Skip to main content

5 Consejos para cumplir con PCI fácilmente

El cumplimiento de PCI puede parecer una arte arcana si usted es un pequeño comerciante, pero lo ignora bajo su propio riesgo. El incumplimiento de los estándares de seguridad desarrollados por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI) conlleva multas de $ 5,000 a $ 100,000 por mes.

Los estándares de seguridad de datos PCI (DSS) y muchos otros documentos de respaldo se pueden descargar fácilmente del sitio web del consejo, pero para las pequeñas empresas sin un profesional de seguridad de TI, los requisitos pueden ser desconcertantes. Sin embargo, hay algunas cosas que puede hacer para facilitar el proceso de cumplimiento y las medidas de seguridad que impone. Aunque todavía sugiero contratar a un Asesor de Seguridad Calificado (QSA), estos consejos pueden orientarlo en la dirección correcta.

No almacene datos de titulares de tarjetas

Para simplificar enormemente las medidas de seguridad requeridas para el cumplimiento de PCI, no lo haga Guarde o almacene los datos de los titulares de tarjetas en forma escrita o digital. Use un lector de tarjetas, un POS y / o un procesador de pagos que no conserve esta información en sus sistemas para que no tenga que preocuparse por proteger y encriptar esos datos. Consulte con los proveedores de pago para obtener detalles sobre sus modelos en particular.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Nunca guarde la información de autenticación de la tarjeta de crédito.

Si necesita conservar los datos del titular de la tarjeta facturación u otros fines comerciales requeridos, verifique con su procesador de pagos para ver si ofrecen opciones que le permitan ingresar y almacenar los datos en sus sistemas. Si debe almacenar los datos usted mismo, recuerde que deberá seguir muchas más medidas de seguridad y nunca podrá almacenar la información de autenticación confidencial: datos completos de banda magnética, el código de seguridad o el PIN.

Elija un PCI que cumpla Web host

Si vende productos o realiza pagos a través de su sitio web, elija un plan de alojamiento web compatible con PCI y una aplicación de comercio electrónico o carrito de compras. Algunas empresas de alojamiento web publican públicamente sus detalles de cumplimiento en su sitio web, pero en muchos casos tendrá que preguntar al departamento de ventas o soporte. Para las aplicaciones de comercio electrónico y los carritos de compra, puede consultar la Lista de solicitudes de pago validadas del consejo de PCI.

Es probable que tenga mayores probabilidades de cumplir con PCI si utiliza planes de alojamiento compartido más baratos debido a la forma en que los servidores se dividen entre múltiples propietarios de sitios web. Pero puede salirse con la suya usando uno (incluso no cumple) si elige una solución de pago alojada en la que los clientes se reenvíen a un sitio compatible para ingresar los detalles de su tarjeta de crédito, como PayPal Standard, 2Checkout o Authorize. Red. Y es posible que desee considerar una solución de pago alojada, incluso si su plan de alojamiento web es compatible, a fin de reducir las medidas de seguridad que debe tomar. Sin embargo, si desea integrar completamente el proceso de pago dentro de su sitio, es posible que deba recurrir a un servidor virtual privado o dedicado más caro, que generalmente cumple con PCI.

Use terminales de acceso telefónico en lugar de terminales IP

Los terminales de la tarjeta de crédito de acceso telefónico se conectan a su línea telefónica y se comunican con el procesador de pagos de forma similar a como los viejos módems de 56K se conectaban a la conexión telefónica a Internet. Son más lentos que los terminales basados ​​en IP, pero pueden reducir considerablemente el entorno de datos del titular de la tarjeta: las computadoras y los componentes donde se almacena, procesa o transmite la información del titular de la tarjeta, reduciendo así las medidas de seguridad que debe seguir.

tipo de terminal de tarjeta de crédito o sistema POS que elija, asegúrese de que sea compatible con PCI, ya sea a través del proveedor o verificando los Dispositivos de Seguridad de Transacciones con PIN Aprobado y / o la Lista de Solicitudes de Pago Validadas del consejo PCI. También verifique con los proveedores cómo funcionan sus terminales e infórmese sobre aquellos que facilitan el cumplimiento.

Use una red separada para el procesamiento de pagos

Si usa terminales de tarjetas de crédito basados ​​en IP, puede ser más fácil tener una red completamente separada con su propia conexión a Internet para el procesamiento de pagos. Esto puede facilitar las medidas de seguridad que debe tomar durante la configuración inicial de la red y las que debe cumplir en el futuro para cumplir con PCI.

Lectores de tarjetas móviles seguros

Para pequeñas empresas que brindan servicios in situ, soluciones de lector de tarjetas móviles como Square, GoPayment o PayPal Aquí son muy atractivos. Ofrecen una manera rápida y fácil de comenzar a aceptar pagos con tarjeta de crédito y se pueden usar con teléfonos inteligentes o tabletas a través de una conexión de datos móviles o Wi-Fi. Aunque los requisitos actuales de PCI DSS (versión 2.0) no se refieren específicamente a lectores de tarjetas móviles, las empresas aún deben garantizar que estas soluciones cumplan con PCI.

El PCI publicó pautas de seguridad para asegurar soluciones de pago móvil que usa con sus teléfonos inteligentes o tabletas. Básicamente, debe asegurarse de que los dispositivos móviles se mantengan física y digitalmente protegidos contra el robo, el uso no autorizado, el malware y la piratería. No haga jailbreak ni rootee su dispositivo ni habilite otras funciones que puedan hacer que el dispositivo no sea seguro, como la depuración de USB en dispositivos Android. Instale una aplicación antivirus y descargue aplicaciones solo de fuentes confiables como la tienda de aplicaciones oficial. Y recuerde que si los dispositivos móviles están conectados a una conexión Wi-Fi bajo el control de la empresa mientras usa el lector de tarjetas, la red debe cumplir con PCI.