Articles

PCI FAQs

Bienvenido a la Guía de cumplimiento de PCI.

Haga clic en los enlaces de abajo para encontrar respuestas a las preguntas más frecuentes.

P1: ¿Qué es PCI?
Q2: ¿A quién se aplica el PCI DSS?
Q3: ¿Dónde puedo encontrar el Estándar de Seguridad de Datos PCI (PCI DSS)?
Q4: ¿Cuáles son los «niveles» de cumplimiento de PCI y cómo se determinan?
Q5: ¿Qué tiene que hacer una pequeña y mediana empresa (comerciante de nivel 4) para satisfacer los requisitos de PCI DSS?
Q6: ¿Cómo funciona tomar tarjetas de crédito por teléfono con PCI?
Q7: Si solo acepto tarjetas de crédito por teléfono, ¿el PCI DSS sigue aplicándome?
Q8: ¿Las organizaciones que utilizan procesadores de terceros tienen que cumplir con PCI DSS?
Q9: Mi negocio tiene varias ubicaciones, ¿se requiere cada ubicación para validar el cumplimiento de PCI?
Q10: Solo hacemos comercio electrónico. ¿Qué SAQ deberíamos usar?
Q11: Mi empresa no almacena datos de tarjetas de crédito, por lo que el cumplimiento de PCI no se aplica a nosotros, ¿verdad?
Q12: ¿Las transacciones con tarjeta de débito están dentro del alcance de PCI?
Q13: ¿Cumplo con PCI si tengo un certificado SSL?
P14: Mi empresa quiere almacenar datos de tarjetas de crédito. ¿Qué métodos podemos usar?
Q15: ¿Cuáles son las sanciones por incumplimiento?
P16: ¿Qué se define como «datos del titular de la tarjeta»?
P17: ¿Cuál es la definición de ‘comerciante’?
Q18: ¿Qué constituye un Proveedor de Servicios?
Q19: ¿Qué constituye una solicitud de pago?
P20: ¿Qué es una pasarela de pago?
Q21: ¿Qué es PA-DSS?
Q22: ¿Se puede imprimir el número completo de la tarjeta de crédito en la copia del recibo del consumidor?
Q23: ¿Necesito escanear vulnerabilidades para validar el cumplimiento?
P24: ¿Qué es un análisis de vulnerabilidades?
P25: ¿con qué frecuencia debo tener un análisis de vulnerabilidades?
P26: ¿Qué pasa si mi empresa se niega a cooperar?
Q27: Si dirijo un negocio desde mi casa, ¿soy un objetivo serio para los hackers?
Q28: ¿Qué debo hacer si estoy comprometido?
Q29: ¿Los estados tienen leyes que exigen notificaciones de violación de datos a las partes afectadas?

Q1: ¿Qué es PCI?

A: El Estándar de Seguridad de Datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de estándares de seguridad diseñados para garantizar que TODAS las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.

El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) se lanzó el 7 de septiembre de 2006 para gestionar la evolución en curso de los estándares de seguridad de la Industria de Tarjetas de Pago (PCI) con un enfoque en mejorar la seguridad de las cuentas de pago durante todo el proceso de transacción. El PCI DSS es administrado y gestionado por el PCI SSC (www.pcisecuritystandards.org), un organismo independiente creado por las principales marcas de tarjetas de pago (Visa, MasterCard, American Express, Discover y JCB.). Es importante tener en cuenta que las marcas de pago y los adquirentes son responsables de hacer cumplir el cumplimiento, no el consejo PCI. Una copia del PCI DSS está disponible aquí.

Volver al principio

Q2: ¿A quién se aplica el PCI DSS?

A: El PCI DSS se aplica a CUALQUIER organización, independientemente del tamaño o número de transacciones, que acepte, transmita o almacene datos de titulares de tarjetas.

Volver al principio

Q3: ¿Dónde puedo encontrar el Estándar de Seguridad de Datos PCI (PCI DSS)?

