¿Sabías que en México y en todo el mundo, todas las compañías que realicen transacciones con tarjetas de crédito y débito en puntos de venta deben implementar un estándar de seguridad? Este consta de requerimientos necesarios para proteger la información sensible de las tarjetas de los consumidores.
Conocido como PCI DSS, significa Payment Card Industry Data Security Standard fue implementado desde el 2006 para gestionar, mejorar y proteger la seguridad de los pagos en línea. En nuestro país, cobró carácter de obligatoriedad desde el 2018, de acuerdo con las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito publicadas en el Diario Oficial de la Federación. Su proceso es sencillo, pero se debe realizar de la mano de un aliado tecnológico con probada experiencia en el tema.
El PCI DSS cuenta con el respaldo de instituciones de gobierno y también de grandes compañías de tarjetas de pago (Visa, MasterCard, American Express, Discover y JCB) que lo han impulsado como una medida segura para contrarrestar el robo de datos.
¿Quién debe cumplir con esta normativa?
Todas las entidades implicadas en el procesamiento de tarjetas de pago, además de las que almacenan, procesan o transmiten datos de tarjetahabientes o datos de autenticación confidencial.
¿Cómo implementar este estándar?
1. Primero, debes definir cuál es el nivel de cumplimiento obligatorio de acuerdo por el volumen de transacciones al año y las marcas de pago que manejas. El cumplimiento incluye 4 niveles, denominados L1, L2, L3 y L4.
2. El estándar, para cualquier nivel, solicita 6 dimensiones de cumplimiento:
a. Desarrollar y mantener sistemas y redes seguros
b. Proteger los datos del titular de la tarjeta
c. Mantener un programa de administración de vulnerabilidad
d. Implementar medidas sólidas de control de acceso
e. Supervisar y evaluar las redes con regularidad
f. Mantener una política de seguridad de información.
3. Una vez definido el nivel y análisis de dimensiones, se comienza un sencillo proceso compuesto de 4 pasos:
a. Planear
b. Hacer
c. Verificar
d. Actuar y mejorar
Cada etapa involucra entrevistas al personal, elaboración de planes de trabajo y gestión documental.
¿Qué pasa si no cumples con la normativa?
Podrías hacerte acreedor de una multa y una posible sanción por los organismos reguladores de entidades financieras, incluso, las marcas de pago podrían retirar autorizaciones de operación. De igual forma, al no cumplir con el estándar de seguridad, aumentan considerablemente los riesgos de seguridad, incluyendo robo, fuga o borrado de información.
¿Cómo puedes completar este proceso?
Debido a la importancia de la seguridad de datos y servidores durante el proceso de cumplimiento, las auditorías y certificaciones las realizan entes externos reguladores. El proceso lo puedes realizar internamente o con la ayuda de una consultoría.
Es vital que en el proceso te acerques con una consultora experta que pueda guiarte para conseguir la certificación adecuada y seguir operando con regularidad mientras proteges a tus usuarios. Totalsec el brazo derecho de ciberseguridad de Totalplay Empresarial ofrece estas soluciones a través de sus expertos.
¡Acércate a Totalplay Empresarial y déjate acompañar en el camino! Evita sanciones y multas, pero sobre todo que tu marca quede varada en el trayecto. Te invitamos a que te conectes a nuestro webinar: “Construyendo un entorno seguro: PCI Compliance” el próximo 2 de septiembre a las 11:00 horas. Regístrate aquí:
Webinar: Construyendo un entorno seguro
Contenido patrocinado
RRR