Comprender el complejo mundo del cumplimiento de PCI es una tarea desafiante, especialmente si es propietario de una pequeña empresa cuyo área de experiencia no se basa en el espacio de tecnología y seguridad.
Hay mucha información y desinformación en torno al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), que puede ser confuso para las personas que no han tenido experiencia con los requisitos de cumplimiento antes. Es posible que haya oído hablar de PCI en su pasarela de pagos, o de su amigo propietario de negocio, o tal vez haya investigado y sepa que hay un cuestionario que debe completar.
Si bien el cumplimiento de PCI puede parecer complicado o abrumador a primera vista, con una buena orientación y herramientas (que tiene a través del programa MTI), puede ser un proceso simple cumplir y proteger su negocio de la amenaza de ciberataques.
Para obtener un desglose completo de lo que necesita hacer para cumplir con los requisitos de PCI DSS para su empresa, consulte nuestras soluciones de seguridad empresarial. Pero si ha estado escuchando información mixta que le ha dejado en duda sobre si necesita o no cumplir con PCI, estos son algunos de los principales malentendidos sobre el cumplimiento de PCI DSS y la información para ponerlo en el camino correcto.
Soy una pequeña empresa con solo unos pocos clientes que pagan con tarjeta, no necesito preocuparme por el cumplimiento de PCI DSS
No importa cuán grande o pequeño sea su negocio, el cumplimiento de PCI DSS se aplica a todas las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito. A menos que solo procese pagos con tarjeta utilizando un terminal eftpos independiente para transacciones cara a cara, tiene la responsabilidad de cumplir con los requisitos de PCI DSS. Solo se necesita una violación de datos para que te multen por no proteger los datos de la tarjeta de crédito de tu cliente.
Subcontratar el procesamiento de tarjetas hace que mi negocio cumpla con la norma
La obligación de poder mostrar el cumplimiento de PCI DSS recae en usted, el comerciante. Puede utilizar terceros compatibles con PCI DSS, como eWAY, para gestionar aspectos del procesamiento de su tarjeta, pero todavía hay muchos puntos de contacto en el extremo de su negocio que requieren que implemente las mejores prácticas de cumplimiento con PCI DSS. Garantizar que cada punto de contacto cumpla con el PCI DSS (Estándar de seguridad de datos) significa que está haciendo su parte para prevenir los ataques cibernéticos y las enormes implicaciones (enlace al artículo sobre el costo del delito cibernético) que un ataque puede tener en su negocio.
No necesito seguir TODOS los requisitos de PCI DSS
El cumplimiento de PCI DSS no es un trato de elegir. Para ser compatible con PCI DSS, debe cumplir con los 12 requisitos de PCI DSS. Todos los criterios componen las medidas de seguridad básicas que todas las empresas deben tener implementadas para proteger tanto a sus clientes como a sí mismas de las filtraciones de datos.
¿Es usted personalmente responsable si su empresa sufre una violación de datos?
Nunca he tenido una violación, así que no tengo que preocuparme por PCI DSS
Es posible que haya escuchado que el cumplimiento de PCI DSS solo debe hacerse si ha experimentado una violación en su seguridad. Esto no es cierto, aunque después de una violación, su adquirente puede obligarlo a someterse a un programa de corrección de seguridad y a que se audite su cumplimiento de PCI-DSS. Debe cumplir con PCI DSS, haya tenido o no una violación de datos. Los requisitos de seguridad de PCI DSS ayudarán a prevenir las filtraciones de datos y, probablemente, a salvar su negocio. Prevenir es mucho mejor que curar.
El cumplimiento de PCI DSS es solo para empresas que almacenan información de tarjetas de crédito en sus computadoras
Cualquier empresa que procese información de tarjetas de crédito, lo que incluye capturarla en papel o en formato electrónico, transmitirla a otra organización o almacenarla, debe ser una queja de PCI-DSS. Hay muchos puntos de contacto en su negocio que pueden entrar en contacto con datos de tarjetas de crédito y, por lo tanto, deben cumplir con PCI DSS. Puede procesar pagos por teléfono, recibir datos de tarjetas de crédito por correo electrónico o almacenar registros físicos de detalles de pago en su oficina. Todas las áreas de su negocio deben cumplir con los requisitos de PCI DSS, así que asegúrese de haber leído y comprendido todos los diferentes puntos de contacto.
Todo lo que tengo que hacer es responder sí a todo en el Cuestionario de Autoevaluación
El cuestionario de autoevaluación implica responder a muchas preguntas detalladas sobre cómo administrar los datos de la tarjeta de crédito y la seguridad de su negocio. Esto es para obtener una comprensión precisa de los procesos de su negocio en torno a los datos de tarjetas de crédito. Sin embargo, el solo hecho de responder » sí » a cada pregunta no hace que usted y su negocio cumplan con las normas. Responder a las preguntas con honestidad significa que se le pedirá que tome las medidas de seguridad adecuadas para su negocio para que cumpla verdaderamente con PCI DSS. Responder a todas las preguntas «sí», incluso si esta no es la respuesta verdadera, significa que dejará a sus clientes y a usted mismo vulnerables a un hackeo de datos.
Nuestros desarrolladores dijeron que nuestro sitio web cumple con PCI DSS
Si bien algunas partes de su sitio web pueden cumplir con PCI DSS, es su responsabilidad asegurarse de que todas las áreas de su negocio cumplan con PCI DSS. Hay muchos otros puntos de contacto que su empresa puede tener con datos de tarjetas de crédito que puede que no conozca. Si se produce una violación de datos, usted será el responsable de la violación y las repercusiones caerán con usted.
Si solo procesa pagos a través de su sitio web, todavía hay dos requisitos que debe cumplir:
- Asegúrese de que su página web esté alojada de forma segura, y de que esté regularmente parcheada y escaneada en busca de vulnerabilidades
- su suscripción a MTI incluye un escáner de vulnerabilidades
- Complete el Cuestionario de Autoevaluación (SAQ-A o SAQ-A-EP)
- utilice la herramienta de evaluación de Trustkeeper seleccionando como su proveedor de pago y «Externalizo completamente mi procesamiento de pagos»
El cumplimiento de PCI DSS es costoso
La idea de que tenga que contratar a un especialista para que lo ayude con el cumplimiento de PCI DSS es incorrecta. Los propietarios de negocios inscritos en nuestro programa Merchant Trust Initiative (MTI) reciben las herramientas y la ayuda que necesitan para cumplir con todas sus responsabilidades de cumplimiento de PCI DSS. Si se siente abrumado o necesita ayuda para cumplir con sus requisitos de cumplimiento de PCI DSS o para realizar el Cuestionario de Autoevaluación de PCI DSS, llámenos al 1300 763 256 o envíe un correo electrónico a nuestro equipo que puede ayudarlo con todas sus necesidades de cumplimiento de PCI DSS.