PCI DSS son las siglas en inglés de uno de los estándares más importantes del mundo en lo que al comercio electrónico respecta, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago.
Administrado por el PCI Security Standards Council (PCI SSC) y fundado allá por 2006 por MasterCard, Discover, Amex, Visa y JCB International, los cinco proveedores más importantes del mundo de tarjetas de crédito, este estándar tiene el objetivo de garantizar que cualquier empresa que almacene, procese o transmita datos de titulares de tarjetas cumpla con las rigurosas medidas de seguridad requeridas.
Y es que aunque la ley no obliga a obtener una certificación PCI DSS, en la normativa bancaria sí se contemplan elevadas penalizaciones para los casos en que cualquier empresa u organización incumpla las medidas que se contemplan en este estándar y se produzca una infracción que tenga como consecuencia una pérdida o robo de datos de usuarios. Adicionalmente a las penalizacioness, algún caso conocido ya de 300.000 euros, el banco está obligado a retirarle todos los TPVs a la empresa u organismo desde donde se ha originado el robo de datos, y por tanto, favorecido la comisión del fraude en cuestión.
No resulta demasiado coherente, pero de dicha regulación se entiende que las autoridades presumen que cualquier empresa debe ser lo suficientemente responsable con el tratamiento de los datos de las tarjetas de sus usuarios como para que no sea necesario obligar por ley a cumplir con las medidas contempladas en el estándar PCI DSS, aunque sí resulte indispensable hacerlo por tres razones:
- Porque adoptando las medidas que contiene el estándar PCI DSS cualquier empresa evitará las cuantiosas multas como consecuencia de cualquier tipo de infracción de los datos de tarjetas de pago que maneja y no verá discontinuada la posibilidad de seguir cobrando con tarjeta de crédito.
- Porque los usuarios valorarán positivamente que la empresa goce de una certificación PCI DSS, un factor que puede marcar la diferencia en un mercado altamente competitivo.
- Porque cada vez más empresas deciden confiar solamente en proveedores, colaboradores o clientes que dispongan de una certificación PCI DSS con el objetivo de depurar al máximo sus conexiones y evitar posibles responsabilidades.
- Cuando se “roba” el dato de una tarjeta bancaria en el seno de las operaciones comerciales de una determinada empresa, no solo se está incumpliendo la normativa PCI DSS sino que podría tener graves consecuencias también derivadas de las normas de seguridad que obliga la Ley Orgánica de Protección de Datos (LOPD).
¿Cómo se obtiene la certificación PCI DSS?
En el sitio web de PCI Council y la Guía de referencia rápida del PCI Council puede encontrarse bastante información sobre el cumplimiento del PCI DSS. Posteriormente, y en relación a los requisitos de cumplimiento que se aplican a su empresa en concreto, el PCI Council deriva a los comerciantes a que verifiquen directamente estos requisitos con las marcas de tarjetas.
¿Cuáles son los requisitos del PCI DSS?
Debido a que el PCI DSS es un estándar de seguridad especialmente completo, está compuesto por 12 requisitos generales que han sido diseñados con el objetivo de:
- Construir y mantener una red segura
- Implementar fuertes medidas de control de acceso
- Proteger los datos de los titulares de tarjetas de pago
- Monitorizar y probar regularmente las redes
- Garantizar el mantenimiento del software de gestión de vulnerabilidades
- Asegurar el mantenimiento de las políticas de seguridad de la información
En la práctica, y por obvias razones, su empresa requerirá de un equipo de profesionales especializado en procedimientos y políticas de gestión de seguridad, arquitectura de red, diseño de software y otras medidas de protección asociadas.
¿Cómo puede ayudarle PAYbyCALL a conseguir la certificación PCI DSS para su empresa?
PAYbyCALL es una solución de cobro por tarjeta de crédito que permite a cualquier comerciante capturar, gestionar y transmitir los datos de las tarjetas de sus clientes cumpliendo con todas las medidas que recomienda adoptar el estándar PCI DSS.
Gracias a que el sistema automatizado de PAYbyCALL es el encargado de efectuar el cobro por tarjeta sin necesidad de registrar ni almacenar los datos de la tarjeta del cliente, su empresa no resultará responsable en ningún caso de una potencial pérdida o robo de datos de la tarjeta de sus usuarios, ya que en ningún momento los ha capturado ni gestionado.
Descubra cómo podemos ayudarle. Contacte con nuestro equipo y le asesoraremos en torno a cualquier cuestión que pudiera tener, sin compromiso.