El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue creado por el comité PCI SSC (Payment Card Industry Security Standards Council), el cual se conformó por compañías de tarjetas de débito y crédito como American Express, Visa Inc, Mastercard Worldwide, entre otras, con el objetivo de orientar a las empresas a cumplir los estándares de seguridad para la protección de datos e información de los usuarios.
En el amplio mundo de la industria de pagos, la seguridad es vital para toda organización que se desarrolle en este ámbito. Se requiere del cumplimiento de altos estándares y procesos sólidos para la protección de datos de los titulares de tarjetas, así como la información de autenticación de los mismos, que ayuden a la prevención y detección de fraudes o incidentes. Es por ello que existe la certificación PCI DSS.
El cumplimiento o certificación PCI DSS es un conjunto de políticas de seguridad para los titulares de tarjetas de crédito, débito y/o prepago y se aplica a toda entidad que maneje tarjetas como medio de pago, así estas utilicen a un tercero para generar el proceso de transacción. Esto ayuda no sólo a la protección de los usuarios, también genera confianza en ellos.
“Las PCI DSS son unas normas de seguridad polifacéticas que incluyen requisitos para la gestión de la seguridad, políticas, procedimientos, arquitectura de redes, diseño de software y otras medidas de protección fundamentales. Estas normas integrales están pensadas para facilitar a las organizaciones la protección proactiva de los datos de cuentas de clientes”, de acuerdo con el sitio web oficial PCI Security Standard Council.
Los principales datos que requieren seguridad son el nombre completo del usuario, el número de cuenta principal, la fecha de caducidad, el número de verificación personal (PIN), el código de servicio, el código de verificación y los datos completos.
De acuerdo con el marco de certificación, se requiere de doce requisitos fundamentales y más de trescientos sobre requisitos. Algunos de ellos son la instalación y mantenimiento de un firewall, no utilizar contraseñas por defecto suministradas por el proveedor en los dispositivos conectados a la red, la protección de los datos almacenados del titular de la tarjeta mediante encriptación u otros métodos de protección de datos, encriptación de los datos de los titulares de tarjetas en redes públicas abiertas, protección contra el malware, mantenimiento de los sistemas y aplicaciones, restricción de acceso a los datos de los titulares de tarjetas, identificación y autenticación del acceso a los componentes del sistema, control y restricción del acceso físico a los datos de los titulares de tarjetas, supervisión del acceso a los datos de los titulares de tarjetas, poner a prueba con regularidad los sistemas de seguridad y mantenimiento de una política de seguridad de la información, por mencionar los principales.
Estos estándares se cumplen en función del número de transacciones con tarjeta que se procesan durante un periodo de 12 meses y consta de cuatro niveles, siendo el primero con más de seis millones de transacciones anuales en todos sus canales y el cuarto con menos de veinte mil transacciones de comercio electrónico al año aproximadamente.
Su implementación se realizó a partir del año 2004; durante el año 2006 se publicó la versión 1.1 y para el año 2018 se tenía la versión 3.2.1 que coexistió con la 4.0. Actualmente existe la PCI DSS v4.0 para abordar las amenazas y tecnologías emergentes.
El incumplimiento de estos requisitos se basa en una diferencia de factores, como las infracciones, la gravedad de estas, el tiempo de solución del problema, entre otros. Si una organización no cumple con estos requerimientos PCI, podría impedir la utilización de tarjetas de cualquier tipo para ningún pago dentro de su sistema.
“Las organizaciones tienen hasta el 31 de marzo del año 2025 para cumplir todos los estándares de esta última versión”, de acuerdo con el sitio web Cloudflare.
En SoloPago, nos esforzamos constantemente para garantizar la seguridad y protección de los datos de nuestros clientes. Es por ello que cumplimos con la certificación PCI, un testimonio de nuestro compromiso con los más altos estándares de seguridad en la industria. Esta certificación no solo valida nuestro compromiso con la protección de la información confidencial, sino que también refuerza la confianza de nuestros clientes en nuestra capacidad para salvaguardar sus datos de manera efectiva.