Estándar PCI DSS para pagos seguros con tarjeta

Todos los sitios web de comercio electrónico deben seguir los requisitos descritos por los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).

Estos requisitos se rigen por las principales compañías de tarjetas de crédito para garantizar la transmisión, el almacenamiento y el manejo seguros de la información del titular de la tarjeta.

Los clientes de tu tienda online dependen de ti para proteger sus datos.

Esta guía explicará los objetivos y requisitos del cumplimiento de PCI DSS, las mejores prácticas para proteger los sitios web de comercio electrónico y las tácticas para combatir las amenazas contra los e-commerce.

¿Qué es el estándar PCI DSS?

Los estándares de seguridad de datos PCI (PCI DSS) incluyen prácticas generales, como restringir la información del titular de la tarjeta y la necesidad de crear contraseñas seguras y no predeterminadas, así como prácticas más detalladas como el cifrado y el uso de un firewall.

El PCI Security Standards Council es una organización global formada por las principales compañías de tarjetas de crédito, incluidas Visa, Mastercard, Discover y American Express.

Si tienes un sitio de comercio electrónico, el cumplimiento de PCI es obligatorio. No está dictado por el volumen de transacciones ni está restringido únicamente al almacenamiento, transmisión y procesamiento. Se aplica a cualquier negocio que permita pagos con tarjeta de crédito.

Con PCI, se pretende reducir la superficie de ataque. Para un sitio de comercio electrónico, esto implica específicamente el entorno de datos de tarjeta (CDE), la forma en que maneja las tarjetas de crédito en su sitio.

Incluso si aprovecha los servicios de terceros como Stripe, Recurly, PayPal u otra opción de pago seguro, tiene la obligación de seguir los requisitos establecidos por PCI DSS.

Los pequeños comerciantes no están excluidos de estos requisitos. Los sitios web de comercio electrónico desprotegidos son objetivos principales para los ladrones de datos.

Si se roban datos confidenciales del cliente o información del titular de la tarjeta de un sitio web del que usted es responsable, podría incurrir en multas, multas importantes e incluso perder la capacidad de aceptar tarjetas de pago.

Antecedentes al PCI-DSS. Los anteriores códigos de seguridad

Cuando la industria de las tarjetas de crédito se mudó al espacio digital, rápidamente se dio cuenta de la necesidad de protegerse del fraude digital. Los comerciantes y los responsables de manejar los datos necesarios debían protegerlos de la misma manera que protegerían la moneda física.

Entonces, como ahora, faltaba experiencia en ciberseguridad. Quienes manejaban tarjetas de crédito sabían que tenían que proteger los datos, pero no necesariamente sabían cómo hacerlo.

Las principales compañías de tarjetas de crédito tenían un interés personal en ayudar a las compañías a proteger los datos, por lo que cada una desarrolló sus propios estándares de seguridad.

Al principio, las compañías de tarjetas de crédito crearon sus propios programas internos de seguridad de la información. La introducción de un requisito centralizado ayudó a unir estos programas dispares bajo un mismo paraguas. La versión 1.0 se introdujo por primera vez en 2004.

Su versión actual, 3.2.1, se lanzó en 2018. El PCI Security Standards Council, fundado en 2006, ahora es una organización global con un amplio alcance sobre cómo se hacen los negocios en la era digital. Además de ayudar a que los datos de los titulares de tarjetas permanezcan en las manos correctas, PCI también ayuda a los emisores de tarjetas y a los bancos a limitar su responsabilidad en caso de que un comerciante sufra pérdidas por un incumplimiento.

Antes de introducirse PCI DSS, cada entidad de tarjetas de pago tenía su propio código de seguridad.

DSOP

Data Security Operating Policy (DSOP) es el código de seguridad establecido por American Express. Esta compañía establecía que mantener segura la información de los usuarios de las tarjetas es una parte importante del acuerdo al aceptar tarjetas American Express.

Los datos comprometidos tienen un impacto negativo en todos los involucrados, pero con esa política de seguridad se minimizará esta amenaza y se mantendrá la confianza del cliente.

La protección de datos puede ayudar a:

  • Mejorar las relaciones con los clientes
  • Incrementar la rentabilidad general
  • Prevenir el daño a la reputación del negocio.

DISC

Discover Information Security Compliance (DISC) es el código de seguridad establecido por la empresa Discover.

Mantener la seguridad de sus datos de transacción es de suma importancia. Es por eso que todos los comerciantes, adquirentes, revendedores y proveedores de servicios que procesan, almacenan o transmiten datos de titulares de tarjetas en la red Discover debían cumplir con este código.

