¿Qué es la certificación PCI y cómo conseguirla?

La tarjeta de crédito se ha convertido en el método de pago preferido por los consumidores, tanto en los cobros físicos como en los digitales. En 2021, el 62% de las compras online se realizaron a través de tarjetas de crédito (Statista, 2022) lo que demuestra que aceptar pagos online con tarjeta en tu negocio es una gran oportunidad para incrementar tus ventas. Pero, ¿te has parado a pensar cuál es la normativa vigente para transaccionar online con tarjetas de crédito? La certificación PCI DSS recoge las normas actuales para hacerlo, pero no todos los softwares que encontramos en Internet las respetan.

Muchos de ellos no cuentan con los requisitos PCI de seguridad necesarios y lo dejan como responsabilidad de la empresa. Sabiendo esto, te preguntarás si has de cumplir alguna normativa específica para vender online desde tu página web. La respuesta es que, si tu negocio necesita procesar, transmitir y almacenar datos de tarjetas de crédito, sí. Necesita cumplir siempre con la PCI. Pero no te preocupes, en este artículo te contamos todo lo que debes saber para vender online con seguridad con el PCI, cómo conseguirlo y qué alternativas existen para que cumplirlo sea un proceso muy sencillo.

¿Qué es el certificado PCI DSS?

La normativa PCI DSS es, según sus siglas en inglés (Payment Card Industry Data Security Standard), un Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago. Algo que se traduce como una normativa de cumplimiento obligatorio para todos los proveedores de servicios y negocios que procesan tarjetas de crédito.

Su cumplimiento autoriza a procesar, transmitir y almacenar datos de tarjetas de crédito, es decir, datos sensibles de los compradores que deben ser tratados cumpliendo los requisitos técnicos de seguridad propuestos por el PCI Security Standard Council. Un comité mundial formado por las compañías de tarjetas de crédito y débito más importantes del mundo (American Express, Discover, JCB International, MasterCard, y Visa Inc) para el desarrollo continuo, la mejora, el almacenamiento, la difusión y la aplicación de normas de seguridad PCI para la protección de datos de las cuentas.

En 2004, el mencionado comité bajo las siglas PCI SSC, publicó la primera versión del estándar de seguridad PCI DSS. Actualmente están a punto de publicar la versión 4.0, sin embargo, a pesar de su obligatorio cumplimiento para la industria, todavía no se trata de una normativa legislada, por lo que ninguna ley penaliza su quebrantamiento. A pesar de ese vacío legal sí existen numerosos riesgos que hay que tener en cuenta a la hora de procesar pagos online y datos sensibles que explicaremos a continuación, así como todos los requerimientos de seguridad que hay que cumplir para proteger los datos de nuestros clientes.

¿Qué es ser PCI Compliance?

Ser PCI Compliance no es anunciarlo en tu web con un sello. Ser PCI Compliance significa comprometerse a cumplir con los estándares de seguridad planteados por el PCI DSS, y que implican la ejecución de acciones e implementaciones técnicas en el esquema de trabajo de una compañía. Esto sería, a rasgos generales, adoptar medidas en tres ámbitos o etapas dentro del proceso de compra con tarjeta de crédito:

1. Al transmitir y procesar los datos de manera segura.

2. Al almacenar y guardar esos datos cumpliendo los 12 requisitos de seguridad de la normativa PCI.

3. Al supervisar el funcionamiento de los controles de seguridad y validarlos periódicamente.

Partiendo de estas tres fases clave del procesamiento de tarjetas de crédito, podemos desarrollar más en profundidad cada uno de esos requerimientos que tendremos que aplicar en los puntos anteriores.

Cualquier empresa (ya sea pequeña, mediana o grande) que opere con tarjetas de crédito necesita ser PCI Compliance.

¿Tengo que cumplir con los requisitos de la normativa PCI DSS?

