Si su empresa es responsable de gestionar los pagos con tarjeta de crédito, el cumplimiento de la norma PCI DSS es una parte esencial de la protección de los datos de las tarjetas de pago de los clientes y de la protección de su propio negocio frente a las devastadoras consecuencias de una filtración de datos.

La desafortunada realidad es que el fraude con tarjetas de crédito sigue aumentando y, según la Red Centinela del Consumidor de la Comisión Federal de Comercio, las denuncias de fraude con tarjetas de crédito aumentaron un 104% entre el primer trimestre de 2019 y el primer trimestre de 2020.

Proteger los datos de los titulares de tarjetas nunca ha sido tan importante y la norma PCI DSS sienta las bases para mantener las estrictas medidas de seguridad necesarias para proteger estos datos sensibles. Nuestra guía sobre el cumplimiento de la norma PCI DSS le ayuda a explicar cómo funciona esta norma, a quién se aplica y qué pasos debe dar para cumplirla.

¿Qué es PCI DSS?

La Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) es un conjunto de normas de seguridad diseñadas para reducir el riesgo de fraude con tarjetas de crédito y aumentar la seguridad de los datos de las tarjetas de pago. Fue fundado en 2004 por las cuatro principales compañías de tarjetas de crédito: Visa, Mastercard, Discover y American Express. El PCI DSS ha evolucionado a lo largo de los años y ahora está regulado por el PCI Security Standards Council (PCI SSC). El PCI SSC define y gestiona las normas, mientras que las empresas individuales de tarjetas de crédito se encargan de velar por su cumplimiento.

¿A quién afecta PCI DSS?

La DSS de la PCI se aplica a cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. Para determinar los requisitos de cumplimiento que se aplican a las empresas individuales, el SCC de la PCI creó un sistema de cuatro niveles que clasifica a las empresas en función del tamaño de las transacciones y el riesgo.

Nivel 1 – Comerciantes que procesan más de 6 millones de transacciones al año, o aquellos cuyos datos se han visto comprometidos en el pasado.

Nivel 2 – Comerciantes que procesan entre 1 y 6 millones de transacciones anuales.

Nivel 3 – Comerciantes que procesan entre 20.000 y 1 millón de transacciones anuales.

Nivel 4 – Comerciantes que procesan menos de 20.000 transacciones anuales.

A pesar de la creación de múltiples niveles, los requisitos siguen siendo los mismos para todos los comerciantes y proveedores de servicios, en todos los sectores.

Cumplimiento de PCI DSS

¿Cómo podrían verse comprometidos los datos de los titulares de tarjetas?

Para acceder a los datos sensibles de los titulares de las tarjetas, los ciberdelincuentes intentarán explotar cualquier vulnerabilidad de seguridad de sus sistemas operativos y dispositivos. Esto podría ser a través de:

  • Lectores de tarjetas

  • Sistema de punto de venta

  • Base de datos del sistema de pago

  • Redes de almacenamiento

  • Portales en línea

  • Red inalámbrica

  • Registros en papel

¿Cuáles son los 12 requisitos del cumplimiento de la norma PCI DSS?

La DSS de la PCI contiene 12 requisitos diseñados para proteger los datos de los titulares de tarjetas y evitar las violaciones de datos. Estas normas no sólo se aplican a los comerciantes, sino a cualquier otra empresa que almacene, procese o transmita datos de titulares de tarjetas.

1. Instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de tarjetas

Un cortafuegos es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente y decide si bloquea un tráfico específico basándose en un conjunto definido de reglas de seguridad. Es su primera línea de defensa contra las amenazas a la seguridad y debe comprobarse, gestionarse y actualizarse con regularidad.

2. No utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad

Los ciberdelincuentes utilizan con frecuencia contraseñas y configuraciones predeterminadas para comprometer los sistemas. Es vital que cambie inmediatamente cualquier credencial por defecto antes de introducir nuevos sistemas en su red.

3. Proteger los datos almacenados de los titulares de tarjetas

Proteger los datos de los titulares de tarjetas, tanto si están en formato físico como digital, es crucial para cumplir la norma PCI DSS. Con frecuencia, los ciberdelincuentes tienen como objetivo los datos almacenados de los titulares de tarjetas y los utilizan para realizar transacciones fraudulentas. Cuando sea necesario almacenar los datos de los titulares de tarjetas, debe asegurarse de que se aplican las medidas de seguridad correctas para cumplir los distintos requisitos legales, normativos y de conformidad.

4. Cifrar la transmisión de datos de los titulares de tarjetas a través de redes abiertas y públicas

Cuando los datos de los titulares de tarjetas se transmiten a través de redes de fácil acceso, los ciberdelincuentes pueden intentar interceptarlos. Para garantizar que los datos están a salvo y seguros, deben cifrarse con criptografía fuerte y protocolos de seguridad como Secure Shell (SHH), IPSec y Transport Layer Security (TLS).