El programa Discover Information Security & Compliance (DISC) ayuda a promover el cumplimiento y cumplir con los estándares de seguridad de la Industria de tarjetas de pago (PCI), lo que ayuda a proteger los datos de los titulares de tarjetas y limitar los compromisos de datos.

DSP

Data Security Program (DSP) es el programa de seguridad creado por JCB International para garantizar la seguridad de las transacciones realizadas con sus tarjetas de pago.

SDP

Site Data Protection (SDP) es el código de seguridad creado por Mastercard para proteger, tanto a usuarios como a comerciantes, de usos ilegales y fraudes a través de sus tarjetas de crédito.

CISP

El programa de seguridad para los pagos a través de tarjetas Visa USA se denominó Cardholder Information Security Program (CISP). Con él se pretende igualmente proteger los datos en transacciones realizadas mediante tarjetas de crédito.

AIS

Account Information Security Program (AIS) es el código de seguridad para pagos a través de tarjeta elaborado por Visa International.

¿Quién debe cumplirlo?

En general, las compañías de tarjetas de crédito requieren el cumplimiento de PCI para asegurar las transacciones en línea y protegerlas contra el robo de identidad. Cualquier comerciante que desee procesar, almacenar o transmitir datos de tarjetas de crédito debe cumplir con PCI, de acuerdo con el PCI Compliance Security Standard Council.

Importancia del cumplimiento de PCI DSS

La confianza es la clave de los negocios en línea. Si ocurre un incidente de seguridad, puede causar estragos en el tráfico, los ingresos y la reputación de la marca.

Las compras online están creciendo en popularidad, y los sitios web de comercio electrónico son objetivos para los ciberdelincuentes que buscan robar datos confidenciales de clientes e información de tarjetas de crédito.

Con scripts automáticos, los hackers pueden encontrar sitios web con una tienda online, buscar vulnerabilidades y obtener acceso no autorizado.

Las pequeñas tiendas web con pocas ventas no están exentas: los delincuentes son oportunistas y se centrarán en cualquier sitio web accesible o recursos del servidor. A menudo es más fácil hackear miles de pequeños sitios web de comercio electrónico que piratear una gran empresa online.

Las tiendas online son susceptibles a una serie de riesgos y amenazas:

  • Los ladrones de tarjetas de crédito ponen a sus clientes en riesgo de robo de identidad o fraude de tarjetas de crédito.
  • El secuestro provoca la pérdida de ventas cuando los clientes son redirigidos a un carrito de compras falso.
  • El contenido inyectado del sitio web puede propagar spam, malware y publicidad maliciosa.
  • Los recursos del servidor pueden ser robados y utilizados en campañas de malware, ataques DDoS , etc.
  • Los sitios pirateados pueden ser bloqueados por motores de búsqueda, programas antivirus y navegadores.

Debido a que siempre habrá algún nivel de riesgo, la seguridad es un proceso continuo. Una estrategia de seguridad de comercio electrónico adecuada requiere evaluación y diligencia frecuentes.

Pasos para adaptarse al PCI DSS

Los requisitos se dividen en múltiples requisitos secundarios y cientos de acciones. A primera vista, cumplir con todos estos requisitos puede parecer una tarea desalentadora para un propietario de un sitio web pequeño.

Explicamos cada requisito de PCI en términos prácticos para pequeñas y medianas empresas con infraestructura limitada (es decir, un pequeño número de servidores, aprovechando servidores basados ​​en la nube y proveedores externos para el procesamiento de pagos).

1. Construir y mantener una red segura

Este primer requisito se relaciona directamente con la seguridad y la documentación de tu red. Dependiendo de tu nivel de habilidad, puedes hacerlo tú mismo o encontrar un proveedor de servicios asequible que pueda ayudarte.

Si estás pasando por el proceso de evaluación de PCI, te recomendamos que sigas estos pasos:

  1. Identifica tu entorno de datos de tarjeta (CDE). Si alojas tu sitio web internamente y manejas los datos del titular de la tarjeta, es probable que tu red local forme parte del CDE.
  2. Escribe un documento de «Proceso de firewall» que enumere todos tus servidores, su propósito, quién tiene acceso a ellos, qué es accesible externamente y qué servicios se están ejecutando allí.
  3. Basado en ese documento, crea una regla de firewall que bloquee todo y solo permita lo que se necesita para las funciones comerciales requeridas. Esto debería aplicarse tanto al tráfico entrante como al saliente.
  4. Escribe estas reglas en su nuevo documento «Proceso de firewall» y aplica las reglas y restricciones a todos sus servidores.

