¿Qué es el cumplimiento de PCI?
El cumplimiento de la industria de tarjetas de pago (PCI) se refiere a los estándares técnicos y operativos que las empresas deben seguir para garantizar que los datos de las tarjetas de crédito proporcionados por los tarjetahabientes estén protegidos. El Consejo de Normas de PCI aplica el cumplimiento de PCI y todas las empresas que almacenan, procesan o transmiten electrónicamente datos de tarjetas de crédito deben seguir las pautas de cumplimiento.
Comprender el cumplimiento de PCI
Los estándares de cumplimiento de la industria de tarjetas de pago (PCI) requieren que los comerciantes y otras empresas manejen la información de la tarjeta de crédito de una manera segura que ayude a reducir la probabilidad de que los titulares de tarjetas tengan datos financieros confidenciales robados. Si los comerciantes no manejan la información de la tarjeta de crédito correctamente, la información de la tarjeta podría ser pirateada y utilizada para realizar compras fraudulentas. Además, la información confidencial sobre el titular de la tarjeta podría utilizarse en el fraude de identidad.
Cumplir con PCI significa adherirse constantemente a un conjunto de pautas establecidas por las compañías que emiten tarjetas de crédito. Las pautas describen una serie de pasos que los procesadores de tarjetas de crédito deben seguir continuamente. Primero se pide a las empresas que evalúen su infraestructura de tecnología de la información, los procesos comerciales y los procedimientos de manejo de tarjetas de crédito para ayudar a identificar posibles amenazas que pueden comprometer los datos de la tarjeta de crédito. Luego, se les pide a las compañías que aborden cualquier brecha en la seguridad y que eviten almacenar información confidencial del titular de la tarjeta, como la seguridad social y los números de licencia de conducir, siempre que sea posible. Las empresas deben proporcionar informes de cumplimiento a las marcas de tarjetas con las que trabajan, como American Express y VISA.
Se requiere que todas las compañías que procesan información de tarjeta de crédito mantengan el cumplimiento de PCI, independientemente de su tamaño o la cantidad de transacciones de tarjeta de crédito que procesen. Todas las empresas se dividen en niveles comerciales según la cantidad de transacciones que se procesan durante un período específico. El cumplimiento de PCI se rige por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago, una organización formada en 2006 con el propósito de administrar la seguridad de las tarjetas de crédito. Los requisitos, conocidos como los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), son administrados por las principales compañías de tarjetas de crédito, incluidas VISA, American Express, Discover y MasterCard, entre otras.
Cumplimiento de PCI y violaciones de datos
Es posible que se hayan evitado muchas de las violaciones de datos más grandes de la historia si los comerciantes afectados o las instituciones financieras cumplían con PCI. Estas son algunas conclusiones clave del Informe de seguridad de pagos de Verizon 2017, un estudio en profundidad del cumplimiento de PCI DSS:
- Las organizaciones minoristas demostraron la sostenibilidad de cumplimiento de PCI más baja en todas las industrias clave. La industria de servicios de TI logró el cumplimiento más alto de todos los grupos industriales clave estudiados. El 77 por ciento de las empresas evaluadas después de una violación de datos no cumplía con el requisito de PCI número uno: instalar y mantener una configuración de cortafuegos. El estudio muestra una correlación "demostrable" entre las empresas que están actualizadas en los estándares PCI y las empresas que se han defendido con éxito contra las amenazas cibernéticas. El número de empresas que son 100 por ciento compatibles con PCI es creciendo considerablemente año tras año.
