Cumplimiento de PCI
El cumplimiento de la industria de tarjetas de pago (PCI) se refiere a los estándares técnicos y operativos que las empresas deben seguir para garantizar que los datos de las tarjetas de crédito proporcionados por los tarjetahabientes estén protegidos. El Consejo de Normas de PCI aplica el cumplimiento de PCI, y todas las empresas que almacenan, procesan o transmiten electrónicamente datos de tarjetas de crédito deben seguir las pautas de cumplimiento.
DESGLOSE Cumplimiento de PCI
Los estándares de cumplimiento de la industria de tarjetas de pago (PCI) requieren que los comerciantes y otras empresas manejen la información de la tarjeta de crédito de una manera segura que ayude a reducir la probabilidad de que los titulares de tarjetas tengan datos financieros sensibles robados. Si los comerciantes no manejan la información de la tarjeta de crédito correctamente, la información de la tarjeta podría ser pirateada y utilizada para realizar compras fraudulentas. Además, la información confidencial sobre el titular de la tarjeta podría usarse en el fraude de identidad.
Cumplir con PCI significa adherirse constantemente a un conjunto de pautas establecidas por las compañías que emiten tarjetas de crédito. Las pautas describen una serie de pasos que los procesadores de tarjetas de crédito deben seguir continuamente. Primero se pide a las empresas que evalúen su infraestructura de tecnología de la información, los procesos comerciales y los procedimientos de manejo de tarjetas de crédito para ayudar a identificar posibles amenazas que puedan comprometer los datos de la tarjeta de crédito. Luego, se les pide a las compañías que aborden cualquier brecha en la seguridad y que eviten almacenar información confidencial del titular de la tarjeta, como la seguridad social y los números de licencia de conducir, siempre que sea posible. Las empresas deben proporcionar informes de cumplimiento a las marcas de tarjetas con las que trabajan, como American Express y VISA.
Se requiere que todas las compañías que procesan información de tarjeta de crédito mantengan el cumplimiento de PCI, independientemente de su tamaño o la cantidad de transacciones de tarjeta de crédito que procesen. Todas las empresas se dividen en niveles comerciales según la cantidad de transacciones que se procesan durante un período específico. El cumplimiento de PCI se rige por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago, una organización formada en 2006 con el propósito de administrar la seguridad de las tarjetas de crédito. Los requisitos, conocidos como los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS), son administrados por las principales compañías de tarjetas de crédito, incluidas VISA, American Express, Discover y MasterCard, entre otras.
Cumplimiento de PCI y violaciones de datos
Muchas de las violaciones de datos más grandes de la historia podrían haberse evitado si los comerciantes afectados o las instituciones financieras cumplieran con PCI. Estas son algunas conclusiones clave del Informe de seguridad de pagos de Verizon 2017, un estudio en profundidad del cumplimiento de PCI DSS:
- Las organizaciones minoristas demostraron la sostenibilidad de cumplimiento de PCI más baja en todas las industrias clave.
- La industria de servicios de TI logró el más alto cumplimiento de todos los grupos industriales clave estudiados.
- El 77 por ciento de las empresas evaluadas después de una violación de datos no cumplía con el requisito número uno de PCI: instalar y mantener una configuración de firewall.
- El estudio muestra una correlación "demostrable" entre las empresas que están actualizadas en los estándares PCI y las empresas que se han defendido con éxito contra las amenazas cibernéticas.
- La cantidad de empresas que cumplen al 100% con PCI está creciendo considerablemente año tras año.