Categorías
Blog

Multas por incumplimiento de PCI DSS: ¡no merece la pena!

Si en tu organización, empresa o negocio tomas datos de la tarjeta de crédito de tus usuarios o clientes, esto te interesa: el hecho de no cumplir con los requisitos que establecen las marcas de pago en el PCI DSS puede acarrearte sanciones económicas muy importantes, aparte de otros problemas serios.

Si bien es cierto que la legislación española es todavía oscura en cuanto a estas cuestiones, las normas de Visa, Mastercard y compañía son claras como el agua. Existe un estándar de seguridad, y si no se cumple, se aplican cuantiosas sanciones. La idea con la que debes quedarte es que sin las medidas de seguridad adecuadas estás expuesto a sufrirlas.

¿Quién es el PCI SSC y qué es el PCI DSS?

Te aclaramos en primer lugar lo esencial sobre quién es quién en este laberinto de la seguridad en los pagos con tarjeta de crédito. El PCI SSC es el Consejo de Estándares de Seguridad para la Industria de Tarjeta de Pago, un consorcio formado en 2006 por las principales marcas de pago del mundo; Visa y Mastercard, por supuesto, pero también American Express, Discover y JCB International.

El PCI DSS, por su parte, es el Estándar de Seguridad de Datos de PCI. Es decir, es el conjunto de normas que debe seguir cualquiera que almacene, procese o transmita datos de un titular de una tarjeta de crédito respaldada por esas entidades. Si usas datos de tarjetas bancarias, revisa tu contrato, porque tú eres uno de ellos.

En principio estas normas afectan a las entidades financieras con las que trabajan los proveedores de servicios de pago con tarjeta (los comercios, por ejemplo). En caso de que se produzca un incumplimiento de las normas, estas entidades bancarias no suelen dudar a la hora de repercutir los costes en tu organización.

El mosaico de la seguridad en el pago con tarjeta

Sabemos que no es fácil orientarse en este pequeño laberinto de compliance lleno de pequeñas (y no tan pequeñas) casuísticas. Así que en primer lugar reunimos para ti las principales ideas al respecto, que deben quedarte muy claras:

  • Aunque haya unos estándares de seguridad comunes, cada marca de pago tiene su propio programa de cumplimiento.
  • Estos programas definen tanto las categorías de los proveedores de servicios y sus requisitos de validación como las condiciones y las cuantías de las sanciones.
  • Existen diferentes sanciones para diferentes categorías, que además varían en función del tipo de norma que se incumpla y de si se considera deliberado.
  • Las sanciones económicas son suelen ser progresivas (es decir, la sanción aumenta a lo largo del tiempo si no se soluciona).
  • Hay otras sanciones no económicas, como la retirada de las TPV o la cancelación de contratos; también se puede incurrir en otros costes generados por la investigación forense.
Marcas de pago

¿De cuánto dinero estamos hablando? El caso de Visa

No podemos decirte exactamente las cantidades, ya que depende de cada marca de pago con la que trabajes y de tu entidad bancaria. Lo ideal para tener una base sólida es partir de la documentación del PCI SSC.

Pero sí queremos que puedas ver algunas tablas reales de las marcas principales. Aquí tienes las tablas de Visa.Recuerda que puedes consultarlas en este documento (secciones 1.12.2.2 y 1.12.2.8).

Y en cuanto a Mastercard…

Las sanciones de Mastercard son mucho más claras, pero igualmente dolorosas.Aquí te las traemos (y puedes consultarlas en este documento de Mastercard, sección 10.3.4).

A modo de conclusión: un par de ejemplos

Supongamos que Visa descubre que no estamos cumpliendo alguna de sus normas centrales (las core rules). Lo primero que hará será enviarnos una carta de advertencia solicitándonos una solución en un plazo. Si no hacemos caso dentro del plazo, la sanción será de 25.000 dólares; si pasan 30 días desde la expiración del plazo la suma asciende a 50.000 dólares, y si superamos los 90 días hablamos de 150.000 y doblándose cada mes.

Supongamos ahora que Visa considera que el incumplimiento es “deliberado”. En este caso, con la carta de advertencia nos llegará una sanción de 50.000 dólares. Imaginemos que la fecha de respuesta expira y, si bien subsanamos el incumplimiento, volvemos a las andadas en menos de un año; en ese caso, hablamos de una sanción entre 100.000 y 1.000.000 de dólares.

De todas maneras, y para tratar de terminar con una nota positiva, estas sanciones dependen de la voluntad de la marca de pago y con frecuencia la marca puede acceder a reducirlas o anularlas, en especial si actuamos con transparencia, celeridad y buena voluntad. Pero, de todas formas, mejor no ponerla a prueba.

La falta de seguridad en el pago con tarjeta sale cara

Todo esto en el supuesto de que no haya una filtración real de los datos de los usuarios con los que trabajas; de ser así, la situación sería mucho más complicada todavía. Se mire por donde se mire, no merece la pena olvidarse de la seguridad.