5. Utilice y actualice regularmente el software antivirus

Debe instalarse software antivirus en todos los sistemas críticos de la empresa para evitar que se introduzca malware en su red. Esto ayudará a proteger los datos de los titulares de tarjetas y proporcionará una mayor protección contra los virus de nueva creación.

6. Desarrollar y mantener sistemas y aplicaciones seguros

Los ciberdelincuentes suelen aprovechar cualquier vulnerabilidad de su sistema para acceder a los datos sensibles de los titulares de las tarjetas. Los proveedores de redes publicarán periódicamente parches para solucionar las vulnerabilidades de seguridad, por lo que es vital que los aplique en cuanto se publiquen. Los parches son esenciales para mantener los sistemas actualizados, estables y a salvo del malware y otras amenazas.

7. Restrinja el acceso a los datos de los titulares de tarjetas por necesidad de conocimiento de la empresa

El acceso a los datos de los titulares de tarjetas sólo debe concederse en función de la necesidad de conocerlos. Los errores de los empleados siguen siendo la principal causa de todas las violaciones de datos, por lo que deben establecerse fuertes controles de acceso para garantizar que sólo se permite el acceso al personal que necesita realizar transacciones.

8. Identificar y autenticar el acceso a los componentes del sistema

A cada miembro del personal que tenga acceso a información sensible se le debe asignar un identificador único. Esto le permitirá rastrear quién accede a sistemas específicos y cuándo.

9. Restringir el acceso físico a los datos de los titulares de tarjetas

El acceso físico a los sistemas informáticos que contengan datos de titulares de tarjetas debe estar restringido a los miembros autorizados del personal. Esto evitará que cualquier persona no autorizada acceda físicamente a los sistemas o haga copias impresas de datos sensibles.

10. Rastrear y supervisar todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas

El acceso a los recursos de la red y a los datos de los titulares de tarjetas debe supervisarse de cerca, y toda la actividad debe registrarse. Este registro de auditoría puede ayudar a detectar comportamientos maliciosos y a identificar una infracción.

11. Probar regularmente los sistemas y procesos de seguridad

Continuamente surgen nuevas vulnerabilidades, por lo que es importante probar regularmente sus sistemas y procesos para garantizar que se mantiene la seguridad. La norma PCI DSS también recomienda la realización periódica de pruebas de penetración y el uso de sistemas de detección y prevención de intrusiones para garantizar la seguridad de los datos de los titulares de tarjetas.

12. Mantener una política que aborde la seguridad de la información para todo el personal

Debe implantarse en toda la empresa una política de seguridad sólida que cumpla la norma PCI DSS. Esto ayudará a establecer un estándar para lo que se espera de su personal y destacará la necesidad de la seguridad de los datos dentro de su organización.

¿Por qué es tan importante el cumplimiento de la norma PCI DSS?

El cumplimiento de los requisitos de la PCI DSS es fundamental si quiere poder procesar transacciones con tarjeta, proteger los datos de los titulares y reducir la posibilidad de una costosa infracción. Aunque el PCI DSS no es un requisito legal, según el GDPR, los datos de las tarjetas de crédito se consideran datos personales, lo que significa que usted está legalmente obligado a mantener estos datos seguros y protegidos.

¿Qué ocurre si no cumple la norma PCI DSS?

El incumplimiento de la norma PCI DSS puede provocar graves incidentes de seguridad, como la violación o el robo de los datos de los titulares de tarjetas. Una violación de datos puede causar daños irreparables a su negocio y, además de las multas paralizantes, su empresa podría enfrentarse a otras consecuencias por no ser capaz de proteger los datos sensibles de los titulares de tarjetas. Entre ellas se incluyen:

  • Mayor riesgo de que los datos de las tarjetas de pago se vean comprometidos

  • Multas y sanciones

  • Costes de indemnización

  • Pérdida de confianza de los consumidores

  • Daños a la reputación de la marca

  • Acciones legales: costes, acuerdos y sentencias

  • Pérdidas de empleo

  • Cese de la capacidad para procesar tarjetas de pago

  • Quebrar

Conclusión

Los ciberdelincuentes se aprovechan del aumento de las transacciones digitales y explotan las vulnerabilidades de los sistemas para acceder a los datos confidenciales de los titulares de las tarjetas. Para combatir esta actividad fraudulenta, es vital que su organización cumpla la norma PCI DSS y adopte todas las medidas necesarias para asegurar las transacciones de pago y proteger los datos de los clientes.

Para ayudar a mejorar la concienciación sobre la ciberseguridad en su organización y reducir las posibilidades de una costosa violación de datos, hemos creado un recurso indispensable para implantar un cambio de comportamiento y crear una cultura de concienciación cibernética.

En esta guía Cyber Security Awareness For Dummies, aprenderá:

-Cómo implantar una campaña de concienciación sobre los riesgos cibernéticos.
-Cómo mantener el impulso, el compromiso y la atención del personal ante las amenazas a la ciberseguridad.
-10 mejores prácticas de concienciación sobre la ciberseguridad.

Haga clic aquí para acceder a su guía Cyber Security Awareness For Dummies.