Lista de verificación de cumplimiento de PCI: lo que todo negocio de comercio electrónico debe saber
Publicado: 2022-10-03Parece que todos los días escuchamos sobre una nueva violación de datos. Solo en 2020, grandes empresas como J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon y Staples sufrieron violaciones de datos, lo que costó grandes sumas de dinero y perjudicó la confianza de los clientes.
Es fácil pensar que "eso solo les sucede a los grandes", pero el hecho es que el 90 % de las infracciones afectan a las pequeñas empresas. Por esta razón, los minoristas de comercio electrónico que procesan pagos con tarjeta de crédito o débito en línea, ¡así que casi todos! – debe ser compatible con PCI. Entonces, ¿qué es el cumplimiento de PCI y cómo puede ayudar a su negocio? ¡Vamos a sumergirnos!
¿Qué es el cumplimiento de PCI?
PCI es un acrónimo de "Industria de tarjetas de pago". También puede verlo como PCI DSS, que significa "Estándar de seguridad de datos de la industria de tarjetas de pago". De cualquier manera, la definición de cumplimiento de PCI es "un conjunto de requisitos destinados a garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro".
El cumplimiento de PCI fue desarrollado en 2006 por PCI Security Standards Council (PCI SSC) , un organismo independiente compuesto por líderes de la industria de tarjetas de pago de Visa, MasterCard, American Express, Discover y JCB (por lo que a veces se lo denomina “tarjeta de crédito”). cumplimiento de la tarjeta”). Su objetivo es proteger a todas las partes involucradas en las transacciones de pago, incluidas las redes de pago, los procesadores, las instituciones financieras, los clientes y las empresas.
¿Por qué es importante el cumplimiento de PCI?
El cumplimiento de PCI no es un requisito legal. Sin embargo, no seguir los protocolos PCI podría causar problemas legales a los minoristas de comercio electrónico. ¿Cómo? Si su empresa sufre una filtración de datos y las investigaciones resultantes revelan que sus procesos no cumplían con PCI, puede estar sujeto a miles de dólares en multas y tarifas del gobierno y del emisor de la tarjeta de pago, y se pueden presentar demandas y reclamos de seguros en su contra por no para cumplir con los estándares PCI. Además, podría perder la confianza del cliente, empleados valiosos, la capacidad de aceptar tarjetas de pago (la sentencia de muerte para los minoristas en línea) y estar sujeto a mayores costos de cumplimiento.
Por lo tanto, si bien no puede ser penalizado simplemente por no cumplir con PCI, puede ser responsable de cualquier infracción que ocurra si no cumple. Y, como se mencionó anteriormente, el 90 % de las infracciones afectan a las pequeñas empresas, por lo que es mejor prevenir que curar.
Quizás se pregunte por qué los ciberdelincuentes querrían ir tras las pequeñas empresas; después de todo, ¡hay peces mucho más grandes para freír! Bueno, los ciberdelincuentes ven a las pequeñas empresas como presa fácil. Saben que la mayoría de los grandes minoristas cumplirán con PCI y, por lo tanto, serán menos vulnerables. Sin embargo, están apostando a que muchas pequeñas empresas no han tomado las medidas necesarias para cumplir con PCI, lo que las convierte en una presa fácil.
6 tipos de infracciones de seguridad contra las que protege el cumplimiento de PCI
Si bien los ciberdelincuentes siempre buscarán una manera de ingresar a pesar de las protecciones (eso es precisamente lo que hacen), el cumplimiento de PCI puede hacer mucho para proteger contra los siguientes seis tipos de desastres de seguridad .
- Malware. Los delincuentes usan software malicioso para infiltrarse en un sistema informático y robar datos de pago. El ransomware , en el que un hacker retiene datos como "rehenes" a cambio de dinero en Bitcoin, es una de las formas de malware de más rápido crecimiento.
- Suplantación de identidad. Un vehículo común de entrega de malware, los correos electrónicos de phishing (como una factura o una solicitud de información del C-suite) parecen legítimos para convencer a las personas de que los abran. Sin embargo, contienen enlaces o archivos adjuntos maliciosos que pueden infectar una computadora y todo el sistema.
- Acceso remoto. Los controles de acceso remoto débiles, por ejemplo, los que utilizan sus proveedores de terminales de pago, permiten que los ciberdelincuentes obtengan acceso a sus sistemas que almacenan, procesan o transmiten datos de pago.
- Contraseñas débiles . Hay una razón por la cual las contraseñas hoy en día solicitan diferentes letras mayúsculas y minúsculas, números y símbolos especiales: más del 80% de las filtraciones de datos involucran contraseñas robadas o débiles.
- Software obsoleto. Las fallas en el software obsoleto a menudo "no se corrigen", lo que facilita que los ciberdelincuentes se infiltren.
