Cómo proteger los datos de los titulares de tarjetas
November 01, 2024 | 8 minutes read
La norma PCI
Minoristas, empresas de todos los tamaños y centros de llamadas basan la mayoría de sus transacciones comerciales en pagos con tarjeta de crédito. Los centros de llamadas exigen que el cliente utilice tarjetas de crédito para gestionar sus órdenes de compra. No importa si son una empresa unipersonal de una sola persona o una gran corporación de miles, las empresas también manejan datos de tarjetas de crédito para realizar sus transacciones comerciales. Los comercios de todo el mundo, tanto grandes como pequeños, manejan tarjetas de crédito como medio para realizar sus compras. ¿Qué tienen en común todos estos comercios de distinto tamaño? Deben cumplir las normas PCI globales.
¿Qué son las normas PCI? También conocidas como PCI DSS, o Payment Card Industry Data Security Standards, son las normas y reglamentos que los comerciantes deben seguir para aceptar las principales tarjetas de crédito como medio para realizar transacciones. Las normas son un requisito de las principales marcas de tarjetas de crédito, pero las administra un consejo externo, el Payment Card Industry Security Standards Council. Las medidas se implantaron en todo el mundo para proteger a los consumidores y reducir el fraude con tarjetas de crédito.
Para cualquier empresa o institución es primordial mantener la confianza de los consumidores. Una forma de mantener la confianza de los consumidores es proteger sus datos. Es un asunto serio preservar la información de pago, las transacciones personales y la información de identificación personal a salvo de fraudes, usos indebidos y violaciones de datos.
Validación del cumplimiento
Un método para garantizar que una empresa mantiene sus niveles de seguridad es la validación del cumplimiento. El cumplimiento es obligatorio para las entidades comerciales que manejan las principales tarjetas de crédito para transacciones comerciales. Dependiendo del tamaño de la empresa o del número de transacciones procesadas, la validación del cumplimiento puede realizarse anual o trimestralmente. Es decisión de la empresa gestionarlo en función del volumen de negocio que maneja. Las formas en que se lleva a cabo la validación del cumplimiento incluyen:
- Cuestionarios de autoevaluación (SAQ) – para empresas con volúmenes de transacciones menores.
- Un evaluador externo cualificado (QSA): para empresas con un volumen moderado de transacciones.
- Evaluador de seguridad interno (ISA) específico de la empresa: para empresas con un gran volumen de transacciones.
Normas de seguridad PCI-DSS
Las empresas de cualquier tamaño que acepten las principales tarjetas de crédito deben cumplir las normas de seguridad PCI-DSS. Estas normas están diseñadas para proteger tanto al consumidor como a la empresa frente al fraude o la violación de datos. Las normas se aplican a cualquier sistema técnico u operativo que esté conectado a los datos de los titulares de tarjetas. ¿Cuáles son las normas PCI-DSS exigidas?
Niveles de cumplimiento
Todas las empresas que aceptan las principales tarjetas de crédito están sujetas a las normas PCI DSS. Para ser conformes con la PCI, estas empresas deben seguir todas las normas de seguridad establecidas por el PCI SSC o Payment Card Industry Security Standards Council. Existen cuatro niveles de cumplimiento de las normas PCI basados en el número de transacciones financieras que cada empresa procesa al año. Esta cantidad monetaria se equipara al nivel de riesgo evaluado por las principales empresas emisoras de tarjetas de crédito. Cada emisor de tarjetas mantiene su nivel de cumplimiento, aunque la mayoría sigue la norma:
- Nivel 1 – Empresas que realizan más de 6 millones de dólares en transacciones al año.
- Nivel 2 – Empresas que realizan entre 1 y 6 millones de dólares de transacciones al año.
- Nivel 3 – Empresas que realizan entre 20.000 y 1 millón de dólares anuales en transacciones.
- Nivel 4 – Empresas que realizan menos de 20.000 $ anuales en transacciones con tarjeta de crédito.
