Conoce lo más importante sobre PCI

Lo más importante sobre Payment Card Industry Security Standards y las entidades que lo exigen.

Conoce lo más importante sobre PCI (Payment Card Industry Security Standards)

Share on facebook
Share on twitter
Share on linkedin

Uno de los puntos iniciales es comprender que PCI no es un producto que tenga fecha de vencimiento, sino más bien, se trata de una certificación que exige un seguimiento y  cumplimiento permanente con revisiones periódicas.

El cumplimiento lo exigen las entidades emisoras de las tarjetas de crédito (Visa, Master Card, Amex) y no el Consejo de PCI (PCI Council). En México es requisito para poder procesar cobros con cualquier tipo de tarjeta.

La historia de PCI comienza en 2006 cuando cinco entidades financieras, a raíz del alto índice de fraudes con tarjetas decidieron crear un programa de seguridad de datos y fundaron un consejo denominado PCI Security Standards Council.

Grupo conformado inicialmente por American Express, Discover Financial Services, JCB International, Master Card y VISA. Posteriormente, varias organizaciones se han ido sumado a los esfuerzos para mejorar los estándares y vigilar su cumplimiento.

Así es como surge el estándar PCI-DSS que significa Payment Card Industry – Data Security Estándar y consiste de una serie de normas de seguridad que exigen 12 requerimientos agrupados en 6 categorías.

Principios que busca proteger

  • Construir y mantener redes seguras.
  • Proteger la información del derechohabiente.
  • Contar con programas de pruebas de vulnerabilidades.
  • Implementar controles de acceso robustos.
  • Monitorear y probar acceso a la red regularmente.
  • Mantener políticas de seguridad de la información.

¿A quiénes se les aplica?

Para determinar si el establecimiento debe cumplir con PCI será:

  • Siempre que transmitan, procesen o almacenen datos de tarjetas de crédito.
  • Comercios minoristas, bancos, ecommerce y proveedores de estos servicios.

Perfiles de PCI 

  • Quién exige el cumplimiento de PCI es la entidad financiera (VISA, MC, Amex, etc.)
  • Quienes vigilan y apoyan en el cumplimiento estándar, diferentes figuras de manera que los establecimientos obtengan ayuda adecuada de los expertos en seguridad que les orienten y evalúen el cumplimiento, como sigue:
    • QSA (Qualified Security Assessors). Este tipo de entidad es un externo que está calificado por el PCI Council para realiza evaluaciones de cumplimiento del estándar. Para ello pasa a su vez por un proceso de certificación.
    • ASV (Approved Scanning Vendor) – Este tipo de entidad es un externo que está calificado para validar el apego al estándar PCI DSS realizando escaneos de vulnerabilidades de ambientes de cara a internet, de establecimientos y proveedores de servicios.
    • PA-QSA (Payment Application – Qualified Security Assessor) – El estándar PA – DSS aplica a los fabricantes de software y otros componentes que desarrollan aplicaciones que almacenen, procesen o transmitan datos del tarjetahabiente o de la tarjeta. El PA-QSA es el tipo de entidad externo que está calificado para certificar el cumplimiento del fabricante del PA-DSS.

Servicios alrededor de PCI

Como proveedor de seguridad de la información, existen varios caminos para apoyar a la industria en el cumplimiento del estándar PCI:

  • Certificarse en alguna de las figuras mencionadas, con un foco especial.
  • Proporcionar servicios relacionados con los controles que solicita el estándar.

En cualquiera de estos esquemas, el valor que un proveedor de si puede ofrecer es su experiencia y visión en la mitigación de riesgos y en la protección de datos sensibles.

Requisitos que deben cumplir para PCI

  • Instalar y mantener una configuración de firewall para proteger los datos de las tarjetas.
  • No usar contraseñas y otros parámetros de seguridad como vienen de fábrica (valores por omisión).
  • Proteger los datos del titular de la tarjeta que fueron almacenados.
  • Cifrar la transmisión de los datos de las tarjetas a través de redes públicas.
  • Utilizar un software antivirus y actualizarlo regularmente.
  • Desarrollar y mantener sistemas y aplicaciones seguras.
  • Restringir el acceso a los datos de las tarjetas conforme a la necesidad de la empresa (need-to-know).
  • Asignar nombres de usuario únicos a cada persona que tenga acceso al sistema.
  • Limitar el acceso físico a los lugares donde se almacenen datos de las tarjetas.
  • Rastrear y supervisar los accesos a los recursos de red y los datos de los titulares de las tarjetas.
  • Probar los sistemas y procesos de seguridad regularmente.
  • Mantener una política que aborde la seguridad de la información.