Esta es la pregunta principal a la que quieren encontrar respuesta las empresas que empiezan a hacer ventas online, ya que procesan datos personales y sensibles de los compradores. Vender a través de una página web o un e-commerce no significa necesariamente estar protegido o contar con un sistema seguro para procesar esos datos. En este punto es lógico preguntarse quién está obligado a cumplir con la normativa PCI, qué requisitos debe cumplir, cómo solicitar el PCI online, a qué alternativas puede optar o incluso si hay alguna forma de evitar este trámite.

Como ya hemos mencionado, su cumplimento no es obligatorio por ley, pero sí necesario para todas las empresas que acepten pagos online por tarjeta de crédito, ya que se exponen a grandes amenazas y riesgos. El número de cuenta personal (PAN), la fecha de caducidad o el titular de la tarjeta son algunos de los datos sensibles de los que hablamos, los cuales quedan expuestos a posibles ataques online si no se protegen con los sistemas adecuados. Contar con la seguridad PCI ayuda de igual manera a aumentar la confianza online de los clientes.

En definitiva, cualquier empresa (ya sea pequeña, mediana o grande) que opera con tarjetas de crédito necesita ser PCI Compliance, tanto si hace millones de transacciones, como si hace pequeñas operaciones. La responsabilidad de cumplir o no con la normativa, recae en última instancia en la propia empresa.

certificacion-pci-dss

Amenazas y riesgos de no ser PCI Compliance

Como hemos mencionado, la razón principal por la que cumplir con la certificación PCI es garantizar la seguridad de todos los compradores que dejan sus datos de tarjeta de crédito en nuestro sistema.

Existen muchos tipos de fraude con tarjetas bancarias, y el robo de información se multiplica cuando esta se tramita a través de internet. Aunque es bien sabido por todos, a veces se olvida que internet es un lugar donde existen miles de amenazas que ponen en riesgo la información de nuestros clientes y la nuestra.

Ante esta situación, la normativa PCI DSS es una de las formas de defensa ante amenazas como las siguientes:

  • Malware. Se llama malware a todo software malicioso ideado por ciberdelincuentes para infiltrarse en el sistema de un ordenador y robar datos de pago.
  • Phishing. La principal forma de transporte y distribución de softwares maliciosos es a través de correos electrónicos. Este fenómeno es conocido como "phishing" y se presenta en forma de correos que parecen auténticos y confiables, pero que contienen enlaces maliciosos o archivos que pueden infectar nuestro dispositivo.
  • Ransomware. Es la amenaza de malware que más está creciendo en los últimos años. El ransomware es lo que podríamos llamar como "secuestro de datos". Consiste en impedir el acceso a los sistemas, archivos o redes de los ordenadores de un negocio y en exigir una recompensa (normalmente económica) por devolverlos.
  • Vulnerabilidades del sitio web y del software. Tener el software de nuestro ordenador o navegador desactualizados es invitar a los ciberataques hacia nuestro sistema. Los delincuentes implantan ransomware en sitios web para atacar desde ahí a los sistemas obsoletos.
  • Multas y sanciones. Además de los peligros para los clientes o nosotros mismos, también hay que tener en cuenta los riesgos económicos, ya que no respetar los estándares mínimos de seguridad en lo que respecta a datos de tarjetas de crédito, puede suponer multas de entre 5.000 hasta 500.000 dólares. Así como penalizaciones desde los bancos o proveedores de pagos.

¿Cómo cumplir con la certificación PCI?

Sabiendo qué es ser PCI Compliance y conociendo los peligros y riesgos de transaccionar online sin un sistema de seguridad PCI que nos proteja, es necesario explicar cada uno de los requerimientos que todo negocio debe cumplir para ser PCI Compliance y qué tipos de certificación encontramos ordenados del nivel más alto al más bajo.

normativa-pci

Niveles de la certificación PCI DSS

Esta clasificación se basa en el volumen de transacciones con tarjeta de crédito que procesa una empresa.

