Paycomet Logo

PCI DSS

¿Sabes qué es PCI DSS y qué implica para tu ecommerce?

PCI-DSS (por su nombre en inglés, Payment Card Industry Data Security Standard) es el protocolo de seguridad estándar encargado de proteger los datos sensibles de tu tarjeta bancaria cuando se comparten en internet.

Esta regulación busca salvaguardar la privacidad y la información bancaria de carácter personal con el fin de reducir el fraude en los pagos online.

Las entidades precursoras de esta normativa fueron las financieras Discover, JCB, MasterCard, Visa y American Express, ya que al verse vulnerado el sistema de pago con tarjeta a nivel mundial, buscaron una forma de otorgar fiabilidad y garantías a este sistema de transacción clásico.

¿Qué es el estándar PCI DSS?

Los procesadores de tarjetas de crédito y débito de todo el mundo son exigentes en que se cumplan ciertos parámetros de seguridad online. En este caso, el protocolo PCI DSS es un estándar que nos asegura la correcta gestión de la información de nuestra tarjeta con la que realizamos nuestro pago.

Reglas PSI

Fuente: https://www.pcisecuritystandards.org/

Según los requisitos y procedimientos de evaluación de seguridad del PCI DSS, debemos garantizar la seguridad del pago con tarjeta en nuestro ecommerce a través de 6 principios:

  • Desarrollar una red segura. A través de un firewall podremos controlar el tráfico, tanto interno como externo, que circula alrededor de nuestra red y bloquear aquel que pueda suponer un riesgo.
  • Salvaguardar la información bancaria del titular. Tanto para su gestión como para su transmisión, el estándar PCI DSS nos asegura una correcta encriptación de los datos de nuestra tarjeta más sensibles.
  • Mantener bajo control los posibles riesgos. No podemos evitar que el malware ataque nuestra red, pero sí podemos estar precavidos utilizando un software seguro y manteniendo actualizado nuestro sistema.
  • Un control de acceso más exhaustivo. Tanto para miembros de la empresa como externos, es importante ser rigurosos con el cuidado de los datos personales.
  • Evaluación regular de nuestra red de seguridad. Se trata de testear regularmente si los procesos y protocolos aplicados siguen cumpliendo su función.
  • La privacidad, por encima de todo. Mantener la privacidad del usuario debe primar entre los valores de nuestro ecommerce.

¿Quién debe cumplir con el estándar PCI DSS?

Para determinar el nivel en que los comercios y proveedores de servicio se encuentran y los requisitos de queden cumplir, cada marca de tarjetas asociada al PCI SSC (MasterCard, Visa, American Express, JCB y Discover) tiene su propio criterio según el volumen de transacciones procesadas en un período de 12 meses.

A continuación, los 4 niveles de cumplimiento (Nivel 1 hasta Nivel 4):

NivelRequisitosObligaciones
Nivel 1Para Visa, Discover, Mastercard, las organizaciones que procesan más de 6 millones de operaciones en todos los canales o comercios globales.

Para AMEX, organizaciones con más de 2,5 millones de operaciones al año.

Considerados Nivel.1 por las marcas de tarjetas.
Anualmente:

--Presentar un informe ROC, redactado por un evaluador de seguridad o un auditor interno cualificado (QSA)
--Presentar la certificación de cumplimiento (AOC)

Trimestralmente:

--Someterse a escaneos trimestrales de seguridad por parte de un proveedor cualificado (ASV)
Nivel 2Para VISA, Discover, Mastercard, entre 1 y 6 millones de operaciones al año

Para AMEX, entre 50.000 y 2.5 millones.
Anualmente:

--Completar un cuestionario de autoevaluación ("SAQ").
--Presentar un formulario de certificación de cumplimiento ("AOC").

Trimestralmente:

--Someterse a escaneos trimestrales de seguridad por parte de un proveedor cualificado (ASV)

Nivel 3 Para Visa / Mastercard, entre 20.000 y 1 millón de operaciones online

Para AMEX, entre 10.000 y 50.000

Para Discover, menos de 1 millón de transacciones anuales.
Anualmente:

--Completar un cuestionario de autoevaluación ("SAQ").
--Presentar un formulario de certificación de cumplimiento ("AOC").

