CI DSS es la normativa internacional de seguridad para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas o datos privados de autenticación. La normativa PCI DSS establece un estándar básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Se aplica a toda empresa u organización que acepte o procese datos de tarjetas de pago.
El cumplimiento de la normativa PCI DSS gira en torno a tres componentes principales:
Gestionar la recepción de los datos de tarjetas de crédito de los consumidores, es decir, reunir y transmitir los datos privados de las tarjetas de manera segura
Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de la normativa PCI (por ejemplo, mediante cifrado, con una monitorización contínua de los datos y verificando la seguridad del acceso a los datos de tarjeta)
Validar anualmente el funcionamiento de los controles de seguridad necesarios, lo que puede implicar formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros
Independientemente de cómo se acepten los datos de tarjeta, toda empresa debe completar anualmente un formulario de validación conforme a la normativa PCI. Ese proceso de validación del cumplimiento de la normativa PCI depende de varios factores (te los hemos descrito más abajo). A continuación, te presentamos tres casos por los que se le podría pedir a una empresa que demuestre que cumple con la normativa PCI:
Los procesadores de pagos pueden solicitarlo como parte de sus procesos de notificación a las marcas de tarjetas (es una obligación para los procesadores de pagos).
Los socios comerciales pueden solicitarlo como requisito previo a la firma de un acuerdo comercial.
Si el negocio puede considerarse una plataforma (es decir, si su tecnología facilita las transacciones entre usuarios), sus usuarios pueden solicitarlo para demostrarles a sus clientes que gestionan los datos de manera segura.
El último conjunto de normas de seguridad, la PCI DSS versión 3.2.1, incluye 12 requisitos principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.