  • Certificación PCI DSS Nivel 1: Organizaciones que procesan más de 6 millones de transacciones al año a través de Visa o Mastercard (más 2'5 millones si es con American Express).
  • Certificación PCI DSS Nivel 2: Organizaciones que procesan entre 1 y 6 millones de transacciones al año.
  • Certificación PCI DSS Nivel 3: Organizaciones que procesan entre 20.000 y 1 millón de transacciones online al año o menos de 1 millón en total.
  • Certificación PCI DSS Nivel 4: Organizaciones que procesan menos de 20.000 transacciones online al año o hasta 1 millón en total.

Los 12 requisitos de la PCI DSS

Los requisitos PCI para cada uno de los niveles anteriores varía en función del volumen de la organización, siendo la certificación PCI nivel 1 donde más requisitos PCI encontramos y el 4 el que menos. Para algunas empresas la elevada complejidad técnica para obtener la certificación queda fuera de su conocimiento. Por eso hacemos un resumen de las mejores prácticas de seguridad que se proponen en los 12 requisitos PCI:

Desarrollar y mantener sistemas y redes seguros

  • 1. Instalar y mantener una configuración de firewalls para proteger los datos de los titulares de las tarjetas. Dada la facilidad con la que se cometen robos online, es necesario en primer lugar, contar con un firewall o cortafuegos permanente que bloquee el acceso no autorizado a fuentes no confiables. Para su buen funcionamiento es imprescindible revisarlo con frecuencia y asegurarse de que todos los dispositivos y usuarios que se conectan a la red cuentan con uno.
  • 2. No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores. No es nada recomendable mantener las contraseñas suministradas por el proveedor, ya sea de un router, firewall o cualquier instalación. De igual forma, las nuevas contraseñas tampoco deben ser débiles porque seguirán siendo una vulnerabilidad del sistema.

Proteger los datos del titular de la tarjeta de crédito

  • 3. Proteger los datos del titular de la tarjeta que fueron almacenados. Almacenar los datos de una tarjeta es necesario para finalizar una transacción, pero tampoco es recomendable hacerlo más del tiempo necesario. Si el cobro se efectúa de manera recurrente y los datos quedan almacenados para futuros cobros, se deben seguir estrategias de máxima protección como la tokenización. Mediante este sistema, el PAN queda encriptado a través de un código token que se asocia de manera única a los datos de la tarjeta. En cualquier caso, no es recomendable almacenar datos más del tiempo necesario para cerrar la transacción y es aconsejable hacer limpieza cada cierto tiempo.
  • 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. Aplicar sistemas de encriptación protege los datos de los ciberdelincuentes cuando estos se encuentran en redes públicas. Encriptar la información antes de enviarla y desencriptarla al recibirla es un requerimiento imprescindible de seguridad.
solicitar-pci-online

Mantener un programa de administración de la vulnerabilidad

  • 5. Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente. Actualizar el antivirus es un gesto menos común de lo que pensamos y es de gran ayuda a la hora de proteger el sistema contra los softwares maliciosos. Evita posibles hackeos e identifica amenazas, por lo que podemos hacer un seguimiento de su situación y tomar medidas a de tiempo.
  • 6. Desarrolla y mantén sistemas y aplicaciones seguras. En el caso de utilizar softwares internos y desarrollados por y para una única organización, es necesario identificar las vulnerabilidades y crear parches de software correctos para evitar que malwares o ciberdelincuentes pongan en riesgo los datos de los titulares de las tarjetas que se procesan en dicha aplicación.

Implementar medidas sólidas de control de acceso

  • 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. Otra medida imprescindible es controlar qué personas acceden a la información y restringir esos accesos. Esto significa llevar un control a nivel interno de la empresa sobre quién solicita acceso y por qué lo hace.
  • 8. Identificar y autenticar el acceso a los componentes del sistema. Para controlar estos accesos es obligado implementar un sistema de identificación que otorgue un ID único para cada persona y con el que se haga un seguimiento de sus pasos en el sistema. Además, la autenticación en dos pasos ofrece más control sobre aquellas personas que solicitan acceso y su verdadera autorización.
  • 9. Restringir el acceso físico a los datos del titular de la tarjeta. Puesto que el acceso digital debe estar perfectamente protegido, tampoco hay que olvidar el acceso físico para proteger el espacio donde se almacenan y no dejar rastro en nuestro entorno sobre los datos sensibles, así como registrar la entrada de todo aquel que finalmente accede a los mismos.