Trimestralmente:

--Someterse a escaneos trimestrales de seguridad por parte de un proveedor cualificado (ASV)
Nivel 4Para Visa / Mastercard menos de 20.000 operaciones online

Para AMEX, menos de 10.000

Menos de 1 millón de operaciones en total.
Anualmente:

--Completar un cuestionario de autoevaluación ("SAQ").
--Presentar un formulario de certificación de cumplimiento ("AOC").

Trimestralmente:

--Someterse a escaneos trimestrales de seguridad por parte de un proveedor cualificado (ASV), si corresponde.

Los niveles 2, 3 y 4, los cuestionarios de autoevaluación anual (SAQ) que deben presentar serán en función del tipo de integración que tengan con la pasarela de pagos.

¿Qué datos protege el estándar PCI DSS?

El protocolo PCI DSS almacena los datos de titulares de tarjetas cumpliendo los estándares regulados. Esta es la información sensible que por norma debe cifrarse:

  • Número de cuenta principal.
  • Nombre del titular.
  • Código de servicio
  • Fecha de vencimiento
  • Contenido de la banda magnética (o equivalente)
  • CVV y código PIN
Riesgo Robo Imágenes Tarjeta

Fuente: https://www.pcisecuritystandards.org/

 

¿Cómo te ayuda PAYCOMET a cumplir con el estándar PCI DSS?

Banner informativo de 3 meses gratis de paycomet

PAYCOMET cuenta con el certificado de cumplimiento PCI DSS Nivel 1, el más avanzado del sector, auditado y certificado con los 12 requisitos de la normativa. Esto es posible al securizar nuestros procesos en 3 momentos:

  1. En el momento de la recepción de los datos de tarjetas.
  2. En el almacenamiento de los datos de tarjetas. Al convertir los datos sensibles de las tarjetas en tokens o datos cifrados, haciéndolos más seguros a la hora de transmitirlos o volver a cargar pagos.
  3. Gestionando la infraestructura tecnológica subyacente a la transmisión de datos de tarjeta para su procesamiento en las diferentes redes internacionales.

Los sistemas y protocolos de PAYCOMET son auditados periódicamente, desde hace más de 11 años, para garantizar el cumplimiento de los estrictos requisitos de la certificación PCI DSS de nivel 1.

Al disponer de los datos sensibles de las tarjetas almacenados de forma cifrada a través de tokens, ofrecemos la capacidad de realizar operaciones que mejoran la experiencia de usuario, como pagos en 1 clic, suscripciones o pagos recurrentes.

Además, para modelos de negocio basados en pagos diferidos, como las reservas turísticas, la tokenización de los datos de tarjetas y la garantía de la certificación PCI resultan imprescindibles.

La seguridad es uno de los elementos más importantes en el comercio online. Por ello, contar con un proveedor de pagos PCI Compliance de nivel 1 como PAYCOMET, además de garantizarte la máxima seguridad, te ahorrará tiempo, costes de certificación y aportará confianza a tus clientes durante la experiencia de pago.

← Atrás Volver al blog

También te puede interesar

La pasarela de pagos es el servicio que permite que tus clientes puedan realizar sus pagos de forma efectiva y segura en tu ecommerce. El proceso del pago es sin duda un momento clave que cualquier comercio electrónico debe cuidar al detalle si no quiere perder ventas, sino al contrario, incrementarlas. Por ello, contar con […]

saber más

La normativa PSD2 es directiva de la Unión Europea relativa a los servicios de pagos digitales. La Directiva de Servicios de Pago o Payment Service Directive se creó hace más de diez años con el objetivo de regular los servicios de pago y proveedores de servicios de pago en la Unión Europea. Originariamente se puso […]

saber más

Un marketplace en ecommerce es un tipo de tienda online donde compradores pueden encontrar productos de diferentes vendedores.  ¿Sabías que en España la palabra marketplace está siendo cada vez más buscada a través de Google?: 40 puntos de interés en 2017 vs 78 puntos de interés en 2019.  Esta tendencia se ve reforzada con el […]

saber más
1 2 5
  • Este campo es un campo de validación y debe quedar sin cambios.