¿Es obligatoria la certificación PCI-DSS para tu empresa?

Consulta si debes estar en cumplimiento con los estándares de seguridad PCI-DSS para la protección de tarjetas bancarias de tus clientes.

Cuando John Biggins introdujo la tarjeta de crédito por primera vez en 1946 para el banco Flatbush National Bank of Brooklyn de Nueva York, probablemente no se imaginaba el impacto que su invento iba a tener 71 años más tarde. Hoy en día, se producen más de 40 mil millones de transacciones con tarjetas de crédito anualmente solo en los Estados Unidos, y existen alrededor de 500 millones de tarjetas Visa y MasterCard registradas en los EEUU que están estrictamente reguladas por la certificación PCI-DSS.

Sin embargo, el aumento de las transacciones con tarjetas bancarias ha dado lugar al crecimiento del riesgo asociado con la información sensible de los usuarios. Por otro lado, el mundo entró en una era altamente tecnológica, aumentando la confianza y la comodidad del consumidor a utilizar tarjetas bancarias para pagos tanto online como offline.

Como respuesta al elevado riesgo asociado con el uso de las tarjetas bancarias, en 2006 Visa, MasterCard, Discover, American Express y JCB unieron fuerzas y crearon PCI-DSS o Payment Card Industry Data Security Standard, una normativa de seguridad que tiene como objetivo evitar los fraudes con tarjetas bancarias.

¿Quien está obligado a obtener la certificación PCI-DSS?

La obligación de cumplir con PCI-DSS no aplica a todas las empresas. Según la normativa, todas las entidades involucradas en el procesamiento de tarjetas de pago deben cumplir obligatoriamente con el estándar de seguridad definido por PCI Security Standards Council. Estas son:

Comercios

• Nivel 1 – comerciantes que procesan más de 6 millones de transacciones al año. Los requisitos implican la realización de una Auditoría anual por un asesor cualificado de seguridad, escaneos de red cada trimestre por ASV, formulario de atestación de cumplimiento, etc.

• Nivel 2 – comerciantes que procesan entre 1 y 6 millones de transacciones al año. Los requisitos implican rellenar el formulario de autoevaluación SAQ, realizar escaneos de vulnerabilidad con ASV, y atestación de cumplimiento.

• Nivel 3 – comerciantes que procesan entre 20,000 y 1 millón de transacciones eCommerce al año; este nivel implica los mismos requisitos como Nivel 2, y está diseñado especialmente para transacciones e-commerce.

• Nivel 4 – comerciantes que procesan menos de 20,000 transacciones eCommerce. Este nivel es el menos restrictivo, e implica rellenar el cuestionario SAQ y un escaneo trimestral opcional.

Proveedores de servicios

En esta categoría entran todas las organizaciones que prestan servicios a terceros y procesan transacciones durante la prestación de estos servicios. Como proveedores de servicio también entran las entidades financieras que realizan determinadas operaciones para otras entidades financieras.

• Nivel 1 – proveedores de servicios que procesan más de 300 mil transacciones con VISA o/y Master. Se requiere que cumplan con la Auditoría anual de QSA y realizar escaneos de red cada trimestre.

• Nivel 2 – proveedores de servicios que procesan menos de 200 mil transacciones. Implica rellenar el Reporte Anual de Cumplimiento (ROC) y realizar escaneos de red.

Entidades Adquirentes y Emisoras

Todas las entidades, independientemente si son Adquirentes o Emisoras, deben cumplir con el estándar de seguridad PCI-DSS. Como norma general, cualquier empresa, independientemente de su tamaño, que almacena, procesa o transmite información de tarjetas bancarias debe cumplir con los estándares establecidos por el PCI Security Standard Council.

Si tu empresa entra en algunas de estas categorías, cumplir con las normativas de seguridad PCI-DSS es absolutamente obligatorio. Sin embargo, cumplir con todos los requisitos puede ser significativamente costoso, llegando a más de $500, 000 para algunas empresas. Si la certificación no entra en tu presupuesto, pero operar con tarjetas bancarias es una parte fundamental de tu negocio, MYMOID te ofrece una solución rápida y económica - integrar nuestros servicios de pago online en tu plataforma web o móvil con una API-REST, beneficiando de la certificación PCI-DSS con la que cumplimos al 100%.