Supervisar y evaluar las redes con regularidad

  • 10. Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas. Hacer un reconocimiento de todos los movimientos de los usuarios y recibir alertas sobre ellos es esencial para la prevención, detección o minimización de los riesgos a los que están expuestos los datos.
  • 11. Probar con regularidad los sistemas y procesos de seguridad. Una vez se han implementado los requerimientos de seguridad hay que ir comprobando periódicamente su funcionamiento para asegurar su efectividad con el paso del tiempo.

Mantener una política de seguridad de información

  • 12. Mantener una política que aborde la seguridad de la información de todo el personal. Para garantizar el compromiso por parte de todos los miembros de la organización, es necesario compartir la política de seguridad que se ha desarrollado. Poner en conocimiento de todas las personas implicadas los sistemas y medidas de seguridad que se han instaurado es la parte final para completar un protocolo seguro, efectivo y duradero.
certificacion-pci

Consejos para ofrecer pagos seguros en tu negocio

Además de cumplir los 12 requisitos PCI hay otras muchas maneras de proteger un negocio de los ataques maliciosos. Estos son algunos de los consejos que puedes aplicar de manera sencilla en el día a día de tu empresa para evitar futuros contratiempos y que son una ayuda extra para la seguridad.

  • Crea contraseñas seguras. Cambia las contraseñas regularmente y hazlas difíciles de adivinar. Las contraseñas más seguras suelen tener más de 7 caracteres y combinar letras mayúsculas con minúsculas, números y símbolos.
  • Protege los datos de las tarjetas, y si no es necesario, no los almacenes. Limita el riesgo de hackeo almacenando datos de tarjeta solo cuando es imprescindible para tu empresa. En caso de hacerlo, utiliza sistemas de encriptado y tokenización que protejan los datos.
  • Comprueba los terminales de pago. Si procesas los pagos a través de un hardware, tenlo a la vista en todo momento y controla si ha sido manipulado. También controla quién hace las reparaciones y asegúrate de que siempre sea un servicio oficial.
  • Cuenta con socios de confianza. Ten una lista con todos los proveedores que puedas necesitar cuando haya problemas, como las empresas administradoras de sistemas de pago o bancos.
  • Instala parches y actualiza tu software con frecuencia. Muchos softwares pueden tener agujeros de seguridad o fallos, por eso es importante instalar todos los parches y actualizaciones del proveedor. Evita todas las vulnerabilidades y haz todo lo que esté en tu mano, contando siempre con los recursos que te ofrecen tus proveedores de confianza.
  • Limita el acceso interno a datos sensibles. El 25% de las vulnerabilidades de los sistemas implican actores internos. Esto significa que un cuarto de los problemas de seguridad han sido causados por miembros de la propia empresa. Limitar el acceso a los datos sensibles a solo algunos responsable es una medida a implementar en muchas empresas.
  • Evita ponérselo fácil a los hackers. Deshabilita accesos remotos y ofrécelos solo a personas de confianza. Abrir una brecha de seguridad en nuestro sistema es más sencillo de lo que pensamos, y evitarlo nos ahorrará problemas futuros. No delegues en terceros información de tarjetas ni confíes en todo el mundo.
  • Utiliza un antivirus. Tener un antivirus actualizado y correctamente instalado ayuda a detectar actividad inusual en los sistemas y a advertirnos de todo aquello que pasa desapercibido a primera vista.
  • Analiza la vulnerabilidad de tu sistema. Analizar de manera recurrente el dispositivo a través de un antivirus es también un consejo básico.
  • Utiliza soluciones de pago seguras. Existen muchas soluciones de pago disponibles en el mercado, pero no todas son igual de seguras. Comparar y consultar con expertos pueden ser dos ejercicios que ahorrarán muchos problemas en el futuro. El cumplimiento del PCI DSS es un requisito imprescindible para ello.
  • Protege a tu negocio de internet. Proteger la red wifi, utilizar un firewall y usar el dispositivo con el que se gestionan los pagos online únicamente para ello, son las claves para proteger nuestro sistema en internet. Donde más ataques se producen es en el ámbito digital, por eso hay que tomar más medidas ahí.
  • Haz "inservibles" tus datos. La mejor forma de evitar riesgos es haciendo inservibles los datos que buscan los ciberdelincuentes. De este modo, aunque consigan vulnerar nuestro sistema no podrán hacer nada con los datos encriptados.

