PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) es un estándar de seguridad creado por las cinco grandes redes de tarjetas (Visa, Mastercard, AMEX, Discover, JCB). Define requisitos obligatorios para todas las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito.
El estándar abarca 12 requisitos principales en seis áreas: seguridad de red, protección de datos, gestión de vulnerabilidades, control de acceso, supervisión y políticas de seguridad. El cumplimiento se demuestra mediante auditorías anuales o cuestionarios de autoevaluación (SAQ).
Para la mayoría de los Comerciantes online, el uso de un PSP con certificación PCI DSS reduce considerablemente tu propio esfuerzo de cumplimiento: si los datos de la tarjeta se procesan a través de un Checkout alojado o un formulario de pago tokenizado, los datos confidenciales nunca tocan directamente el sistema del Comerciante.
Ejemplos de PCI DSS
Una tienda online utiliza el Checkout alojado de su PSP. Los datos de la tarjeta nunca se almacenan en el servidor de la tienda; el esfuerzo de conformidad con PCI-DSS es mínimo.
Un gran minorista procesa los datos de las tarjetas en su propio sistema y debe superar anualmente una auditoría PCI-DSS realizada por un Qualified Security Assessor (QSA).
Un PSP tokeniza los datos de las tarjetas: en lugar del número de tarjeta real, se almacena un token que no tiene valor para los estafadores.
FAQ sobre PCI DSS
¿Qué es PCI DSS?
PCI DSS es el estándar de seguridad de la industria de tarjetas de pago. Define los requisitos para todas las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito, para proteger contra la pérdida de datos y el fraude.
¿Debo cumplir con PCI DSS como comerciante?
Sí, en principio, cualquier empresa que acepte pagos con tarjeta debe cumplir con PCI DSS. Sin embargo, para la mayoría de los comerciantes en línea, el esfuerzo se reduce drásticamente si utilizan un PSP certificado por PCI DSS con hosted checkout.
¿Qué es la tokenización en el contexto de PCI DSS?
La tokenización sustituye el número de tarjeta real por un token: un valor aleatorio que no tiene valor para los estafadores. El token se puede utilizar para transacciones posteriores sin tener que guardar los datos reales de la tarjeta.
¿Qué pasa si incumples la normativa PCI-DSS?
Las infracciones pueden dar lugar a multas de las redes de tarjetas, a un aumento de las tarifas de transacción, a la pérdida de la aceptación de tarjetas y, en el peor de los casos, a reclamaciones de responsabilidad en caso de pérdida de datos.
