Una guía para el cumplimiento de PCI
El cumplimiento de la industria de tarjetas de pago (PCI) se refiere a los estándares técnicos y operativos que las empresas siguen para asegurar y proteger los datos de tarjetas de crédito proporcionados y transmitidos a través de transacciones de procesamiento de tarjetas. PCI brinda a los comerciantes la oportunidad de identificar y abordar las amenazas y vulnerabilidades de las tarjetas de pago que podrían conducir a una brecha. Hace que los comerciantes sean responsables de proteger su entorno de negocios y las políticas que conducen a una violación de datos.
Cumplimiento de PCI: 12 Requerimientos Sobrearcadores
Si bien los niveles de cumplimiento de PCI varían, es obligatorio para cualquier negocio que acepte tarjetas de crédito. Existen 12 requerimientos globales para el cumplimiento de PCI:
- Instale y mantenga un firewall para proteger los datos de los titulares de tarjetas.
- Desarrollar y mantener sistemas y aplicaciones seguros.
- Pruebe regularmente los sistemas y procesos de seguridad.
- Cifre las transmisiones de datos de titulares de tarjetas a través de redes públicas abiertas.
- Proteja los datos almacenados del titular de la tarjeta.
- No utilice contraseñas de sistema predeterminadas suministradas por el proveedor.
- Asigne una identificación única a cada persona con acceso a la computadora.
- Restrinja el acceso a los datos de los titulares de tarjetas según la necesidad de saber del negocio.
- Utilice y actualice regularmente el software antivirus.
- Realice un seguimiento y supervise todo el acceso a los recursos de red y a los datos de los titulares de tarjetas.
- Restrinja el acceso físico a los datos del titular de la tarjeta.
- Mantener una política que aborde la seguridad de la información para todo el personal.
Si se produce una violación y se determina que el negocio no cumplía en ese momento, enfrentará multas y tarifas así como daños a la reputación.
Niveles de Cumplimiento de Normas de PCI
Comerciantes de Nivel Uno
Los comerciantes de nivel uno procesan más de 6 millones de transacciones con tarjeta anualmente a través de todos los canales (tarjeta presente, no presente, comercio electrónico). Los comerciantes que se consideran de nivel uno deben hacer lo siguiente:
- Complete un Informe anual sobre cumplimiento (ROC) a través de un Asesor de Seguridad Calificado (QSA)
- Análisis trimestrales completos de la red por parte de un Proveedor de Escaneo Aprobado (ASV)
- Complete el formulario de certificación de cumplimiento
GoTab se enorgullece de anunciar que somos Comerciantes de Nivel Uno en el nivel de Cumplimiento de PCI.
Comerciantes de Nivel Dos
Los comerciantes de nivel dos procesan de 1 a 6 millones de transacciones con tarjeta anualmente a través de todos los canales. Los comerciantes que se consideran de nivel dos deben:
- Completar un Cuestionario Anual de Autoevaluación (SAQ)
- Complete un análisis de red trimestral por ASV
- Complete el formulario de certificación de cumplimiento
Comerciantes de Nivel Tres
Los comerciantes de nivel tres procesan de 20,000 a 1 millón de transacciones con tarjeta anualmente exclusivamente a través de eCommerce. Los comerciantes que se consideran de nivel tres deben hacer lo siguiente:
- Completar un SAQ anual
- Complete un escaneo de red trimestral por un ASV
- Complete el formulario de certificación de cumplimiento
Comerciantes de Nivel Cuatro
Los comerciantes de nivel cuatro procesan hasta 1 millón de transacciones con tarjeta anualmente a través de todos los canales, y no procesan más de 20,000 transacciones con tarjeta a través del comercio electrónico. Los comerciantes de nivel cuatro deben:
- Completar un SAQ anual
- Complete un escaneo de red trimestral por un ASV
- Complete el formulario de certificación de cumplimiento.
Cambio de responsabilidad de EMV
EMV significa Europay, Mastercard y Visa, las tres compañías que ayudaron a crear el estándar tecnológico. La tecnología EMV es una herramienta importante para que los comerciantes luchen contra el fraude contracargo.
Entonces, ¿qué son los chips EMV, y cómo funcionan? Son microchips incrustados en una tarjeta de pago que permite que los pagos se realicen de manera más segura que la banda magnética tradicional. Los datos en chips EMV están encriptados, por lo que es más difícil de clonar. A diferencia de la banda magnética anticuada con su información de tarjeta fácilmente legible, un chip EMV contiene un algoritmo seguro que genera un nuevo código de autenticación para cada transacción. Este código se envía al banco emisor para su confirmación antes de que se pueda procesar la transacción.
El cambio de responsabilidad de EMV fue un cambio en las reglas que hizo responsables a los comerciantes sin terminales de pago compatibles con EMV por el costo de cualquier reclamo de fraude realizado contra esas transacciones. Según las nuevas reglas, si la tarjeta falsificada o robada tiene un chip EMV y el comerciante no lo escanea, el banco adquirente será responsable del fraude en lugar del banco emisor. El banco adquirente pasará entonces el costo al comerciante como parte de su acuerdo. Por lo tanto, los comerciantes tienen un incentivo financiero para actualizar sus terminales de pago.
Quién es responsable
Cuando un comerciante acepta una tarjeta de banda magnética falsificada con datos de seguimiento copiados de una tarjeta con chip EMV, y la tarjeta se desliza en un dispositivo POS que no está habilitado para chip EMV y se procesa la transacción, el comerciante puede ser responsable del contracargo resultante del fraude. Esto solo se refiere a las transacciones en las que se leyó la banda magnética, y no se aplica a las transacciones sin contacto.
No hay cambio de responsabilidad para las transacciones de respaldo, son el resultado de que el chip de la tarjeta no se lee y el mensaje de autorización no contiene datos del chip. Por lo tanto, las transacciones de respaldo se consideran transacciones de banda magnética y la responsabilidad recae en el emisor de la tarjeta.
La capacidad de aceptar pagos con tarjeta es un privilegio. Lograr y mantener el cumplimiento de PCI mientras se tiene un terminal POS que tiene capacidades de lectura de chip es la mejor manera de proteger su negocio y su derecho a aceptar tarjetas de crédito.
Libro de jugadas de Tap Room Episodio 2:
Cuando realmente lo piensas, con todo lo que los gerentes necesitan hacer en una sala de grifo, el aspecto de la hospitalidad a menudo se pasa por alto.
Ver ahora →Libro de jugadas de Tap Room Episodio 3:
Las mejores cervecerías prestan atención a lo que representa su marca. ¿Cómo dan vida los mejores cerveceros a su marca?
Ver ahora →