A: Los documentos PCI DSS actuales se pueden encontrar en el sitio web del PCI Security Standards Council.

Volver al principio

P4: ¿Cuáles son los «niveles» de cumplimiento de PCI y cómo se determinan?

A: Todos los comerciantes caerán en uno de los cuatro niveles de comercio según el volumen de transacciones de Visa durante un período de 12 meses. El volumen de transacciones se basa en el número total de transacciones Visa (incluidas las de crédito, débito y prepago) de un comerciante que hace Negocios como («DBA»). En los casos en que una corporación mercantil tiene más de un DBA, los adquirentes de Visa deben considerar el volumen agregado de transacciones almacenadas, procesadas o transmitidas por la entidad corporativa para determinar el nivel de validación. Si los datos no se agregan, de modo que la entidad corporativa no almacena, procesa ni transmite datos del titular de la tarjeta en nombre de varios DBA, los adquirentes seguirán considerando el volumen de transacciones individuales del DBA para determinar el nivel de validación.

Niveles de comerciante definidos por Visa:

Comerciante Nivel Descripción
1 Cualquier comerciante, independientemente de la aceptación del canal de procesamiento de más de 6M de Visa de transacciones por año. Cualquier comerciante que Visa, a su entera discreción, determine debe cumplir con los requisitos de comerciante de Nivel 1 para minimizar el riesgo para el sistema de Visas.
2 Cualquier comerciante, independientemente del canal de aceptación, procesa transacciones de Visa de 1 a 6 millones por año.
3 Cualquier comerciante que procese transacciones de comercio electrónico de Visa de 20,000 a 1 MILLÓN por año.
4 Cualquier comerciante que procese menos de 20,000 transacciones de comercio electrónico de Visa por año, y todos los demás comerciantes, independientemente del canal de aceptación, procesen hasta 1 millón de transacciones de Visa por año.

* Cualquier comerciante que haya sufrido una violación que haya resultado en un compromiso de los datos de la cuenta puede escalarse a un nivel de validación más alto.

Volver al principio

P5: ¿Qué tiene que hacer una pequeña y mediana empresa (comerciante de Nivel 4) para satisfacer los requisitos de PCI DSS?

A: Para satisfacer los requisitos de PCI, un comerciante debe completar los siguientes pasos:

  • Determine qué Cuestionario de autoevaluación (SAQ) debe usar su empresa para validar el cumplimiento. Consulte la tabla a continuación para ayudarle a seleccionar. (Haga clic en el gráfico para ampliarlo.)
    Gráfico SAQ PCI 3.0
  • Complete el Cuestionario de autoevaluación de acuerdo con las instrucciones que contiene.
  • Complete y obtenga pruebas de un escaneo de vulnerabilidad de paso con un proveedor de escaneo (ASV) aprobado por PCI SSC. El escaneo de notas no se aplica a todos los comerciantes. Se requiere para SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Comerciante y SAQ D-Proveedor de Servicios.
  • Completar el Certificado de cumplimiento correspondiente en su totalidad (ubicado en la herramienta SAQ).
  • Envíe el SAQ, la evidencia de un escaneo de aprobación (si corresponde) y la Certificación de cumplimiento, junto con cualquier otra documentación solicitada, a su adquirente.

Lea nuestra publicación de blog, » The PCI Basics / Quick Guide-What Do Small Merchants Need to Do to Achieve PCI Compliance?»

Volver al principio

Q6: ¿Cómo funciona tomar tarjetas de crédito por teléfono con PCI?

A: El siguiente post, » ¿Cómo funciona Tomar Tarjetas de Crédito por Teléfono con PCI?»explica sus responsabilidades de cumplimiento de PCI al tomar información de tarjetas de crédito por teléfono (por ejemplo, en un centro de llamadas). Tenga en cuenta que, si bien este post se publicó en 2014, sigue siendo relevante con la versión actual del PCI DSS.