Completar estos pasos te ayudará a cumplir con los requisitos para conocer tus activos web, así como a restringir y separar el acceso entre entornos a través de un firewall.

2. No utilices los valores predeterminados suministrados por el proveedor

El requisito 2 de PCI establece que no debe utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Al cumplir con los requisitos 1 y 2 del PCI DSS, está cumpliendo el objetivo de construir y mantener una red segura.

Estas son las sugerencias para cumplir con el este requisito:

  • Cambia los valores predeterminados proporcionados por el proveedor y elimina o deshabilita las cuentas predeterminadas innecesarias antes de instalar un sistema en la red.
  • Desarrolla estándares de configuración para todos los componentes del sistema. Asegúrate de que estos estándares aborden todas las vulnerabilidades de seguridad conocidas y sean consistentes con los estándares de protección del sistema aceptados por la industria.
  • Cifre todo el acceso administrativo que no sea de consola utilizando una criptografía sólida. Utiliza tecnologías como SSH, VPN o SSL / TLS para la administración basada en web y otros accesos administrativos que no sean de consola.
  • Mantén un inventario de los componentes del sistema que están dentro del alcance de PCI DSS.
  • Asegúrate de que las políticas de seguridad y los procedimientos operativos para administrar los valores predeterminados del proveedor y otros parámetros de seguridad estén documentados, en uso y conocidos por todas las partes afectadas.
  • Los proveedores de alojamiento compartido deben proteger el entorno alojado de cada entidad y los datos del titular de la tarjeta.

3. Proteger los datos del titular de la tarjeta

Muchas tiendas online utilizan una pasarela de pago acreditada para ayudar a procesar los pagos y transacciones con tarjeta de crédito.

El requisito 3 de PCI-DSS establece que debes proteger los datos del titular de la tarjeta. La mejor manera de cumplir con este requisito es usar una pasarela de pago confiable y no almacenar los detalles de la tarjeta de crédito. Al mantener solo las identificaciones de los clientes y las confirmaciones de pago exitosas, reduces significativamente el impacto de un compromiso.

Otra recomendación importante es promulgar políticas sólidas con empleados y amigos mediante la aplicación de prácticas de seguridad adecuadas.

Hay varias cosas que puedes hacer para cumplir este requisito:

  • No almacenes ningún dato del titular de la tarjeta; un segundo es tiempo suficiente para que lo roben.
  • Si debes almacenarlo, conserva los datos del titular de la tarjeta solo durante el tiempo que sea necesario, luego elimínalos de forma segura.
  • Evita la recepción de pedidos por teléfono, fax o correo electrónico con datos de la tarjeta.
  • Permite que los clientes ingresen sus propios datos de tarjeta en las pasarelas de pago.
  • Nunca transmitas los datos del titular de la tarjeta sin cifrado.

La comisión que cobran los procesadores de pagos (es decir, PayPal) es mucho menor de lo que pagaría una empresa para garantizar la seguridad continua de los detalles de pago. Las pequeñas tiendas online representan una grave amenaza para sus clientes, por lo que el incumplimiento puede tener consecuencias financieras y responsabilidad legal.

4. Cifrar la transmisión de datos del titular de la tarjeta

El requisito 4 de las PCI-DSS establece que debe cifrarse la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.

SSL / TLS es la tecnología utilizada para proteger y cifrar datos confidenciales a medida que viajan entre dos sistemas.

Si bien son protocolos técnicamente diferentes, el término «SSL» se usa comúnmente para referirse a cualquier conexión HTTP encriptada, incluyendo TLS. Cuando se utiliza un certificado SSL, se puede acceder al sitio web a través de HTTPS en lugar de HTTP.

Como un sitio web que acepta pagos, el uso de TLS v1.1 y superior es obligatorio para el cumplimiento de PCI.

Cifrar datos confidenciales como números de tarjetas de crédito, información del titular de la tarjeta y contraseñas protege a sus clientes y evita transacciones fraudulentas y violaciones de datos.

El uso de TLS previene ataques de hombre en el medio (MITM), que ocurren cuando los ciberdelincuentes  interceptan en secreto y posiblemente modifican datos y credenciales confidenciales del usuario a través de redes inseguras.

Los certificados SSL también son buenos para establecer y mantener la confianza. Esto permite que el icono del candado verde sea visible en la barra de direcciones del navegador.

