Lo que todos los propietarios de comercio electrónico deben saber sobre el cumplimiento de PCI

¿Cómo estas? hablemos de Lo que todos los propietarios de comercio electrónico deben saber sobre el cumplimiento de PCI

El mundo moderno de la tecnología puede ser un lugar aterrador. Claro, Internet ha democratizado la información para los países desarrollados y continúa haciéndolo para países emergentes y en desarrollo a traves del globo. Big data está comenzando a alcanzar un punto catalizador, en el que su uso y su rentabilidad están creciendo de forma paralela y exponencial. Sin embargo, con todas nuestras tecnologías e innovaciones modernas, una preocupación muy real todavía pesa mucho en la mente de la mayoría de los consumidores: la seguridad.

Esto no podría ser más cierto en la industria del comercio electrónico, una industria plagada de historias de infracciones y derribos de piratas informáticos. Ya sea que esté hablando de Wal-Mart, Target o Home Depot, pocos minoristas están a salvo. De hecho, en 2014, los informes mostraron que algunos 43% de las empresas tuvo una violación de datos de algún tipo.

Es mucha información que cae en las manos equivocadas, pero antes de que realmente comencemos a preocuparnos, sepa esto: hay soluciones.

Introduzca los estándares de seguridad de datos (DSS) PCI (industria de tarjetas de pago)

Él Consejo de Normas de Seguridad PCI (PCI SSC) define una serie de Estándares de Seguridad de Datos (DSS) específicos que son relevantes para todos los comerciantes, independientemente de los ingresos y los volúmenes de transacciones de tarjetas de crédito.

Lograr y mantener el cumplimiento de PCI es el proceso continuo que emprende una organización para garantizar que se adhiere a los estándares de seguridad definidos por PCI SSC.

El SSC define y administra los estándares, mientras que el cumplimiento de los mismos lo hacen cumplir las propias compañías de tarjetas de crédito. Una vez más, estos estándares se aplican a todas las organizaciones que se ocupan de los datos de los titulares de tarjetas. Los datos del titular de la tarjeta se refieren específicamente al número de la tarjeta de crédito, junto con el nombre del titular de la tarjeta, la fecha de vencimiento y el código de seguridad (CSC).

Y, aquí está el truco: es responsabilidad del minorista garantizar el cumplimiento de PCI. Para los minoristas en línea que operan una tienda de comercio electrónico basada en SaaS que no tienen acceso a ningún dato del titular de la tarjeta de crédito (que es el caso de la mayoría de las plataformas de comercio SaaS modernas), su necesidad de cumplimiento de PCI se mitiga por completo. Los expertos que trabajan en el backend de su tecnología se han ocupado del trabajo pesado.

Si aloja y administra su propia plataforma de comercio electrónico, deberá garantizar el cumplimiento de PCI para su organización, y el primer paso es determinar el nivel de cumplimiento requerido.

Todos los comerciantes en línea se clasifican en uno de los cuatro niveles según el volumen de transacciones con tarjeta de crédito o débito durante un período de 12 meses. El nivel 1 es el más estricto en cuanto a los requisitos del DSS, mientras que el nivel 4 es el menos estricto:

PCI_Compliance_Ecommerce.png

Casi todas las pequeñas y medianas empresas (PYMES) se clasifican como comerciantes de Nivel 3 o Nivel 4 inferior, sin embargo, esto no excluye la necesidad de mantener el cumplimiento con la misma diligencia que las organizaciones más grandes. De hecho, es un concepto erróneo costoso que se encuentra entre las PYMES que creen que no necesitan preocuparse en absoluto por el cumplimiento porque no realizan un volumen lo suficientemente significativo de ventas en línea o en la tienda.

Cómo lograr el cumplimiento de PCI por su cuenta

El PCI DSS sigue pasos de sentido común que reflejan las mejores prácticas de seguridad. Hay tres pasos para adherirse a PCI DSS, que no es un evento único, sino un proceso continuo y continuo:

  • Primero, Evaluar: identifique los datos del titular de la tarjeta de los que es responsable, realice un inventario de sus activos de TI y procesos comerciales para el procesamiento de tarjetas de pago, y analícelos en busca de vulnerabilidades que puedan exponer los datos del titular de la tarjeta.
  • Segundo, remediar: solucione las vulnerabilidades y no almacene datos del titular de la tarjeta a menos que sea absolutamente necesario. Donde sea y cuando sea que los datos del titular de la tarjeta puedan ser retenidos por un organismo calificado externo en lugar de usted mismo, es ideal, porque nada alcanza el cumplimiento inmediato más rápido que no almacenar o transmitir datos de la tarjeta de crédito en absoluto.
  • Tercera, Reporte: compilar y enviar los registros de validación de remediación requeridos (si corresponde) y enviar informes de cumplimiento al banco adquirente y las marcas de tarjetas con las que hace negocios.

Tenga en cuenta que los comerciantes en línea de un cierto tamaño requieren análisis de vulnerabilidades externos trimestrales. Los comerciantes más grandes requieren auditorías de cumplimiento externas.

En total, los estándares de protección de datos y seguridad en línea aumentan continuamente. Las tecnologías SaaS incorporan este tipo de protección en sus plataformas y para las empresas en línea que no utilizan una solución SaaS, se les exige que alcancen niveles de cumplimiento similares a los de cualquier otro comerciante en línea.

Creo que Nate Silver lo dijo mejor. En un reciente podcast de Freakonomics, Silver habló brevemente sobre el error humano cuando se trata de la adopción masiva de nuevas tecnologías.

“Cuando la computadora personal se convirtió en un lugar común en la fuerza laboral en la década de 1970 y luego en el hogar a principios de la década de 1980, tomó un tiempo antes de que hubiera signos tangibles de ganancias de productividad en la economía, es decir, como diez, quince o veinte años, incluso . Así que creo que a la gente le encanta la nueva tecnología, pero sobrestiman la cantidad de factor humano que se interpone en el camino. No estoy tratando de ser lindo con eso, solo quiero decir que las personas necesitan aprender a usar estas herramientas, lo que pueden hacer y lo que no pueden hacer”.

La seguridad en línea está comenzando a llegar a ese punto en el que la saturación del mercado es alta. Esto significa que, al igual que la computadora, las personas ven la protección de datos en línea como una necesidad en lugar de algo agradable. Claro, las infracciones de grandes nombres sacaron el problema a la luz pública, pero desde entonces, se ha hecho mucho para educar al público y a los comerciantes en línea sobre el alcance total del problema y las posibles soluciones.

El cumplimiento de PCI es solo una de las muchas regulaciones implementadas para proteger tanto a los negocios en línea como a sus clientes.

No olvides enviarme invitación a Linkdin

sobre el autor

Estuardo Monroy

Te gustaría saber más sobre el autor, te invito que veas la sección de Nosotros en Consultor SEO, donde se extiende hablando sobre su experiencia, conocimientos y un poco de información personal.