- Desnatado. Si bien esto solo se aplica a las tiendas físicas, el skimming es cuando los delincuentes conectan pequeños "dispositivos de skimming" de hardware a los lectores de tarjetas que roban los datos de pago de los clientes cuando usan tarjetas de pago. Entonces, se pueden crear tarjetas falsificadas para realizar compras ilegales.
Los 4 niveles de cumplimiento de PCI
¿Cree que no es justo que su pequeña empresa esté sujeta a los mismos estándares PCI que una empresa multimillonaria como Amazon? ¡La buena noticia es que no lo es! Hay cuatro niveles de cumplimiento de PCI, que están determinados por la cantidad de transacciones que maneja una empresa cada año.
- Nivel 1: Comerciantes que procesan más de 6 millones de transacciones con tarjeta al año.
- Nivel 2: Comerciantes que procesan de 1 a 6 millones de transacciones al año.
- Nivel 3: Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año.
- Nivel 4: Comerciantes que procesan menos de 20.000 transacciones al año.
El PCI SSC también ofrece un sencillo cuestionario de autoevaluación en su sitio web que lo ayudará a determinar qué requisitos del estándar de seguridad de datos PCI son aplicables a su negocio.
Cómo pueden prepararse las empresas emergentes y las pequeñas empresas de comercio electrónico con esta lista de verificación de cumplimiento de PCI
A continuación se muestran las formas en que puede aumentar sus niveles de cumplimiento de PCI para proteger su negocio y sus clientes. Piense en esto como su "Lista de verificación de cumplimiento de PCI". Los 12 requisitos de cumplimiento de PCI pertenecen a un principio, y estos principios son:
- Construya y mantenga una red segura
- Proteja los datos del titular de la tarjeta
- Mantener un programa de gestión de vulnerabilidades.
- Implementar fuertes medidas de control de acceso
- Supervise y pruebe regularmente las redes
- Mantener una política de seguridad de la información.
1. Usar y mantener cortafuegos
Cuando un ciberdelincuente u otro actor desconocido, malicioso o no, intenta acceder a datos privados en su sistema, un cortafuegos básicamente bloquea su entrada. Por supuesto, los cortafuegos no son impenetrables y se pueden encontrar vulnerabilidades (razón por la cual es importante mantenerlos mediante actualizaciones), pero son una buena primera línea de defensa.
2. Use protecciones de contraseña adecuadas
El software y el hardware de terceros a menudo vienen con contraseñas genéricas y medidas de seguridad predeterminadas a las que los ciberdelincuentes pueden acceder fácilmente. Para cumplir con PCI, debe cambiar estas contraseñas y ajustar las configuraciones básicas, así como mantener una lista de todos los dispositivos que requieren una contraseña u otros medios de acceso.
3. Proteger los datos almacenados del titular de la tarjeta
Los datos del titular de la tarjeta nunca deben almacenarse más allá del tiempo necesario para finalizar una transacción, a menos que así lo requieran las necesidades legales, reglamentarias o comerciales. Si el almacenamiento es necesario, las empresas deben limitar el almacenamiento y el tiempo de retención al mínimo, purgando los datos al menos cada trimestre. El cumplimiento de PCI también aborda cómo deben mostrarse los números de cuenta primarios (PAN), por ejemplo, solo revelando los primeros seis y los últimos cuatro dígitos.
4. Cifrar los datos transmitidos
Cuando los datos del titular de la tarjeta se transmiten a través de redes públicas, esta es una excelente oportunidad para que los ciberdelincuentes los intercepten. Este requisito de PCI establece que los datos del titular de la tarjeta deben cifrarse siempre que se envíen a estas ubicaciones conocidas y que nunca se deben enviar a ubicaciones desconocidas.
5. Usar y mantener software antivirus
Se requiere un software antivirus como McAfee o Norton para cualquier dispositivo que interactúe o almacene PAN. Al igual que su firewall, este software debe actualizarse regularmente para que las vulnerabilidades puedan corregirse. Consulte la lista de PC del mejor software antivirus para 2021.
6. Mantenga sistemas y aplicaciones seguras
Las empresas de comercio electrónico deben mantener el software seguro, trabajando con sus proveedores de software para garantizar que los parches de seguridad estén actualizados y sean fácilmente accesibles y ejecutables. Además de implementar parches críticos de manera oportuna, las empresas deben crear un proceso para descubrir nuevas vulnerabilidades y clasificarlas. Estas actualizaciones son especialmente importantes para todo el software de los dispositivos que interactúan con los datos de los titulares de tarjetas o los almacenan.
