Volver

¿Qué es PCI DSS? ¿Por qué lo necesitan empresas y administraciones públicas?

Para cualquier empresa que trabaja con datos confidenciales, como, por ejemplo, datos personales o bancarios, es imprescindible tomar medidas de seguridad, ya que de esta forma la organización o entidad administrativa protege y transmite más confianza a sus usuarios.

¿Qué es el estándar PCI DSS?

Para garantizar la seguridad en los pagos, las principales empresas de tarjetas de crédito VISA, MasterCard, Discover, JCB y AMEX han establecido una normativa conocida como Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS cuyo objetivo es evitar el fraude que ocurre al realizar pagos con la tarjeta de crédito e incrementar la seguridad de los datos a través de las transacciones online.

Lo más importante: es obligatorio para todas las empresas que aceptan, procesan o transmiten datos de tarjetas de crédito o débito.

¿En qué consiste el estándar PCI DSS?

La normativa PCI DSS establece 12 requisitos que se pueden dividir en 6 secciones:

  • El desarrollo y el mantenimiento de un entorno de red segura.
  • La protección de datos de los propietarios de las tarjetas.
  • Un programa de gestión de vulnerabilidades.
  • La implementación de medidas sólidas de control de acceso.
  • La monitorización y pruebas regulares de las redes.
  • El mantenimiento de una Política de Seguridad de la Información.

Es esencial tener en cuenta que, tras obtener la certificación inicial, su mantenimiento requiere la realización de una auditoría de carácter anual y para ello es importante que todo el equipo de la empresa aplique, con rigor y de manera constante, todas las políticas, procedimientos y medidas de seguridad establecidas.

¿Tengo que certificarme en PCI DSS si voy una administración pública o proporciono cobros con tarjeta a través de canales remotos?

No necesariamente, siempre y cuando no sea la propia organización la que ha desarrollado y gestiona las tecnologías que recogen los datos para realizar la operación de pago. Como ya comentamos en otro artículo sobre “Cómo garantizar la seguridad de los cobros con tarjeta”, las organizaciones deben restringir el acceso a los datos de la tarjeta y su titular, generalmente por medio de tecnologías como IVRs automáticas o bots, entre otras. Es decir, nada de anotar los datos del pago por parte de un agente de call center, por ejemplo.

Lo que sí deben hacer es velar porque los proveedores directamente los responsables de las tecnologías que recogen los datos para realizar la operación de pago, estén debidamente certificados y auditados. Por seguir con el ejemplo, si es Alisys, proveedor certificado PCI DSS quién proporciona la tecnología al call center para automatizar la recogida de datos y que no sea el agente quien lo realice, la empresa no necesita certificarse en PCI DSS, sino que será Alisys quien asuma ese papel.

¿Qué beneficios ofrece el estándar PCI DSS?

El proceso es largo, muy riguroso y altamente exigente para las organizaciones así que ¿cuáles son los beneficios de obtenerlo?

  • Seguridad en los cobros. El mayor objetivo de la certificación PCI DSS es garantizar un nivel alto de seguridad para proteger los datos de la tarjeta a la hora de realizar el pago online y evitar los casos de robos.
  • Ventaja competitiva. Al cumplir la normativa, la empresa se posiciona como un agente certificado, seguro y los clientes le preferirán frente a otros competidores que no puedan aportar estas garantías. Además, todo lo anterior fortalece la imagen de la marca, transmite más confianza a futuros clientes y genera una gran ventaja competitiva.
  • Aumento de ingresos. Este beneficio está directamente relacionado con el punto anterior, ya que captando más clientes y demostrándoles que la organización se preocupa de la confidencialidad de sus datos e implementa medidas de seguridad, se puede aumentar los ingresos.
  • Revisión técnica. Ya que las auditorías de la certificación tienen carácter anual, el equipo debe revisar todos los sistemas y controlar los procesos regularmente para mantener el nivel de seguridad óptimo, lo que redunda en la excelencia de toda la organización.
  • Control de riesgos. El sector de ciberseguridad avanza rápido, y de la misma forma cada día aparecen nuevas amenazas que ponen en peligro la privacidad de la información. La adecuación al estándar PCI DSS permite examinar las vulnerabilidades del sistema, controlar potenciales riesgos constantemente y establecer las medidas necesarias.
  • Gestión de incidentes. PCI DSS permite implantar un correcto procedimiento de gestión de incidentes de seguridad, que posibilita detectarlos y contenerlos en sus fases iniciales.

¿Necesitas adaptar tu sistema de cobro con tarjeta remotos a la normativa PCI DSS? En Alisys podemos ayudarte. Contacta con un asesor


Leer más sobre Omnichannel Payments: Alisys - Omnichannel Payments

Ver el caso de éxito: Alisys - Just Eat