El uso de SSL también puede mejorar su clasificación de SEO. Las autoridades de búsqueda como Google han alentado a los webmasters a asegurar sus sitios web clasificando los sitios con HTTPS más altos que aquellos sin certificados.

Muchos proveedores de alojamiento ofrecen certificados SSL gratuitos y de pago.

5. Mantener un programa de gestión de vulnerabilidades

En la mayoría de las circunstancias, los cibercriminales no seleccionan manualmente los sitios web para atacar, ya que esto lleva mucho tiempo. La mayoría de los ataques contra sitios web son automatizados y realizados por bots que buscan sitios web con vulnerabilidades conocidas.

El requisito 5 de PCI DSS establece que deben protegerse todos los sistemas contra malware y actualizar regularmente los programas antivirus.

Para cumplir con el requisito, sugerimos lo siguiente:

  • Implementa software antivirus en todos los sistemas comúnmente afectados por software malicioso.
  • Asegúrate de mantener todos los mecanismos antivirus.
  • Verifica que los mecanismos antivirus se estén ejecutando activamente y que los usuarios no puedan desactivarlos ni modificarlos, a menos que la administración los autorice específicamente caso por caso durante un período de tiempo limitado.
  • Asegúrate de que las políticas de seguridad y los procedimientos operativos para proteger los sistemas contra el malware estén documentados, en uso y sean conocidos por todas las partes afectadas.

6. Desarrollar y mantener sistemas y aplicaciones seguros

Los propietarios de sitios web deben asegurarse de que los componentes del sistema estén protegidos de vulnerabilidades conocidas y se deben abordar las vulnerabilidades de codificación comunes.

No importa si estás comenzando y tu sitio web es pequeño con muy poco tráfico. Si tienes un CMS, extensión, complemento o tema vulnerable en tu sitio web, es probable que un bot malicioso lo identifique en algún momento en el futuro.

Al mantener actualizado el software de tu web y los componentes del sistema, no solo mitigas el riesgo de ataques automáticos, sino que también garantizas el cumplimiento de PCI.

Si no puedes actualizar un tema o complemento vulnerable para tu CMS, puedes mitigar los intentos de explotación con un firewall que ofrece parches virtuales para evitar la explotación de vulnerabilidades conocidas.

7. Restringir el acceso a los datos del titular de la tarjeta por necesidad comercial que debe conocer

Se que debe restringir el acceso a los datos del titular de la tarjeta según las necesidades comerciales de la empresa. Esto significa configurar sus sistemas para que solo sean accesibles a personas autorizadas.

Para cumplir con el requisito:

  • Limita el acceso solo a aquellas personas cuyo trabajo requiere dicho acceso.
  • Examina la política escrita para el control de acceso y explica su importancia.
  • Asegúrate de que las políticas de seguridad y los procedimientos operativos para restringir el acceso a los datos del titular de la tarjeta estén documentados, en uso y conocidos por todas las partes afectadas.

8. Identificar y autenticar el acceso a los componentes del sistema

Debes asignar una identificación única a cada persona con acceso a los componentes del sistema para que pueda limitar su acceso y monitorizar sus actividades.

Aquí hay algunas ideas para ayudar a cumplir con el requisito:

  • Crea y documenta políticas y procedimientos para garantizar que solo individuos específicos tengan acceso a los datos del titular de la tarjeta. Esto se puede hacer mediante la asignación de identificaciones únicas y seguras.
  • Implementa la autenticación de dos factores para empleados y proveedores externos.
  • No utilices identificaciones grupales, compartidas o genéricas, contraseñas u otros métodos de autenticación similares.
  • Todo acceso a cualquier base de datos que contenga datos del titular de la tarjeta debe estar restringido.
  • Asegúrate de que las políticas de seguridad y los procedimientos operativos para la identificación y autenticación estén documentados, en uso y conocidos por todas las partes afectadas.

9. Implementar medidas fuertes de control de acceso

Debes restringir el acceso físico a los datos del titular de la tarjeta. Esto es especialmente importante para los proveedores que tienen personal y almacenan físicamente todos sus datos de tarjetas.

El acceso físico puede referirse a:

  • dispositivos;
  • datos;
  • sistemas de datos de tarjetas de pago;
  • copias impresas de los datos de la tarjeta de pago y otros.

Mantener controles estrictos puede ayudar a identificar a las personas que acceden físicamente a áreas que almacenan datos de titulares de tarjetas. Esto también es importante para proteger la información de identificación personal, especialmente si necesita cumplir con los requisitos del RGPD.