Volver al principio

Q7: Si solo acepto tarjetas de crédito por teléfono, ¿el PCI DSS todavía se aplica a mí?

A: Sí. Todas las empresas que almacenen, procesen o transmitan datos de titulares de tarjetas de pago deben cumplir con PCI.

Volver al principio

P8: ¿Las organizaciones que utilizan procesadores de terceros tienen que cumplir con PCI DSS?

A: Sí. El mero uso de una empresa de terceros no excluye a una empresa del cumplimiento de PCI DSS. Puede reducir su exposición al riesgo y, en consecuencia, reducir el esfuerzo para validar el cumplimiento. Sin embargo, esto no significa que puedan ignorar el PCI DSS.

Volver al principio

Q9: Mi negocio tiene varias ubicaciones, ¿se requiere cada ubicación para validar el cumplimiento de PCI?

A: Si las ubicaciones de su empresa se procesan con el mismo número de identificación fiscal, por lo general solo debe validar una vez al año para todas las ubicaciones. Y, envíe escaneos de red trimestrales aprobados por un Proveedor de escaneos (ASV) aprobado por PCI SSC para cada ubicación, si corresponde.

Volver al principio

Q10: Solo hacemos comercio electrónico. ¿Qué SAQ deberíamos usar?

A: Depende de cómo esté configurado su carrito de compras. Consulte PCI SAQ 3.1: Explicación de las opciones de Comercio Electrónico.

Volver al principio

Q11: Mi empresa no almacena datos de tarjetas de crédito, por lo que el cumplimiento de PCI no se aplica a nosotros, ¿verdad?

A: Si acepta tarjetas de crédito o débito como forma de pago, el cumplimiento de PCI se aplica a usted. El almacenamiento de los datos de la tarjeta es arriesgado, por lo que si no almacena los datos de la tarjeta, puede ser más fácil convertirse en seguro y cumplir con las normas.

Volver al principio

Q12: ¿Las transacciones con tarjeta de débito están dentro del alcance de PCI?

A: Las tarjetas de alcance interno incluyen cualquier tarjeta de débito, crédito y prepago con la marca de una de las cinco asociaciones de tarjetas/logotipos de marca que participan en el PCI SSC: American Express, Discover, JCB, MasterCard y Visa International.

Volver al principio

Q13: ¿Cumplo con PCI si tengo un certificado SSL?

A: No. Los certificados SSL no protegen un servidor web de ataques maliciosos o intrusiones. Los certificados SSL de alta garantía proporcionan el primer nivel de seguridad y tranquilidad para el cliente, como los siguientes, pero hay otros pasos para lograr el cumplimiento de PCI. Consulte la pregunta » ¿Qué tiene que hacer una pequeña y mediana empresa (comerciante de nivel 4) para satisfacer los requisitos de PCI?»

  • Una conexión segura entre el navegador del cliente y el servidor web
  • Validación de que los operadores del sitio web son una organización legítima y legalmente responsable

Ver entrada de blog relacionada», PCI DSS v3.1 y SSL: Lo que debe hacer AHORA.»
Volver al principio

Q14: Mi empresa quiere almacenar datos de tarjetas de crédito. ¿Qué métodos podemos usar?

A: La mayoría de los comerciantes que necesitan almacenar datos de tarjetas de crédito lo hacen para facturación recurrente. La mejor manera de almacenar datos de tarjetas de crédito para la facturación recurrente es utilizando una bóveda de tarjetas de crédito de terceros y un proveedor de tokenización. Al utilizar una bóveda, los datos de la tarjeta se eliminan de su posesión y se le devuelve un «token» que se puede usar con el propósito de realizar una facturación recurrente. Al usar un tercero, transfieres el riesgo de almacenar los datos de la tarjeta a alguien que se especialice en hacerlo y tenga todos los controles de seguridad implementados para mantener seguros los datos de la tarjeta.

