Cualquier persona que está involucrado en el mercado minorista y / o la hospitalidad probablemente ha escuchado algo sobre el PCI DSS (PCI DSS) y "el cumplimiento de PCI". Sin embargo, confusión que rodea PCI DSS y restos de cumplimiento de PCI. Echemos un vistazo a algunas de las preguntas más comunes sobre ambos.
¿Cuál es el PCI DSS?
Gestionado por la Payment Card Industry Security Standards Council (PCI SSC), PCI DSS es un conjunto de políticas y procedimientos diseñados para maximizar la seguridad de crédito, débito, y las transacciones de tarjetas de efectivo y para proteger a los consumidores contra el uso indebido de su información personal. Show, tarjeta MasterCard, American Express, y Discover creado la norma, que incluye directrices muy concretas para el cumplimiento de PCI, en 2004.
A quién se aplica la norma PCI DSS?
El PCI DSS se aplican a cualquier comerciante o organización que acepta, transmite, y / o tiendas de cualquier titular de la tarjeta. El cumplimiento de PCI no es sólo para los comerciantes que operan en ubicaciones físicas; aquellos que realizan negocios exclusivamente en línea o por teléfono también debe lograrlo.
¿Cuáles son los niveles de cumplimiento de PCI, y cómo se determinan?
En el marco del PCI DSS, comerciantes se clasifican por niveles en función de su volumen de transacciones Visa (crédito, débito, y prepago) durante un período de 12 meses. Los comerciantes en cada nivel deben cumplir con los estándares de ese nivel con el fin de lograr el cumplimiento de PCI.
Nivel Mercante 1: Todo comerciante que procesa más de seis millones de transacciones de Visa al año. También se incluyen en esta categoría es cualquier comercio que Visa, a su sola discreción, determina deben cumplir Nivel 1 requisitos para reducir al mínimo el riesgo para el sistema Visa. "Canal de aceptación" (p.ej., en el almacén, línea) no influye aquí.
Nivel Mercante 2: Cualquier comerciante cuyo volumen de transacciones Visa oscila un millones hasta seis millones de transacciones por año. De nuevo, canal de aceptación no se aplica.
Nivel Mercante 3: Todo comerciante con una Visa de comercio electrónico volumen anual de transacciones de 20,000 a un millón.
Nivel Mercante 4: Todo tratamiento comerciante menos de 20,000 Visa transacciones de comercio electrónico por año. Este nivel también abarca todos los otros comerciantes que procesan hasta un millón de transacciones de Visa al año, independientemente del canal de aceptación en el que operan.
Una advertencia importante a recordar aquí: Los comerciantes que sostener una violación de datos puede, si los resultados de incidentes en un compromiso de la cuenta de datos, ser escalado hasta el siguiente nivel de cumplimiento.
¿Cómo satisfacer los requisitos de PCI DSS?
Hay seis requisitos principales.
Construir y mantener una red segura. Esto significa la instalación y el mantenimiento de un servidor de seguridad para proteger los datos de titulares de tarjetas, así como evitar el uso de valores predeterminados que ofrece el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
Proteja los datos de titulares de tarjetas. Salvaguardar la información de titulares de tarjetas almacenados y el cifrado de datos de titulares de tarjetas cuando es que se transmita a través de redes públicas abiertas es esencial.
Mantener un programa de gestión de vulnerabilidades. Prácticas de gestión de vulnerabilidad incluyen usar y actualizar regularmente el software anti-virus, así como el desarrollo y mantenimiento de sistemas y aplicaciones seguras.
Implementar fuertes medidas de control de acceso. Para este aspecto de cumplimiento de PCI, restringir el acceso a los datos de titulares de tarjetas en función de si los empleados tienen que ver con el fin de cumplir con sus responsabilidades de trabajo. Cada individuo con acceso a una computadora se debe asignar un único ID, y el acceso físico a los datos del tarjetahabiente debe restringirse.
Regularmente controlar y redes de prueba. El acceso a los recursos de red y datos de titulares de tarjetas necesita ser rastreado y probado en un horario establecido. Haga lo mismo con los sistemas y procesos de seguridad.
Mantener una política de seguridad de la información.
¿Cuáles son las sanciones por incumplimiento de la norma?
Todo el pago marcas-es decir., Show, tarjeta MasterCard, American Express, y Discover-tiene el derecho de imponer multas a los bancos adquirentes de violaciónes de cumplimiento de PCI. Estas multas, que van desde $500 a $5,000 mensual, normalmente se transmiten a los comerciantes.
Además de multar a los comerciantes que no se adhieren a la norma PCI DSS, bancos con frecuencia terminan su relación con el cliente en cuestión o, por lo menos, elevar sus tasas de transacción. Aunque estas sanciones no son ampliamente discutidos o publicidad, que pueden significar la ruina para los pequeños comerciantes. Es por eso que es una buena idea revisar cuidadosamente su contrato de comerciante, que le puede dar una idea de qué esperar en caso de tener un problema con el cumplimiento de PCI.
A primera vista, PCI DSS puede parecer complicado. Pero armado con respuestas a las preguntas anteriores, usted estará bien-set para tomar las medidas necesarias para lograr el cumplimiento de PCI.