El término PCI Compliance proviene de su nombre en inglés Payment Card Industry Compliance y se utiliza para mencionar a todas las normas que se deben seguir para garantizar la protección de datos de las tarjetas de crédito al momento de usarlas. Si eres una compañía que quiere habilitar una pasarela de pago en su tienda online, es necesario que exijas a la empresa que contrates que cumpla con estas regulaciones. Caso contrario, las marcas más conocidas de tarjeta de crédito pueden denegarte el procesamiento de pagos afectando a tu negocio considerablemente.

Cada vez que quieras implementar diversos medios de pagos con tarjeta, debes tomar en cuenta estas normas ya que es una obligación cumplirlas para asegurar el funcionamiento correcto de la pasarela. De lo contrario, perjudicas a tus clientes y a ti mismo.

Requisitos del PCI Compliance

En total, son 12 requisitos PCI DSS, los hemos dividido en 6 secciones de acuerdo a los objetivos de cada uno:

Qué es PCI Compliance

Elaborar y mantener una red segura

Nuestros esfuerzos deben enfocarse en proteger nuestra red. Debemos proporcionar un entorno seguro ya que los datos de la tarjeta estarán expuestos aquí. Para conseguirlo, tenemos que escoger una buena empresa que se encargue del hosting, que tenga una buena reputación y nos aseguren la protección de nuestro sitio.

Asimismo, requerimos de un firewall bien configurado en todos los ordenadores que formen parte de nuestro sistema. La ciberdefensa es importante y cualquier punto de acceso que hacia la información personal de nuestros clientes no debe estar desprotegido.

Esta sección se resume en dos requisitos:

Requisito 1: Implementar un firewall que proteja los datos de las tarjetas.
Requisito 2: Establecer nuevas contraseñas del sistema y no utilizar las que vienen por defecto de parte del proveedor.

Qué es PCI Compliance

Protección de datos de la tarjeta del cliente

Como el nombre lo dice, esta es la parte donde nos preocupamos por proteger los datos de la tarjeta de crédito del titular. Para conseguirlo, lo primero que debemos tener claro es que no cualquiera puede tener acceso a esta información. Para poder visualizarla, se requieren de permisos especiales que solo el dueño puede poseer. Nosotros, como empresa que brinda seguridad a sus clientes, debe cifrar los datos de tal forma que sea imposible que sean robados y descifrados.

Los dos requisitos que corresponden a esta sección son los siguientes:

Requisito 3: Proteger los datos de los titulares de tarjetas almacenados en el sistema.
Requisito 4: Tener los datos cifrados y mantener confidencial la información transmitida a través de redes públicas.

Qué es PCI Compliance

Contar con un programa de gestión de vulnerabilidades

Mantener el sistema operativo actualizado es una recomendación para todo tipo de usuario, pero se vuelve algo primordial si estamos tratando con información tan delicada como los datos de una tarjeta de crédito. Con las actualizaciones, prevenimos cualquier vulnerabilidad que se presente. Es una de las normas de PCI Compliance que se debe seguir ya que anticipa cualquier falla que pueda presentar el sistema.

Los dos requisitos que incluye esta sección son los siguientes:

Requisito 5: Usar frecuentemente el antivirus y mantenerlo actualizado.
Requisito 6: Elaborar y mantener sistemas y aplicaciones completamente seguras.

Qué es PCI Compliance

Contar con medidas sólidas para controlar el acceso

Toda la información debe estar cifrada de tal forma que solo una persona con todos los permisos pertinentes puedan acceder a ella. Las normas de PCI DSS deben establecer unas medidas que se encarguen (de manera automática) que solo las personas autorizadas puedan ingresar al sistema para conocer estos datos.

Esta sección se resume en estos tres requisitos:

Requisito 7: Restringir el acceso a los datos de los titulares y limitar la información de acuerdo a lo que necesitan conocer los negocios.
Requisito 8: Asignar una identificación única a cada usuario que tenga acceso a una computadora.
Requisito 9: Restringir el acceso físico a los datos de las tarjetas.

Qué es PCI Compliance

Monitorizar y probar frecuentemente todas las redes

Podría decirse que esta parte trata sobre la vigilancia de las redes. En ellas es donde viaja la información y debemos mantenerla protegida para que no exista algún fallo que vulnere nuestra seguridad. Realizar pruebas frecuentes como un test de penetración es lo más recomendable para encontrar pequeñas fallas y elaborar mejores estrategias para defendernos de posibles ataques.

Los requisitos que pertenecen a esta categoría son:

Requisito 10: Rastrear y monitorizar el acceso a los recursos de la red, además de los datos de cada propietario de tarjetas.
Requisito 11: Realizar pruebas frecuentes de los sistemas y todos los procesos de seguridad.

Qué es PCI Compliance

Contar con una política de seguridad de la información

Ya para finalizar, debemos contar con un equipo que conozca las políticas de seguridad y las medidas que se tomarán si es que existe algún problema en el sistema. Establecer estas políticas y asegurarnos de que cada integrante de la empresa la conozca es nuestra obligación para garantizar la protección de los datos de nuestros clientes.

El último requisito para esta sección es:

Requisito 12: Mantener una política que contemple la seguridad de la información.

Eligiendo un empresa que se encargue del PCI Compliance

Ahora que te hemos brindado toda la información que necesitas saber respecto a las normas y requisitos que debe cumplir una empresa al implementar una pasarela de pagos, ya tienes una idea sobre qué preguntar al momento de consultar por este servicio. Sin embargo, algunos pequeños consejos al respecto son:

Comprobar la calidad de servicio brindado por dicha empresa. Puedes hacerlo mediante el portafolio de clientes que maneje o la claridad de información que entregue.
Una empresa que se preocupe por crear un sistema sólido. Algunas empresas se concentran implementar la pasarela, mas no ofrecen servicios para comprobar la vulnerabilidad de la empresa y garantizar que sus sistemas son seguros. Una empresa que cuente con este servicio puede entregar más beneficios a nuestro negocio.

Para saber más sobre el PCI Compliance e implementar una pasarela de pagos en tu e-commerce, puedes comunicarte con nosotros para entregarte soluciones que puedas aplicar en poco tiempo para que tu negocio siga creciendo.