Si necesita almacenar los datos de la tarjeta usted mismo, su barra de autoevaluación es muy alta y es posible que deba tener un QSA (Evaluador de Seguridad calificado) en el lugar y realizar una auditoría para asegurarse de que tiene todos los controles necesarios para cumplir con las especificaciones PCI DSS.

Consulte la publicación de blog relacionada, » ¿Podemos Almacenar de Forma Segura los Datos de la Tarjeta para la Facturación Recurrente?»

Volver al principio

P15: ¿Cuáles son las sanciones por incumplimiento?

A: Las marcas de pago pueden, a su discreción, multar a un banco adquirente de 5 5,000 a month 100,000 por mes por violaciones de cumplimiento de PCI. Lo más probable es que los bancos pasen esta multa hasta que finalmente llegue al comerciante. Además, lo más probable es que el banco también termine su relación o aumente las tarifas de transacción. Las sanciones no se discuten abiertamente ni se publicitan ampliamente, pero pueden ser catastróficas para una pequeña empresa. Es importante estar familiarizado con su acuerdo de cuenta de comerciante, que debe describir su exposición.

Lea más sobre las sanciones por incumplimiento en nuestra publicación de blog, » ¿Cómo Pueden Sus Esfuerzos de Cumplimiento de PCI, en Última Instancia, Ahorrar Dinero a Su Empresa?»

Volver al principio

Q16: ¿Qué se define como «datos del titular de la tarjeta»?

A: El PCI Security Standards Council (SSC) define los «datos del titular de la tarjeta» como el Número de Cuenta principal completo (PAN) o el PAN completo junto con cualquiera de los siguientes elementos:

  • Nombre del titular de la tarjeta
  • Fecha de caducidad
  • Código de servicio

Los datos de autenticación confidenciales, que también deben protegerse, incluyen datos completos de banda magnética, CAV2, CVC2, CVV2, CID, pines, bloques de pines y más.

Volver al principio

P17: ¿Cuál es la definición de «comerciante»?

A: A los efectos del PCI DSS, un comerciante se define como cualquier entidad que acepta tarjetas de pago con los logotipos de cualquiera de los cinco miembros de PCI SSC (American Express, Discover, JCB, MasterCard o Visa) como pago de bienes y/o servicios. Tenga en cuenta que un comerciante que acepta tarjetas de pago como pago de bienes y/o servicios también puede ser un proveedor de servicios, si los servicios vendidos resultan en el almacenamiento, procesamiento o transmisión de datos del titular de la tarjeta en nombre de otros comerciantes o proveedores de servicios. Por ejemplo, un ISP es un comerciante que acepta tarjetas de pago para la facturación mensual, pero también es un proveedor de servicios si aloja comerciantes como clientes. Fuente: PCI SSC

Volver al principio

P18: ¿Qué constituye un Proveedor de Servicios?

A: El PCI SSC define a un Proveedor de Servicios de esta manera:
«Entidad comercial que no es una marca de pago, que participa directamente en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta. Esto también incluye a las empresas que prestan servicios que controlan o podrían afectar la seguridad de los datos del titular de la tarjeta.»(Fuente: www.normas de seguridad del pcis.org)

El rol de » comerciante como proveedor de servicios «se especifica además en el PCI SSC como» un comerciante que acepta tarjetas de pago como pago de bienes y/o servicios if si los servicios vendidos resultan en el almacenamiento, procesamiento o transmisión de datos del titular de la tarjeta en nombre de otros comerciantes o proveedores de servicios.»Obtenga más información sobre cómo lograr el cumplimiento normativo como Proveedor de Servicios. Consulte nuestra publicación de blog, » Cumplimiento de PCI y el proveedor de servicios.»

Volver al principio

Q19: ¿Qué constituye una solicitud de pago?