7. Restringir el acceso a los datos del titular de la tarjeta
Los datos del titular de la tarjeta son información muy confidencial y solo deben ser vistos por los agentes que absolutamente necesitan saberlo. La mayoría de su personal y terceros no necesitarán acceder a esta información, por lo que debe estar restringida. Aquellos roles que necesitan acceso a estos datos deben estar altamente documentados y actualizados periódicamente.
8. Asigne identificaciones únicas para el acceso
En lugar de tener un solo nombre de usuario y contraseña de inicio de sesión para los datos del titular de la tarjeta, las personas que necesitan acceso deben tener credenciales e identificación individuales. Esto garantiza que cada vez que alguien acceda a los datos del titular de la tarjeta, esa actividad pueda rastrearse hasta un usuario conocido o, al menos, reconocerse inmediatamente como acceso no autorizado. Para el acceso remoto, se requiere una autorización de dos factores que proporciona una capa adicional de seguridad.
9. Restrinja el acceso físico a los datos
Todos los datos del titular de la tarjeta en el sitio deben mantenerse físicamente en una ubicación segura, monitorearse y requerir registros. Deben establecerse procedimientos para identificar rápidamente a las personas que no pertenecen. Las copias de seguridad también deben mantenerse en un sitio secundario seguro. Por último, cuando la empresa ya no necesita los datos, debe destruirlos.
10. Redes de auditoría regularmente
El cumplimiento de PCI requiere que las empresas de comercio electrónico supervisen y prueben sus redes periódicamente para asegurarse de que no haya vulnerabilidades físicas o inalámbricas. Se necesitan pistas de auditoría automatizadas, junto con la capacidad de reconstruir eventos, en caso de que ocurra una infracción. Los datos de auditoría deben protegerse y mantenerse durante al menos un año.
11. Escanear y probar vulnerabilidades
Las vulnerabilidades ocurren debido a la actividad cibercriminal, fallas en el funcionamiento, errores humanos y la introducción de un nuevo código. Esto significa que todos los sistemas y procesos internos y externos deben probarse trimestralmente para garantizar que se mantenga la seguridad. Otros requisitos actuales de PCI DSS incluyen pruebas de penetración, así como el uso de sistemas de prevención y detección de intrusos. Además, se requiere el monitoreo de archivos para el cumplimiento de PCI, de modo que se generen alertas cada vez que un usuario haya modificado el contenido, la configuración o un archivo del sistema de manera no autorizada.
12. Políticas de seguridad de documentos
El inventario de equipos, software y empleados que tienen acceso a los datos deberá documentarse para el cumplimiento. También se deben documentar los registros de acceso a los datos del titular de la tarjeta y la forma en que la información fluye hacia su empresa, dónde se almacena y cómo se utiliza después de la venta. Además, se debe designar a una persona o un equipo para crear iniciativas de concientización sobre seguridad y para evaluar a posibles empleados, contratistas, etc. como parte del proceso de contratación para evitar filtraciones de datos internos.
Presupuesto para el cumplimiento de PCI
Lograr y mantener los 12 pasos del cumplimiento de PCI sin duda costará dinero. Por supuesto, la cantidad de dinero dependerá del nivel de cumplimiento de su empresa, el tamaño de su organización, la cultura de seguridad de su empresa, el tipo de tecnología que utiliza y si puede pagar un profesional de TI/PCI dedicado.
Sin embargo, debido a que el costo del incumplimiento puede ser tan alto en caso de que ocurra una violación de datos (y, sinceramente, no se trata de si ocurrirá, sino de cuándo), vale la pena encontrar el presupuesto para ello, incluso si eso significa recortar gastos en otros lugares o aumentar el precio de ciertos productos temporalmente para recaudar dinero. Al final, tendrá un negocio de comercio electrónico seguro y tranquilidad para usted y sus clientes.
Reduzca las preocupaciones sobre la seguridad de los datos con The Fulfillment Lab
La tecnología proporciona a los minoristas de comercio electrónico muchos beneficios, desde el control del inventario hasta el seguimiento de los envíos, el procesamiento de pagos y la seguridad de los datos de los clientes. Por supuesto, adquirir estos sistemas requiere una gran inversión financiera, ¡y siempre hay una curva de aprendizaje!
Cuando descargue el cumplimiento de pedidos a The Fulfillment Lab, un líder en marketing de comercio electrónico con 14 instalaciones internacionales, elimine la carga del envío de sus manos. También reducirá muchas de sus preocupaciones sobre el cumplimiento de PCI porque obtendrá acceso a nuestro software de vanguardia Global Fulfillment System (GFS) . Este sistema seguro le permite controlar el inventario, realizar un seguimiento de los envíos, personalizar el embalaje y procesar los pagos. Asegúrese de consultar nuestro blog, 10 razones para usar un centro de cumplimiento para su envío de comercio electrónico , para obtener más información, y no dude en comunicarse con nosotros para obtener más información.