¿Realmente necesita la certificación PCI o es sólo un mito?

Si vino aquí buscando “certificación PCI”, déjenos decirle que tal cosa no existe. ¿Confundido? Bueno, deberías serlo. Pero relájese, ya que no todo lo que ha oído o conocido sobre PCI es incorrecto. ¡Hay algo importante llamado “cumplimiento de PCI” que debes conocer! En este artículo, hablaremos sobre el cumplimiento de PCI, si es necesario seguirlo y cómo puede ayudar a su negocio. Y usaremos la palabra «certificación PCI» en el resto del artículo para facilitar su comprensión. Pero antes de hacer eso, primero viajemos un poco en el tiempo.

La burbuja de las puntocom y los negocios virtuales: se abre un nuevo horizonte

Si tienes edad suficiente, recordarás muy bien la burbuja de las puntocom y cómo todo el mundo se estaba volviendo loco por esto llamado «Internet». Gracias a la loca locura, todo tipo de empresas comenzaron a conectarse y comenzaron a crear sus sitios web. Fue realmente una época loca. Aunque muchos consideran esto como una “burbuja”, y en muchos sentidos lo fue. Sin embargo, no se puede negar que agregó un negocio completamente nuevo a la economía global en forma de negocios virtuales.

 Como resultado, mucha gente empezó a comprar cosas y servicios en línea. Fue fácil y una locura. Se convirtió en una especie de tendencia y luego empezó a convertirse en una norma. Este auge también dio origen a algunos sectores no deseados, entre los que se encuentran los fraudes cibernéticos. Estos perpetradores comenzaron a estafar a la gente en nombre de las compras en línea, y era necesario proteger a los clientes, que eran totalmente nuevos en el mundo de Internet. 

Surgió lo que se conoce como “Cumplimiento PCI”.

¿Qué es la certificación/cumplimiento de PCI DSS?

En 2006, el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) anunció PCI DSS (estándares de seguridad de datos de la industria de tarjetas de pago). Este consejo fue creado por gigantes de la industria de las tarjetas de crédito, que incluyen a American Express, Discover Financial Services, JCB International, MasterCard y Visa Inc.

Vale la pena señalar que el PCI SSC no tiene ninguna autoridad legal, pero se aplica a empresas de todos los tamaños que aceptan, almacenan y procesan pagos con tarjeta. Por lo tanto, no incurrirá en cargos penales si no cumple. Sin embargo, si sufre una violación de datos por incumplimiento, podría enfrentar multas severas por parte del PCI SSC. Es bastante imperativo proteger la información financiera confidencial de los clientes en todo el mundo. Por eso siempre es una buena decisión cumplir.

Objetivos y requisitos de la certificación PCI

Hasta ahora, PCI SSC ha lanzado nueve versiones de PCI DSS. Cada una de estas versiones ha dividido la seguridad de los datos en seis objetivos que definen los requisitos de seguridad de los datos. Se llaman «objetivos de control». Ellos son:

1. Construya y mantenga una red y sistemas seguros
2. Proteger los datos del titular de la tarjeta
3. Mantener un programa de gestión de vulnerabilidades
4. Implementar fuertes medidas de control de acceso
5. Supervise y pruebe las redes periódicamente
6. Mantener una política de seguridad de la información

Estos requisitos se dividen en muchos subrequisitos, pero se han definido 12 requisitos desde el momento en que se estableció PCI DSS. Son los siguientes:

1. INSTALAR Y MANTENER UNA CONFIGURACIÓN DE FIREWALL PARA PROTEGER LOS DATOS DE LOS TITULARES DE TARJETAS.

2. NO UTILICE LOS VALORES PREDETERMINADOS PROPORCIONADOS POR EL PROVEEDOR PARA LAS CONTRASEÑAS DEL SISTEMA Y OTROS PARÁMETROS DE SEGURIDAD.