Aquí hay algunas restricciones clave para continuar minimizando el riesgo:

Tomas de red

La restricción del acceso a las tomas de red evitará que personas malintencionadas se conecten a entradas disponibles que puedan llevar a la red. Considera desactivar las tomas de red mientras no esté en uso y reactivarlas solo cuando sea necesario. Además, asegúrate de crear redes privadas para uso interno y públicas para que los visitantes limiten la exposición a la información protegida.

Visitantes y personal no autorizado

Los controles de visitantes son importantes para restringir ciertas áreas y asegurar que sean identificables como visitantes. Hace que sea más fácil detectar actividad inusual.

Esto puede incluso incluir a empleados que no tienen ninguna razón para acercarse a puntos de acceso sensibles. Por ejemplo, el administrador de redes sociales no debería necesitar acceso a una instalación de almacenamiento donde los datos del titular de la tarjeta estén fácilmente disponibles.

Monitorizar titular de tarjeta / datos personales

Si un visitante se abrió paso a través de una secuencia autorizada de puertas dentro de tus instalaciones, los datos del titular de la tarjeta siguen siendo susceptibles de visualización, copia o escaneo no autorizados si no están protegidos. Incluso puede ser accidental si los empleados autorizados no están bien informados.

Un número sorprendente de empresas tiene datos de titulares de tarjetas en medios portátiles, discos duros, notas adhesivas o copias impresas en el escritorio de alguien. Esto es especialmente problemático con los pedidos realizados por teléfono, fax o correo electrónico.

Sin la protección adecuada, los datos pueden ser robados y utilizados con fines fraudulentos. Es importante asegurarse de que los datos permanezcan ocultos / encriptados si no se necesitan de inmediato.

Eliminación física de datos

Destruye los medios que contengan datos del titular de la tarjeta cuando ya no se necesiten por razones comerciales o legales de la siguiente manera:

Tritura o incinera los materiales en papel para que los datos del titular de la tarjeta no puedan reconstruirse.

Procesa los datos del titular de la tarjeta en medios electrónicos irrecuperables para que esos datos no puedan reconstruirse.

Se deben tomar medidas para destruir la información del titular de la tarjeta contenida en dispositivos electrónicos. Desecha las copias impresas mediante trituración de papel. De lo contrario, puede producirse una importante violación de datos, lo que lleva a una reputación negativa y multas costosas después de una investigación.

10. Rastrear y monitorizar todo el acceso a los recursos de la red y a los datos del titular de la tarjeta

Este es uno de los requisitos más importantes para el cumplimiento de PCI. Este requisito establece explícitamente que deben implementarse pistas de auditoría y revisar registros para monitorizar los activos web e identificar un compromiso o una violación de datos.

La intención es determinar esencialmente “quién, qué, dónde y cuándo” de los usuarios que acceden a tus recursos de procesamiento de datos y entornos del sitio web. Conocer esta información es fundamental en el caso de que falte información confidencial.

Los sistemas de monitorización de integridad verifican los archivos en tu sitio web y te alertan de cualquier cambio sospechoso en la configuración de DNS, certificados SSL o modificaciones de archivos principales.

Varias soluciones de monitorización diferentes también buscan indicadores de compromiso (IoC), que pueden incluir malware, inyecciones de JavaScript ofuscadas, scripting entre sitios, phishing, puertas traseras, drive-by-downloads, SEO no deseado, desfiguración o redireccionamientos maliciosos.

11. Probar regularmente los sistemas y procesos de seguridad

Se establece que deben probarse regularmente los sistemas y procesos de seguridad. Esto incluye escanear e informar sobre posibles vulnerabilidades en la red tanto externa como internamente.

Los hackers e investigadores continúan descubriendo vulnerabilidades, especialmente con la introducción de un nuevo software.

Recomendamos lo siguiente para ayudar a cumplir con este requisito:

  • Ejecuta escaneos de vulnerabilidad cada pocos meses y después de cualquier gran cambio.
  • Implementa un sistema para pruebas de penetración de sitios web.
  • Usa técnicas de detección y prevención para protegerte contra los piratas informáticos.
  • Supervisa cualquier cambio en el sistema, la configuración o los archivos de contenido.
  • Asegúrate de que las políticas y procedimientos de seguridad estén documentados y se sigan.

12. Mantener una política de seguridad de la información

Debe mantenerse una política que aborde la seguridad de todo el personal. Esta política debe revisarse anualmente (al menos) e incluir un proceso de evaluación de riesgos, un plan de respuesta a incidentes y políticas de uso.

