¿Qué es el cumplimiento de la normativa PCI-DSS?

Aunque muchos consumidores y propietarios de empresas habrán oído hablar del cumplimiento de la normativa PCI-DSS, es posible que muchos se pregunten qué significa exactamente este término. Debido a la naturaleza no regulada de Internet, los usuarios en línea que utilizan sus tarjetas de crédito y débito para realizar compras deben poder garantizar que su información financiera permanecerá segura y protegida durante todas las etapas de la transacción. En este sentido, las cinco principales empresas de tarjetas de crédito (Visa, Mastercard, Discover, JCB y Express) establecieron en 2006 el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI-DSS). En la actualidad, la PCI DSS es la principal norma informática que rige los datos de los titulares de tarjetas en todo el mundo y ofrece a los consumidores la garantía de que su información financiera estará a salvo cuando utilicen su tarjeta de crédito o débito para realizar compras.

En este sentido, el sitio web de cumplimiento de la PCI afirma que “el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) se creó el 7 de septiembre de 2006 para gestionar la evolución continua de los estándares de seguridad de la Industria de Tarjetas de Pago (PCI) con el objetivo de mejorar la seguridad de las cuentas de pago en todo el proceso de transacción. El PCI DSS es administrado y gestionado por el PCI SSC (www.pcisecuritystandards.org), un organismo independiente creado por las principales marcas de tarjetas de pago (Visa, MasterCard, American Express, Discover y JCB.). Es importante señalar que las marcas de pago y los adquirentes son los responsables de hacer cumplir la normativa, no el consejo de la PCI”.

¿A quién se aplica la norma PCI-DSS?

La norma PCI-DSS se aplica a cualquier tipo de empresa u organización que preste servicios a clientes de todo el mundo, independientemente del tamaño o alcance de una empresa u organización concreta. No obstante, el cumplimiento de la PCI se impone de acuerdo con cuatro niveles comerciales diferentes, que se corresponden con el volumen de transacciones que una empresa realiza en un periodo de 12 meses. Por ejemplo, el nivel 1 de la PCI-DSS, el más alto, se aplica a cualquier comerciante que gestione más de 6 millones de transacciones con tarjeta en un año determinado. Asimismo, las tarjetas de crédito, débito y prepago que se procesan contribuyen a este volumen. Dicho todo esto, el PCI-SSS obliga a toda empresa que procese o conserve datos de tarjetas de crédito, ya sea en línea o por teléfono, a cumplir 12 requisitos específicos.

Requisitos de cumplimiento del PCI-DSS

Entre los 12 requisitos que las empresas y organizaciones deben cumplir cuando manejan datos de titulares de tarjetas de consumidores se incluyen:

• Las empresas deben instalar y mantener una configuración de cortafuegos que pueda utilizarse para proteger los datos de los titulares de tarjetas.
• Se prohíbe a las empresas utilizar valores por defecto suministrados por el proveedor para sus diversos parámetros de seguridad, incluidas las contraseñas del sistema, entre otras cosas.
• Las empresas tienen la responsabilidad de proteger todos los datos de los titulares de tarjetas que tengan almacenados.
• Las empresas están obligadas a cifrar todos los datos de los titulares de tarjetas que transmitan o divulguen a través de redes públicas y abiertas.
• Las empresas son responsables de actualizar periódicamente sus programas antivirus, así como cualquier otra aplicación pertinente.
• Las empresas deben implantar y mantener sistemas y aplicaciones seguros que sirvan para proteger los datos de los titulares de tarjetas.
• Las empresas deben limitar el acceso a los datos de los titulares de tarjetas que conserven a los empleados que necesiten conocer dicha información para desempeñar sus respectivas funciones laborales.
• Las empresas deben asignar un identificador único a cada persona de su organización que tenga acceso informático.
• Las empresas son responsables de restringir el acceso físico a los datos de los titulares de tarjetas.
• Las empresas deben controlar y supervisar el acceso a los recursos de red utilizados para almacenar los datos de los titulares de tarjetas.
• Las empresas son responsables de comprobar periódicamente sus procesos y sistemas de seguridad.
• Las empresas deben crear, aplicar y mantener una política de seguridad informática que los empleados, terceros y contratistas puedan seguir para proteger los datos de los titulares de tarjetas.

¿Cuáles son las sanciones por incumplir la normativa PCI-DSS?

A diferencia de muchas otras normas destacadas en sectores industriales de Estados Unidos como la sanidad y el sector legal, PCI-DSS no es una ley promulgada por el gobierno federal. Hasta el momento, las empresas que infrinjan la PCI-DSS no estarán sujetas a penas o sanciones penales. Sin embargo, las cinco principales marcas de tarjetas de crédito se reservan el derecho a imponer a los bancos adquirentes multas de entre 5.000 y 100.000 dólares por cada mes que se compruebe que una empresa incumple la norma PCI-DSS. En la práctica, los bancos suelen repercutir estas multas hasta que acaban llegando al comerciante correspondiente. Además, las principales compañías de tarjetas de crédito también pueden poner fin a sus relaciones con una empresa o comerciante, así como aumentar las multas que estas entidades deben pagar al realizar transacciones.

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago es único en el sentido de que la regulación es mantenida por empresas privadas a escala internacional, en contraposición a la autoridad reguladora gubernamental que se encuentra dentro de una región o jurisdicción particular en el mundo. Por ello, las empresas que no cumplan las numerosas normas creadas por las cinco principales empresas de tarjetas de crédito del mundo corren un gran riesgo, ya que dichas empresas tienen derecho a imponer sanciones a los comerciantes a su entera discreción. A pesar de todo ello, la protección de los datos de los titulares de las tarjetas de los miles de millones de ciudadanos del mundo debe seguir siendo una prioridad absoluta en todo momento, ya que nuestra economía actual se tambalearía por completo sin este tipo de transacciones.