A: ¿Qué constituye una solicitud de pago en relación con el cumplimiento de PCI? El término solicitud de pago tiene un significado muy amplio en PCI. Una aplicación de pago es cualquier cosa que almacena, procesa o transmite datos de tarjetas electrónicamente. Esto significa que cualquier cosa, desde un sistema de Punto de venta (por ejemplo, terminales de deslizamiento Verifone, terminales ALOHA, etc.) en un restaurante a un sitio web, el carrito de compras de comercio electrónico (por ejemplo, CreLoaded, osCommerce, etc.) se clasifica como aplicaciones de pago. Por lo tanto, cualquier pieza de software que haya sido diseñada para tocar los datos de la tarjeta de crédito se considera una aplicación de pago.

Volver al principio

Q20: ¿Qué es una pasarela de pago?

A: Las pasarelas de pago conectan a un comerciante con el banco o procesador que actúa como conexión front-end con las marcas de tarjetas. Se llaman pasarelas porque toman muchas entradas de una variedad de aplicaciones diferentes y enrutan esas entradas al banco o procesador apropiado. Las pasarelas se comunican con el banco o el procesador mediante conexiones de acceso telefónico, conexiones basadas en la web o líneas arrendadas privadas.

Volver al principio

Q21: ¿Qué es PA-DSS?

A: PA-DSS se refiere al Estándar de Seguridad de Datos de Aplicaciones de pago mantenido por el PCI Security Standards Council (SSC) para abordar el problema crítico de la seguridad de las aplicaciones de pago. Los requisitos del PA-DSS están diseñados para garantizar que los proveedores proporcionen productos que respalden los esfuerzos de los comerciantes para mantener el cumplimiento de PCI DSS y eliminar el almacenamiento de datos confidenciales de titulares de tarjetas.

El PCI SSC administra el programa para validar el cumplimiento de las solicitudes de pago con el PA-DSS, y publica y mantiene una lista de aplicaciones validadas por PA-DSS. Consulte Estándares de seguridad PCI para obtener más información. También vea nuestra publicación de blog sobre la diferencia crítica entre el PCI DSS y el PA-DSS aquí.

Volver al principio

Q22: ¿Se puede imprimir el número completo de la tarjeta de crédito en la copia del recibo del consumidor?

A: El requisito PCI DSS 3.3 indica » Panorámica de máscara cuando se muestra (los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se mostrarán).»Si bien el requisito no prohíbe la impresión del número de tarjeta completo o la fecha de caducidad en los recibos (ya sea la copia del comerciante o la copia del consumidor), tenga en cuenta que PCI DSS no anula ninguna otra ley que regule lo que se puede imprimir en los recibos (como la Ley de Transacciones de Crédito Justas y Precisas de EE.UU. (FACTA) o cualquier otra ley aplicable).

Consulte la nota en cursiva en el requisito PCI DSS 3.3 » Nota: Este requisito no sustituye a los requisitos más estrictos en vigor para la presentación de datos del titular de la tarjeta, por ejemplo, los requisitos legales o de marca de tarjeta de pago para recibos de punto de venta (POS). Cualquier recibo en papel almacenado por los comerciantes debe cumplir con el PCI DSS, especialmente el requisito 9 con respecto a la seguridad física». Fuente: PCI SSC

Volver al principio

Q23: ¿Necesito escanear vulnerabilidades para validar el cumplimiento?

A: Si califica para ciertos Cuestionarios de autoevaluación (SAQs) o almacena electrónicamente los datos del titular de la tarjeta después de la autorización, se requiere un escaneo trimestral por parte de un Proveedor de Escaneo aprobado por PCI SSC (ASV) para mantener el cumplimiento. Si califica para cualquiera de los siguientes SAQs bajo la versión 3.x del PCI DSS, entonces debe tener un escaneo ASV que pasa:

  • SAQ A-EP
  • SAQ B-IP
  • SAQ C
  • SAQ D-Merchant
  • SAQ D-Service Provider

Volver al principio

Q24: ¿Qué es un escaneo de vulnerabilidades?