Para cada requisito, existe una amplia gama de servicios e infraestructura de apoyo al establecimiento, orientados a la seguridad de su operación sensible y, por ende, al cumplimiento del estándar.

Para que tu establecimiento cumpla con los requisitos de PCI, puedes consultar la página oficial de PCI y en particular el área de preguntas frecuentes (FAQ) a través de la página: https://www.pcisecuritystandards.org/

Fuente: https://www.magazcitum.com.mx/?p=590#.XeVTtuhKjIU

Share on facebook
Share on twitter
Share on linkedin

Publicaciones Recientes

¿Sabes qué es el eCommerce Conversacional?

¿Sabes qué es el eCommerce Conversacional?

Share on facebook
Share on twitter
Share on linkedin

El eCommerce Conversacional es el proceso en que los clientes y proveedores pueden establecer conversaciones por medio de una plataforma online.
Los objetivos y las estrategias son muy variados, pero a continuación les mencionamos  algunos ejemplos:

  • e-commerce-ameliorer-confiance-consommateur.jpgReducir los ciclos de venta ofreciendo atención inmediata y solución a dudas.
  • Intercambiar preguntas, archivos, información.
  • Ofrecer un mejor servicio al cliente en el momento.
  • Levantar tickets para que diferentes áreas puedan operar un caso en tiempo real.
  • Asesorar a los usuarios en el momento de selección y pago.
  • Generación de pedidos en la plataforma.

Con esta dinámica se crea confianza en la plataforma y la percepción de seguridad por parte del usuario que está guiado y asesorado al momento del proceso completo de la compra, pero de una forma no intrusiva, en donde él puede hacer uso o no de la herramienta para conversar.

Se ha comprobado que el seguimiento puntual de los clientes dentro de las plataformas ha permitido un incremento en ventas de un 300%.

db0c6bdd-ac5e-469b-9e5a-683365da99a0Si quieres asesoría sobre formas de implementar soluciones de eCommerce Conversacional, te invitamos a escribirnos a hola@openpay.mx

Publicaciones Recientes

Kichink ofrece gran variedad de métodos de pago gracias a su integración con Openpay.

Kichink ofrece gran variedad de métodos de pago gracias a su integración con Openpay.

Share on facebook
Share on twitter
Share on linkedin

Esta iniciativa ha sido posible gracias a que durante el último año Kichink ha estado utilizando la tecnología que ofrece Openpay para realizar sus transacciones electrónicas.  El objetivo es crear mayor valor para los clientes y estimular la actividad de venta por medios electrónicos

Los métodos que tenemos disponibles en este momento son:

  • Tarjetas de Crédito.

Screen Shot 2015-10-20 at 2.00.12 PM

  • Tarjetas de Débito.

Screen Shot 2015-10-20 at 2.01.02 PM

  • Tiendas de Conveniencia. (Ver la lista completa aquí)

logosmall

La integración con cada uno de estos esquemas se realiza de forma automática para todos los usuarios que tienen su tienda creada en la plataforma; la actualización automática es otro de los beneficios que Kichink ofrece.

Si requieres más información o ayuda para crear tu tienda en línea con Kichink te invitamos a contactarnos en @Openpaymx o por medio de correo electrónico en hola@openpay.mx

Share on facebook
Share on twitter
Share on linkedin

Publicaciones Recientes

¿Qué tipo de pagos acepta OpenPay?

¿Qué tarjetas acepta OpenPay?

tarjetaOpenPay acepta tarjetas mexicanas: American Express, Carnet, MasterCard y Visa. Estas pueden ser de crédito, débito o servicios.

En el caso de pagos con tarjetas internacionales solamente pueden ser de crédito.