Si su empresa acepta pagos con tarjeta, es importante contar con una plataforma de seguridad sólida para proteger a sus clientes. La industria de pagos con tarjeta experimentó un aumento en el fraude de pagos con tarjeta y desarrolló el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para mejorar la seguridad de pago con tarjeta.

Lanzado en 2006, PCI DSS se aplica a todas las compañías que procesan, almacenan o transmiten información de tarjetas de pago. Si su empresa acepta pagos de MasterCard, Visa, American Express, Discover o JCB, su empresa debe ser totalmente compatible con PCI DSS.

¿Por qué deberían las pequeñas empresas utilizar el sistema PCI DSS? El sistema PCI DSS es administrado por el PCI Security Standards Council, que es un organismo independiente creado por los principales emisores de tarjetas de crédito que aconseja:

  • El cumplimiento de las normas PCI DSS significa que sus sistemas son seguros y que los clientes pueden confiar en su información de tarjeta de pago confidencial..
  • La confianza significa que sus clientes tienen confianza en hacer negocios con usted.
  • Es más probable que los clientes seguros sean clientes habituales y que lo recomienden a otros..
  • El cumplimiento es un proceso continuo, no un evento de una sola vez. Ayuda a prevenir violaciones de seguridad y robo de datos de tarjetas de pago, no solo hoy, sino en el futuro.

El Consejo de Normas de Seguridad de PCI dice: "Ha trabajado arduamente para desarrollar su negocio. Asegúrese de asegurar su éxito asegurando los datos de la tarjeta de pago de sus clientes. Sus clientes dependen de usted para mantener su información a salvo. Devuelva su confianza con el cumplimiento a Los estándares de seguridad PCI ".

Si su empresa no es compatible con PCI DSS, el Consejo de Normas de Seguridad de PCI advierte:

  • Los datos comprometidos afectan negativamente a los consumidores, comerciantes e instituciones financieras.
  • Un solo incidente puede dañar gravemente su reputación y su capacidad para realizar negocios de manera efectiva, en el futuro.
  • Las infracciones de los datos de la cuenta pueden provocar pérdidas catastróficas de ventas, relaciones y prestigio en su comunidad, y un precio de participación deprimido si la suya es una empresa pública..
  • Las posibles consecuencias negativas también incluyen: juicios, reclamaciones de seguros, cuentas canceladas, multas del emisor de la tarjeta de pago y multas del gobierno.

El proceso de cumplimiento PCI DSS.

La mayoría de los negocios entrarán en la categoría de nivel de comerciante 4, que se define como el procesamiento de menos de 20,000 transacciones de Visa por año.

Puede asegurarse de que su negocio sea totalmente compatible siguiendo estos pasos:

  1. Identifique qué tipo de validación debe usar su empresa bajo PCI DSS. Esto determinará qué Cuestionario de autoevaluación (SAQ) tendrá que completar su empresa.
  2. Una vez que haya completado el Cuestionario de autoevaluación, deberá mostrar evidencia de que su empresa ha superado el análisis de vulnerabilidades por parte de uno de los proveedores de análisis aprobados por el SSC de PCI. Esto es requerido por las empresas en la categoría de Nivel 4 que tienen un sitio web orientado al cliente, como lo tendrán todas las empresas de comercio electrónico. Una lista completa de proveedores de escaneo aprobados se encuentra en el sitio web de PCI Security Standards Council:
  3. Complete la Declaración de cumplimiento, que se encuentra en la herramienta SAQ. Más información está en el sitio web de PCI Security Standards Council:
  4. Envíe su SAQ y evidencia de que su empresa ha superado el análisis de vulnerabilidades y cualquier documentación adicional que su adquirente haya solicitado. Su adquirente será la empresa que maneja el procesamiento de su tarjeta de pago..

Es importante comprender que tener un sistema de seguridad en su sitio web, generalmente SSL (Secure Sockets Layer), hace que no significa que su negocio es compatible con PCI DSS ya que los dos sistemas de seguridad son diferentes. SSL proporciona a los visitantes de su sitio web una capa de seguridad que encripta la información que pasa entre su computadora y los servidores de su empresa..

Esto incluye cualquier información de tarjeta de crédito o débito que ingresen en el sistema de pago de su empresa, pero no protege el pago que se realiza. Aquí es donde entra en juego el cumplimiento con PCI DSS. Su empresa debe asegurarse de que tenga un certificado SSL válido de uno de los proveedores líderes, como Thawte o VeriSign, y que también cumpla con el estándar PCI DSS..

Para las empresas más pequeñas, obtener el cumplimiento total de PCI DSS puede parecer bastante desalentador. Afortunadamente, hay una serie de compañías que ofrecen servicios de cumplimiento y herramientas que su empresa puede utilizar para facilitar todo el proceso..

Una herramienta es QualysGuard PCI Compliance. El sistema basado en la nube ofrece un proceso simplificado que también proporciona la seguridad de que su red es altamente segura. La aplicación web QualysGuard PCI lo guía a través del proceso de cumplimiento de PCI con su enfoque paso a paso y consejos de cumplimiento fáciles de seguir..

Después de que su empresa haya obtenido su certificado SSL y haya cumplido plenamente con las normas PCI DSS, su empresa todavía debe estar alerta ante el fraude basado en tarjetas. A medida que se han desarrollado más iniciativas de seguridad como PCI DSS y Chip & PIN, los incidentes de fraude con tarjetas se han reducido, pero su empresa debe tener un conocimiento detallado de qué medidas tomar si sospecha que ha ocurrido un fraude. Visa tiene un documento útil "Qué hacer si su sitio está comprometido" que analiza de cerca los tipos de fraudes con las tarjetas que debe vigilar y qué hacer si cree que se ha cometido un fraude con las tarjetas. Si su empresa aún no es compatible con PCI DSS, ponga esto en la parte superior de su agenda.