¿Qué puedo hacer para obtener la certificación PCI DSS?

Una vez conocidos los riesgos, requerimientos y, sobre todo, los beneficios que nos ofrece la certificación PCI, es momento de hablar de los pasos a seguir para conseguir ser PCI Compliance.

Solicitar la PCI es un proceso largo, complejo y, además, realmente costoso. Para comprobar que los 12 requerimientos de la PCI DSS han sido cumplidos a la perfección, la empresa se somete a varias fases de examen por parte del PCI Standard Security Council, que verificará cada uno de los puntos de seguridad mediante rigurosos exámenes. El informe anual (ROC), escaneos trimestrales (QSA), evaluaciones de seguridad, cuestionario de evaluación (SAQ), certificación de cumplimiento (AOC)... son solo algunos de los requisitos que una empresa debe demostrar para ser aprobada por el PCI SSC.

En resumen, estamos ante un trámite extremadamente técnico y que implica una dedicación a tiempo completo desde el área de tecnología de una empresa, por lo que lo más habitual es contratar personal externo especializado en el área para lograrlo. Lo cual, además implica otro coste añadido para la empresa además del coste de la propia certificación PCI.

Puedes cumplir con la certificación PCI DSS cuando tus operaciones se realizan con Uelz.

¿Cómo puede ayudarte Uelz a recibir pagos seguros?

Es posible que los tecnicismos y las siglas no sean parte del trabajo de muchas empresas y queden fuera del conocimiento de muchas personas. Ante esta situación tan habitual, queremos ayudarte. Si tu empresa opera online y utiliza tarjetas de crédito para procesar pagos online, te ofrecemos una plataforma de gestión de cobro con la que, además de centralizar y digitalizar en un único lugar tus ventas, cumplirás con todos los requerimientos de la PCI DSS. Con Uelz, como plataforma de gestión de cobros, cumplimos con el nivel máximo de PCI, lo que nos autoriza a procesar, transmitir y almacenar los datos de las tarjetas de crédito de tus clientes con la máxima seguridad.

gestión de cobros online

Hacer tus ventas seguras no supondrá una gran inversión en tiempo ni en dinero. Tu empresa no necesitará estar certificada con la PCI cuando sus operaciones se realizan con Uelz y, al mismo tiempo, cumplirá con todos los requisitos de seguridad exigidos para recibir pagos seguros por internet de la manera más sencilla posible.

Fuente: PCI Security Standards Council

Webinar: Seguridad online en pagos y cobros

Aprende cómo proteger los datos de tus clientes cuando haces ventas online. En este webinar te contamos las claves para proteger los datos de tus clientes gracias al estándar de seguridad PCI.

Si para empezar a vender en cualquier negocio se exigen licencias de actividad o permisos, ¿por que al vender online no se siguen criterios parecidos? Priorizar la seguridad en un negocio es ofrecer pagos seguros por internet y dar valor a la confianza que depositan los compradores en ti.

Publicaciones relacionadas

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Utilizamos Cookies propias y de terceros en nuestro sitio web para mejorar la experiencia de usuario. Nos ayudan a comprender mejor cómo se utiliza nuestro sitio para adaptar el contenido e incluir anuncios personalizados.