PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) es un estándar de seguridad para la protección de datos de tarjetas de crédito que deben cumplir todas las empresas que procesen, almacenen o transmitan datos de tarjetas.
PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) es un estándar de seguridad creado por las cinco principales redes de tarjetas (Visa, Mastercard, AMEX, Discover, JCB). Define requisitos obligatorios para todas las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito.
El estándar incluye 12 requisitos principales en seis áreas: seguridad de red, protección de datos, gestión de vulnerabilidades, control de acceso, supervisión y políticas de seguridad. El cumplimiento se demuestra mediante auditorías anuales o cuestionarios de autoevaluación (SAQ).
Para la mayoría de los Comerciantes en línea, el uso de un PSP certificado por el PCI DSS reduce significativamente su propio esfuerzo de cumplimiento: si los datos de la tarjeta se procesan a través de una pasarela de pago alojada o un formulario de pago tokenizado, los datos sensibles nunca tocan directamente el sistema del Comerciante.
Ejemplos de PCI DSS
Una tienda online utiliza el Hosted Checkout de su PSP. Los datos de la tarjeta nunca se almacenan en el servidor de la tienda; el esfuerzo de cumplimiento de PCI-DSS es mínimo.
Un gran minorista procesa los datos de las tarjetas en su propio sistema y debe superar anualmente una auditoría PCI-DSS realizada por un Qualified Security Assessor (QSA).
Un PSP tokeniza los datos de las tarjetas: en lugar del número de tarjeta real, se almacena un token que no tiene valor para los estafadores.
Preguntas frecuentes sobre PCI DSS
¿Qué es PCI DSS?
PCI DSS es el estándar de seguridad de la industria de las tarjetas de crédito. Define los requisitos para todas las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito, para proteger contra la pérdida de datos y el fraude.
¿Debes cumplir con PCI DSS como comerciante?
Sí, en principio, cualquier empresa que acepte pagos con tarjeta debe cumplir con PCI DSS. Sin embargo, para la mayoría de los comerciantes online, el esfuerzo se reduce significativamente si utilizan un PSP certificado por PCI DSS con Hosted Checkout.
¿Qué es la tokenización en el contexto de PCI DSS?
La tokenización sustituye el número de tarjeta real por un token: un valor aleatorio que no tiene valor para los estafadores. El token se puede utilizar para transacciones posteriores sin tener que almacenar los datos reales de la tarjeta.
¿Qué pasa si incumples la normativa PCI-DSS?
Las infracciones pueden dar lugar a multas de las redes de tarjetas, a un aumento de las tarifas de transacción, a la pérdida de la aceptación de tarjetas y, en el peor de los casos, a reclamaciones de responsabilidad en caso de pérdida de datos.