Este requisito se divide en varios requisitos secundarios:

  • Establecer, documentar, mantener y seguir una política de seguridad de la información.
  • Implementa un proceso de evaluación de riesgos y asigna responsabilidades de seguridad.
  • Desarrolla políticas de uso para tecnologías críticas y define el uso adecuado de estas tecnologías.
  • Asegúrate de que las políticas y procedimientos de seguridad definan claramente lo que esperas y las responsabilidades de cualquiera de tus empleados. Además, concédeles la importancia de proteger los datos de los clientes.
  • Examina las nuevas contrataciones y los proveedores de servicios de terceros con acceso a los datos del titular de la tarjeta para minimizar el riesgo de ataques de fuentes internas. Deben aceptar proteger los datos del titular de la tarjeta por escrito.
  • Implementa un plan de respuesta a incidentes. Estate preparado para responder de inmediato a una violación del sistema. Le puede pasar a cualquiera.

Consecuencias de inclumplir el estándar PCI DSS

Si se determina que un comerciante no cumple con las PCI-DSS, puede haber una variedad de sanciones y consecuencias que van desde multas, pérdida de tiempo y daños a la reputación.

Multas 

Los sitios web que no cumplen con PCI pueden sufrir fuertes sanciones por parte de los reguladores de la industria de pagos si los clientes experimentan transacciones fraudulentas. El coste promedio de una violación de datos para una pequeña empresa es de 90.000 euros, y para grandes empresas puede ser de hasta 4 millones de euros.

RGPD

Según el RGPD , cualquier empresa que experimente una violación de seguridad de la información personal de los residentes de la UE tiene 72 horas para notificar a las autoridades de supervisión o corre el riesgo de enfrentarse a fuertes multas.

Suspensión de tarjetas de crédito

Quizás peor que las multas es que se revoque la capacidad de aceptar pagos con tarjeta de crédito. Los estándares PCI son creados por las principales compañías de tarjetas de crédito, y esta es su defensa contra los comerciantes irresponsables.

Si se produce una violación de datos en su tienda de comercio electrónico, el consejo de PCI puede revocar el privilegio de usar sus tarjetas de pago.

Examen forense obligatorio

El PCI-DSS requiere que los comerciantes sospechosos de una violación de datos se sometan a un examen forense obligatorio, que requiere la contratación de profesionales y una investigación que llevará mucho tiempo. Un examen de pequeña empresa puede costar entre 2.000 y 5.000 euros.

Notificación y monitorización de crédito

Si se sospecha un compromiso de la información financiera, se exige que el comerciante notifique a los clientes y les informe sobre la violación. Es posible que los comerciantes también necesiten producir hasta un año de servicios de supervisión o asesoramiento crediticio para los clientes afectados.

Responsabilidad por cargos de fraude

Las demandas pueden reclamar responsabilidad sobre los comerciantes por violaciones de seguridad. Es importante enfatizar que proteger la información confidencial de tus clientes es tu responsabilidad como propietario de un negocio. Por eso es vital tener un sitio web seguro.

Costes de reemplazo de tarjeta de crédito

Los emisores de tarjetas pueden exigir a los comerciantes que paguen el coste de volver a emitir tarjetas de crédito, que incluye envío, activación y comunicación con el cliente. Estas tarifas pueden variar de 3 a 10 euros por tarjeta.

Reevaluación para el cumplimiento de PCI

Para que un sitio web acepte transacciones de tarjeta de crédito nuevamente, se debe realizar una reevaluación completa de PCI por un Asesor de Seguridad Calificado (QSA) externo.

El PCI Security Standards Council

El PCI Security Standards Council es una organización creada por las principales compañías de tarjetas de crédito en un esfuerzo por proteger mejor los datos del titular de la tarjeta de crédito.

Este organismo se formó en respuesta a un aumento en las violaciones de seguridad de datos, que no solo ponen en riesgo a los clientes, sino que también aumentan los costes de las compañías de tarjetas de crédito.

Se trata de un foro global abierto. Las cinco compañías fundadoras de tarjetas de crédito, American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc., son responsables de llevar a cabo el trabajo de la organización.

Ese trabajo incluye desarrollar y administrar el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y el Estándar de Seguridad de Datos de la Aplicación de Pago. El PCI SSC también es responsable de los esfuerzos de educación y concienciación sobre los estándares.

Descargar PCI DSS en PDF

 En este enlace puedes descargar la normativa PCI DSS en pdf.