PCI DSS – Qué es? Debo certificarme? (Parte 1 de 3)

Publicado en: febrero 23, 2015 por

Una de las preguntas más comunes que nos encontramos en los proyectos de comercio electrónico está relacionada con una sigla que, a primera instancia asusta: PCI DSS. (qué???)

PCI DSS

Cuando te acercas a alguna de las empresas adquirientes locales (CardNet Dominicana, VisaNet Dominicana) para solicitar el servicio de «pagos en línea», el ejecutivo comercial que te asignan te manda una larga lista de requisitos y condiciones, y además te pudiera decir que «debes estar certificado PCI DSS» para poder implementar tu negocio en línea.  Cualquiera sale corriendo!!!

En este post de varias entregas te  explicaré  con detalle qué es la norma PCI DSS, cómo se aborda, cómo saber si te aplica y qué debes hacer para alcanzar el cumplimiento de los requisitos de dicha norma (en caso de que te toque hacerlo).

Estos son los temas que estaremos compartiendo a lo largo de los diferentes posts sobre

  1. Qué es PCI DSS?
  2. Cuáles son los requisitos de la norma PCI DSS?
  3. Por qué debe preocuparme la seguridad en mi sitio web?
  4. Qué es “información sensible”?
  5. Cómo sé si mi empresa o sitio web debe certificarse?

Y entonces…

1. Qué es PCI DSS?

Haciendo un poco de historia, a finales de los años 50,  cuando surge la tarjeta de crédito tal y como la conocemos hoy en día, cada una de las marcas (Visa, MasterCard, American Express, Diners Club, etc.) desarrolla sus propias normas de seguridad de la información. La existencia de tantas normas de seguridad llegó a convertirse en un dolor de cabeza para los participantes de la industria (fabricantes de cajeros automáticos y dispositivos lectores de banda magnética o chip, entidades bancarias, procesadores de tarjetas de crédito, desarrolladores de software, pasarelas de pago, etc.) pues cada uno debía integrar las normas de cada marca para así garantizar la seguridad de la información manipulada y poder hacer negocios con cada marca.

A finales del año 2004, las marcas Visa, MasterCard, American Express, Diners Club, JCB, Discover, se ponen de acuerdo para unificar sus normas de seguridad buscando establecer un estándar global. Esta iniciativa da como resultado la creación del Consejo para el Estándar de Seguridad de la Industria de las Tarjetas de Pago (Payment Card Industry Security Standards Council – PCI SSC), entidad de la cual surge el primer estándar internacional para la protección de los datos de los tarjetahabientes al que denominaron Payment Card Industry Data Security Standard o PCI DSS.

Desde año 2004 al día de hoy se han creado nuevas versiones y actualizaciones de la norma, además de otras normas complementarias, lo que ha permitido el surgimiento de una nueva industria de servicios, soluciones de seguridad informática y consultoría especializada, siendo el PCI SSC la entidad encargada a nivel global de regular, entrenar y certificar a todas las empresas y profesionales que asesoran a otras empresas que deben certificar el cumplimiento de la norma PCI DSS.


2. Cuáles son los requisitos de la norma PCI DSS?

La norma PCI DSS consta de 12 requisitos generales que tu empresa, tu plataforma tecnológica o tu suplidor de tecnología, eventualmente debe cumplir:

requisitos de PCI DSS
12 requisitos de cumplimiento de la norma PCI DSS

 

(Sigues aquí???  Espero que sí!)

Estos doce requisitos tienen, cada uno, su complejidad por lo que recibir la certificación de cumplimiento o PCI DSS Compliant puede ser un proceso largo y bastante costoso. Sin embargo, la buena noticia es que si aplicas buenas prácticas de seguridad y descansas el cumplimiento de PCI DSS en un suplidor externo especializado, tu tienda en línea no tendrá que incurrir en gastos adicionales ni será necesario certificar el cumplimiento.


3. Por qué debe preocuparme la seguridad en mi sitio web?

Los clientes de tu sitio web se preocupan por la seguridad de su información sensible, por lo que también tú debes preocuparte por tus clientes.

Los hackers tienen en la mira a cualquier comercio que se exponga, y las tiendas en línea pequeñas son las más propensas a ataques debido a la falta de medidas de seguridad en el manejo de la información sensible de los clientes.

Un ataque externo puede causarle a tu negocio:

  • Multas y penalidades
  • Terminación de contratos de afiliación con autorizadores
  • Pérdida de confianza por parte de los clientes
  • Pérdida de ventas
  • Costos de implementar nuevos medios de pago
  • Costos legales en eventuales demandas
  • Pérdidas económicas por fraudes
  • Costos de implementación de nuevas medidas de seguridad
  • En el peor de los casos, salir del mercado y cerrar el negocio

 

Según la organización Privacy Rights, más de 815 millones de registros que contienen información sensible de tarjetas de crédito, se han visto comprometidos en fallas de seguridad desde el año 2005 hasta la fecha. Estas fallas se han dado en puntos de venta en comercios, estaciones de combustible, entidades financieras, contact centers, entidades gubernamentales, entre otras.


 Qué buscan los delincuentes?

Normalmente, los hackers buscan obtener la información sensible de las tarjetas de crédito que has aceptado en tu sitio web. Con el número de la tarjeta, la fecha y el CV2 o código de seguridad, un delincuente puede clonar o duplicar las tarjetas y venderlas a buen precio en el mercado negro o usarlas para comprar en establecimientos o sitios web.

La información sensible de la tarjeta de crédito puede obtenerse de:

  • Lectores físicos de tarjetas de crédito (verifones) comprometidos o intervenidos por hackers.
  • Números de tarjeta escritos en papel o digitados o en hojas de Excel
  • Números de tarjeta almacenados en bases de datos
  • Números de tarjeta capturados por cámaras ocultas
  • Redes inalámbricas o redes alámbricas intervenidas por hackers

 

Qué es “información sensible”?

Todo lo que ves señalado con la flecha roja es información sensible del tarjetahabiente. Cualquier dato de la parte trasera de la tarjeta nunca deberá almacenarse. Todo lo demás que se almacene debe tener un motivo específico para almacenarse (cobros recurrentes, suscripciones, donaciones recurrentes, etc.) y esa información debe protegerse. La norma PCI DSS te ayuda a hacerlo.

tarjeta
Información sensible de la tarjeta de crédito

En la siguiente entrada analizaremos los factores que indican si tu empresa o sitio web debe certificarse PCI DSS.

Seguimos!


 

Ya te suscribiste al newsletter de eCommerce.com.do?  Qué esperas?  Semanalmente te estaremos actualizando sobre noticias y nuevos artículos. 

Etiquetas: , , , , ,

Dinos qué piensas