Si tu negocio incluye canales de comunicación telefónicos con tus clientes, esto te interesa; y si tienes implementados sistemas de pago telefónico con tarjeta, ¡más todavía! El titular es el siguiente: el estándar PCI DSS transiciona definitivamente de la versión 3.2.1 a la versión 4.0, y el 31 de marzo de 2024 es la fecha límite.
¿Qué significa eso? Te lo explicamos a continuación con más detalle, pero la idea principal es esta: los pagos telefónicos seguros mediante tarjeta de crédito que no cumplan con este estándar de seguridad se enfrentan a importantes dificultades en forma de penalizaciones económicas y riesgos de seguridad críticos.
¿Qué es el estándar PCI DSS 4.0 y por qué es tan importante?
En las transacciones que en jerga técnica llamamos MO/FO, la ausencia física del titular de la tarjeta de crédito hace que la industria de pago con tarjeta (el consorcio PCI) plantee exigentes requisitos de seguridad para respaldar esta modalidad de pago y aplicar unas condiciones económicas aceptables a las empresas.
El summum de esos requisitos es el estándar de seguridad PCI DSS. Es la mejor garantía para evitar un tratamiento inadecuado de datos (dar nuestros datos verbalmente al operador humano que gestiona la transacción), pérdidas y disputas (los temidos repudios y contracargos) y minimizar los riesgos de comportamientos fraudulentos (suplantación de identidad, robo de datos, etc).
Como cabe esperar, dicho estándar evoluciona y se actualiza con los tiempos. Y ha llegado el “momento de la verdad”: la gran transición de la versión 3.2.1 a la versión 4.0. Es decir, que las empresas deben adaptarse para cumplir con los nuevos requisitos de seguridad que conforman dicho estándar, y deben hacerlo ya.
Más detalles, por favor…
El cambio de versión se produce tras un periodo de transición de dos años del que ya entonces dejamos aviso en nuestro blog. El fin de este periodo implica que los requisitos antiguos dejan de estar vigentes y los nuevos pasan a ser de cumplimiento obligatorio. De manera inmediata, afectan a cuestiones de encriptado y almacenamiento de datos sensibles, autenticación multifactor (MFA) y privilegios de acceso.
La lista de requisitos, con aspectos tanto técnicos como de “buenas prácticas”, es larga. De forma muy resumida, se trata de:
- Encriptado de datos sensibles de autenticación.
- Protección de PAN en empresas con tecnologías de acceso remoto.
- Implementación de sistemas anti-phishing automatizados.
- Instalación de firewall para cualquier aplicación web pública.
- Registro de todos los scripts legítimos utilizados en sitios web.
- Documentación de certificados SSL y TLS.
- Revisión semestral de permisos y privilegios de acceso.
- Implementación de MFA en caso de acceso a datos de tarjetas.
- Cambio anual de contraseñas en aplicaciones de pago.
- Fortalecimiento de contraseñas.
- Monitorización de la actividad de colaboradores externos y terceros.
La buena noticia es que no todos los requisitos de seguridad del DSS 4.0 entran en vigor de manera inmediata. Las empresas tienen un año más de plazo (hasta el 31 de marzo de 2025) para implementar el resto de requisitos en sus marcos de seguridad y sus operaciones con tarjeta de crédito. Lo que no significa que las repercusiones negativas no empiecen a hacerse sentir desde ahora…
¿Cómo contribuye PayByCall a la solución?
Como partner especializado en seguridad en los pagos telefónicos con tarjeta de crédito, PayByCall ofrece a sus clientes los recursos tecnológicos necesarios para garantizar la seguridad de sus transacciones, cumplir con los requerimientos normativos y una amplia gama de utilidades para optimizar la experiencia de cliente de los usuarios de tarjeta con los que realicen operaciones.
Nuestras soluciones, basadas en tecnología IVR, están alineadas con los requisitos del estándar PCI DSS 4.0 y se actualizan de manera constante. Así, nuestros clientes pueden seguir operando en la modalidad de cobro con tarjeta por teléfono con la mayor fluidez y con la seguridad de saber que están cubiertos en cuanto a los criterios que impone la industria del pago con tarjeta.
