las oficinas y llevar un registro de cada visita que se reciba, delimitando bien los grados de autorización que poseen. De nada vale cumplir con lo anterior si después personal ajeno a tu negocio accede a las oficinas y logra recopilar información sensible.
Desarrolle y mantenga redes y sistemas seguros.
Proteger los datos del titular de la tarjeta
Mantener un programa de administración de vulnerabilidad
Implementar medidas sólidas de control de acceso
Supervisar y evaluar las redes con regularidad
Mantener una política de seguridad de información
*Fuente : Norma de seguridad de datos
Además de los requisitos que hemos visto, debes saber que las nuevas actualizaciones del PCI DSS incluyen requisitos adicionales. Uno de ellos es el relacionado con los hostings compartidos, una práctica que todos conocemos. Los proveedores de hosting compartido, entre otros requerimientos, deben asegurarse de que cada entidad solo tenga acceso a sus propios datos del titular de tarjeta y que, por supuesto, los archivos de una entidad no puedan compartirse ni ser visibles para otra.
Mientras más mediadores se incluyan en las transacciones de pago más precauciones deberán tomarse para cumplir con el PCI DSS, pues en caso de que se comprometan los datos de las tarjetas la responsabilidad recaerá en el negocio primario que debió corroborar si ese proveedor de servicio cumplía con el PCI DSS.
En el caso de las pasarelas de pago sucede algo parecido. Como proveedores de servicios casi imprescindibles que son, ya que integrarlas es una manera de ajustarse a las necesidades objetivas de tu usuario, lo recomendado es conocer cuáles facilitan y ahorran todo el proceso de cumplimiento de la PCI DSS cuando vayas a decidirte por una. Existen varias que se encargan de guardar y procesar todos los datos de las tarjetas en sus servidores y por tanto ninguna parte de esa información va a tu propio servidor. Esto sería una buena ventaja, aunque llegados a ese punto, la gestión que habría que hacer es saber si la pasarela de pago elegida cumple o no con la PCI DSS. Por ejemplo, integrando una plataforma de pago como MyChoice2Pay, se reduce mucho el número de requisitos que un negocio online debe cumplir. Más adelante detallamos este punto.
El mayor beneficio de tener una certificación PCI son las buenas prácticas que avala el cumplimiento de este estándar. Obteniendo esa certificación serás más fiable y seguro para futuras negociaciones comerciales, eso sabiendo además que cumpliendo los requisitos podrás mejorar la eficiencia y optimizarás la gestión integral de tu negocio.
Son varias las acciones a las que quedarías expuesto si no cumples con este estándar. Las consecuencias van desde el pago de multas o indemnizaciones en caso de comprometimiento de datos, disminución del volumen de transacciones (ningún tercero que cumpla con los requisitos aceptará pagos provenientes de un negocio que no cumpla), los pagos derivados de controles extras, hasta quizás el más importante: la pérdida de la confianza de los clientes y proveedores. Un cliente busca seguridad cuando compra un producto y de ninguna manera quiere ver expuesta su información privada de forma deliberada.
Aprendidos los requisitos que exige el estándar y sabiendo el estado de cumplimiento en el que te encuentras, el resto es una tarea muy expedita. Bastará con planificar un pequeño programa de cumplimiento mediante el que evalúes cómo alcanzarás los objetivos planteados por los requerimientos y definas una estrategia que minimice riesgos identificados y aumente la seguridad de lo que ya haces bien. Cada acción concreta que realices debe tener claro qué requisito (o riesgo) cubre. De más está decir que a este programa de cumplimiento debes dedicarle el tiempo y los recursos necesarios que hayas estimado en la evaluación inicial.
Con los resultados de este programa se prepara la documentación necesaria mostrando el estado de cumplimiento de los requisitos. En el caso de los negocios con grandes volúmenes de transacciones se someten a una auditoría externa por parte de una entidad avalada por el consejo PCI, mientras el resto de los comercios deben realizar la mencionada autoevaluación en forma de cuestionario. Ambos casos deben someterse a un escaneo trimestral de red que asegure que los niveles de seguridad sean altos y ratifique la certificación obtenida. En España hay varias empresas que han obtenido la certificación PCI y lo más importante, también hay algunas habilitadas por el consejo PCI para realizar las auditorías y supervisar y asesorar las autoevaluaciones anuales. Entre ellas: A2 Secure, SIA Grupo, Integrated Technology Systems y Atos Consulting.
MyChoice2Pay es una plataforma de pagos que limita al mínimo los requerimientos que debes cumplir para obtener una certificación PCI. Como plataforma de pagos MyChoice2Pay te facilita mucho en el procesamiento de datos de las tarjetas:
Eligiendo MyChoice2Pay no necesitas cumplir tantos requisitos del PCI DSS y esto indudablemente te ahorrará tiempo y dinero. Además puedes acceder a más información sobre el cumplimiento del PCI DSS usando MyChoice2Pay desde este enlace.