3. PROTEGER LOS DATOS ALMACENADOS DEL TITULAR DE LA TARJETA.

4. CIFRAR LA TRANSMISIÓN DE DATOS DE TITULARES DE TARJETAS A TRAVÉS DE REDES PÚBLICAS ABIERTAS.

5. UTILICE Y ACTUALICE PERIÓDICAMENTE SOFTWARE O PROGRAMAS ANTIVIRUS.

6. DESARROLLAR Y MANTENER SISTEMAS Y APLICACIONES SEGUROS.

7. RESTRINGIR EL ACCESO A LOS DATOS DE LOS TITULARES DE TARJETAS SEGÚN LA NECESIDAD DE SABERLO.

8. ASIGNE UNA IDENTIFICACIÓN ÚNICA A CADA PERSONA CON ACCESO A LA COMPUTADORA.

9. RESTRINGIR EL ACCESO FÍSICO A LOS DATOS DEL TITULAR DE LA TARJETA.

10. RASTREAR Y MONITOREAR TODOS LOS ACCESOS A LOS RECURSOS DE LA RED Y A LOS DATOS DE LOS TITULARES DE TARJETAS.

11. PROBAR PERIÓDICAMENTE LOS SISTEMAS Y PROCESOS DE SEGURIDAD.

12. MANTENER UNA POLÍTICA QUE ABORDE LA SEGURIDAD DE LA INFORMACIÓN DE EMPLEADOS Y CONTRATISTAS.

FUENTE: HTTPS://WWW.PCISECURITYSTANDARDS.ORG/PCI_SECURITY/MAINTAINING_PAID_SECURITY

Niveles de certificación/cumplimiento de PCI

Según la cantidad de transacciones con tarjeta que una empresa procesa anualmente, el cumplimiento de PCI se divide en cuatro niveles. Según su nivel, debe tomar las medidas adecuadas para cumplir. Echemos un vistazo a cada uno de estos niveles.

Nivel 1: este nivel se aplica a los comerciantes que procesan más de seis millones de transacciones con tarjetas de crédito o débito del mundo real anualmente. Los comerciantes incluidos en esta categoría deben someterse a una auditoría interna una vez al año, realizada por un auditor autorizado de PCI. También deben realizar un escaneo PCI (realizado por un proveedor de escaneo aprobado) cada trimestre.

Nivel 2: si procesa entre uno y seis millones de transacciones con tarjetas de crédito o débito del mundo real anualmente, entonces su empresa se clasificará en este nivel. Estas empresas deben someterse a una evaluación una vez al año mediante un Cuestionario de Autoevaluación (SAQ). Es posible que también deban realizar un escaneo PCI trimestral.

Nivel 3: Los comerciantes categorizados en el nivel 3 son aquellos que procesan entre 20.000 y un millón de transacciones de comercio electrónico anualmente. Estas empresas deben someterse a una evaluación una vez al año mediante un Cuestionario de Autoevaluación (SAQ). Es posible que también deban realizar un escaneo PCI trimestral.

Nivel 4: este nivel es para empresas que procesan menos de 20.000 transacciones de comercio electrónico al año, o aquellas que procesan hasta un millón de transacciones del mundo real. Estas empresas deben someterse a una evaluación una vez al año mediante un Cuestionario de Autoevaluación (SAQ). Es posible que también deban realizar un escaneo PCI trimestral.

¿Mi negocio se verá afectado si no tengo la certificación PCI?

Si y no. No, porque como vimos, no estás obligado legalmente a cumplir con PCI. Sin embargo, estos requisitos se aplican a usted si procesa datos de tarjetas de clientes, ya sea en línea o fuera de línea. Si sufre una filtración de datos y se descubre que no cumple con PCI, entonces podría enfrentar multas severas (un eufemismo) que podrían ascender a $100,000. Nunca querrás estar en esa posición, ¿verdad?

No solo desde el punto de vista de la seguridad, sino que cumplir con PCI le ayuda a crear un vínculo de confianza con sus clientes. Muchos de ellos conocen estos estándares y, si ven que usted tiene la certificación PCI, inevitablemente causarán una buena impresión. Esto ayuda a mejorar su reputación y, en última instancia, se refleja en sus resultados de alguna manera.

Comodo HackerGuardian: el mejor escáner PCI del mercado

Un requisito esencial de los 12 requisitos de PCI DSS es escanear su sistema en busca de vulnerabilidades de seguridad. Esto se llama «análisis de vulnerabilidades». Los servicios de escaneo autorizados realizan estos escaneos y usted debe realizarlos para tener un sistema seguro de arriba a abajo.

Comodo, el nombre líder en soluciones relacionadas con la seguridad web, tiene un escáner llamado » Centro de control de escaneo de vulnerabilidades PCI Comodo HackerGuardian «. Técnicamente, este escáner está muy por delante de la competencia en cuanto a las especificaciones que ofrece. Y la mejor parte es que es el escáner de vulnerabilidades de menor precio disponible en el mercado.

Características de Comodo HackerGuardian:

• Servicio de cumplimiento de PCI Scan: servicio de auditoría de seguridad bajo demanda que ofrece informes de cumplimiento de PCI Scan y CVC de credenciales de pago sin cargo.
• Emisión dentro de 1-3 días
• Informes diarios de cumplimiento de PCI
• Función de escaneo ilimitado
• Proceso de programación de escaneo bajo demanda
• Generación automática de informes
• Escalable desde hasta 1 a 10000 direcciones IP

Palabra final

¿Alguna vez realizarías rafting sin chaleco salvavidas? Bueno, sabemos que no lo harías. Cuando se trata del mundo del comercio electrónico, cumplir con PCI es tan vital como tener un chaleco salvavidas. Puede protegerlo de giros, vueltas y accidentes inesperados. Por lo tanto, siempre es una buena decisión usar un chaleco salvavidas. ¡Eh, cumpla con PCI!

Fuente: https://comodosslstore.com/