Centros de llamadas
Muchas empresas contratan los servicios de centros de llamadas por diversos motivos, como la relación con el cliente, las ventas o el procesamiento. Los centros de llamadas ofrecen un ejemplo único de cómo una empresa debe hacer preguntas sobre detalles de privacidad, como el cumplimiento de la normativa PCI, antes de iniciar un contrato con ellos por sus servicios. Las empresas que buscan contratar con un proveedor de centro de llamadas deben mirar la siguiente lista de requisitos de privacidad y sus respuestas antes de firmar el contrato.
- Cumplimiento de PCI – Recuerde que cualquier centro de llamadas contratado representa la reputación de su empresa ante el público. Sería útil que verificara que el centro de llamadas cumple la normativa PCI. Si el centro de contacto que representa a su empresa va a manejar datos crediticios de consumidores, una infracción le perjudicará. Averigüe cómo gestionan el cumplimiento de la normativa PCI cuando manejan datos crediticios de consumidores.
- Seguridad IVR – Los centros de llamadas utilizan sistemas de voz interactivos y otros medios automatizados para seguir el ritmo de las llamadas entrantes y salientes. Esta tecnología les ayuda a mantener el ritmo del volumen de llamadas y a ser más eficientes. Esta eficiencia también significa que se almacenan más datos en sistemas automatizados u ordenadores. Antes de contratar un centro de llamadas para su empresa, pregunte sobre la gestión y el procesamiento de los datos recogidos y almacenados en sus sistemas automatizados.
- Almacenamiento de grabaciones de llamadas – La mayoría de los centros de llamadas graban las llamadas como parte del control de calidad. Este proceso de grabación ayuda a la formación y a resolver cualquier problema entre el cliente y el operador. Estos archivos de audio pueden contener datos confidenciales del consumidor. Lo que hay que preguntar es cuánto tiempo guarda el centro de llamadas estas grabaciones y por qué, y cómo protegen los datos grabados. Pregunte también si eliminan manual o técnicamente los datos sensibles de los registros y cuándo lo hacen.
- Cifrado de archivos – Dependiendo del tipo de datos necesarios para sus transacciones comerciales, puede ser necesario transferir los datos de los clientes fuera del centro de llamadas, por ejemplo, a vendedores externos de productos. Los datos personales pueden tener que transferirse a su empresa o incluso al consumidor. A los ojos del consumidor, usted es responsable de lo que ocurra con sus datos, y es su reputación la que está en juego. Antes de contratar a su centro de llamadas, estudie detenidamente con él los requisitos de encriptación y mantenga altas sus expectativas.
- Acceso controlado – Cualquier empresa que maneje datos personales debe controlar quién tiene acceso a esa información. Esta medida de seguridad también es válida para los centros de llamadas. Algunos sectores específicos, como el financiero y el sanitario, son increíblemente estrictos en sus normativas relativas al acceso a los datos. Antes de contratar a un posible centro de llamadas, es esencial preguntar quién tiene acceso a los datos, cómo y cuándo. Infórmese sobre la protección por contraseña, los códigos de identificación de acceso y otros protocolos que se aplican para proteger a sus consumidores y la reputación de su empresa.
La ciberseguridad es ahora la preocupación número uno en casi todas las empresas. Una sola violación de datos puede ser costosa para la empresa, con multas y sanciones, honorarios de abogados, demandas judiciales y pérdida de la confianza de los consumidores. Las redes sociales difunden la noticia de una filtración como un rayo, y esa única filtración puede costar la pérdida de una gran parte de los consumidores habituales, que desconfían de cualquier empresa que no haya reforzado la seguridad de sus datos. Estas penalizaciones pueden traducirse en pérdidas de empleados, recortes de plantilla y posibles cierres de empresas si no se pueden mantener los márgenes de beneficio.
Independientemente de si utiliza un centro de llamadas o maneja usted mismo los datos crediticios de los consumidores, vale su peso en oro contratar a expertos en privacidad y seguridad que le ayuden a guiarle a través de los pasos necesarios para mantener la seguridad de los datos. Trabaje con una empresa de redacción de calidad, como CaseGuard, para encontrar formas de eliminar los datos de identificación personal y proteger la reputación de su empresa. Si se eliminan los datos innecesarios antes de almacenarlos, en caso de que se produzca una infracción no se perderá ningún dato del consumidor. Infórmese con sus expertos sobre cifrado, cortafuegos y puntos de acceso: así mantendrá su negocio y su reputación en verde.