A: Un análisis de vulnerabilidades implica una herramienta automatizada que comprueba los sistemas de un comerciante o proveedor de servicios en busca de vulnerabilidades. La herramienta llevará a cabo un análisis no intrusivo para revisar de forma remota las redes y las aplicaciones web en función de las direcciones de protocolo de Internet (IP) de cara externa proporcionadas por el comerciante o proveedor de servicios. El análisis identifica vulnerabilidades en sistemas operativos, servicios y dispositivos que podrían ser utilizados por hackers para dirigirse a la red privada de la empresa. Según lo dispuesto por un Proveedor de Escaneo aprobado (ASV), como ControlScan, el escaneo no requiere que el comerciante o proveedor de servicios instale ningún software en sus sistemas, y no se realizarán ataques de denegación de servicio. Obtenga más información sobre los análisis de vulnerabilidades aquí.

Volver al principio

Q25: ¿Con qué frecuencia debo realizar un análisis de vulnerabilidades?

A: Cada 90 días/una vez por trimestre, aquellos que cumplan con los criterios anteriores deben enviar un escaneo aprobado. Los comerciantes y proveedores de servicios deben presentar la documentación de cumplimiento (informes de escaneo exitosos) de acuerdo con el calendario determinado por su adquirente. Los escaneos deben ser realizados por un Proveedor de escaneos (ASV) aprobado por PCI SSC, como ControlScan.

Consulte la entrada de blog relacionada, » Análisis de vulnerabilidades Internas vs.Externas: Por qué Necesita Ambos.»

Volver al principio

P26: ¿Qué pasa si mi empresa se niega a cooperar?

A: La PCI no es, en sí misma, una ley. El estándar fue creado por las principales marcas de tarjetas Visa, MasterCard, Discover, AMEX y JCB. A discreción de sus adquirentes/proveedores de servicios, los comerciantes que no cumplan con PCI DSS pueden estar sujetos a multas, costos de reemplazo de tarjetas, costosas auditorías forenses, daños a la marca, etc., en caso de que ocurra un evento de violación.

Por un poco de esfuerzo y costo iniciales para cumplir con el PCI DSS, usted ayuda en gran medida a reducir el riesgo de enfrentar estas consecuencias extremadamente desagradables y costosas. Descubra cómo ControlScan ayuda a simplificar el PCI DSS.

Volver al principio

P27: Si dirijo un negocio desde mi casa, ¿soy un objetivo serio para los hackers?

A: Sí. Los usuarios domésticos son posiblemente los más vulnerables simplemente porque generalmente no están bien protegidos. Adoptando un modelo de «ruta de menor resistencia», los intrusos a menudo se enfocarán en los usuarios domésticos, a menudo explotando sus conexiones de banda ancha siempre activas y los programas típicos de uso doméstico, como chat, juegos de Internet y aplicaciones para compartir archivos P2P. El servicio de escaneo de ControlScan permite a los usuarios domésticos y a los administradores de red identificar y corregir cualquier vulnerabilidad de seguridad en sus computadoras de escritorio o portátiles.

Vea la entrada de blog relacionada, » 5 Mejores Prácticas para Asegurar Su Pequeño Negocio.»

Volver al principio

Q28: ¿Qué debo hacer si estoy comprometido?

A: Si bien muchas violaciones de datos de tarjetas de pago se pueden prevenir fácilmente, pueden ocurrir y siguen ocurriendo en empresas de todos los tamaños.

Si su pequeña o mediana empresa ha descubierto que se ha violado, hay muchos buenos recursos para ayudarlo con los próximos pasos. Recomendamos lo siguiente:

  • Departamento de Justicia, Mejores Prácticas para la Respuesta a las Víctimas y la Denuncia de Incidentes Cibernéticos
  • PCI Council, Responding to a Data Breach – A How-to Guide for Incident Management
  • Asociación de Transacciones Electrónicas (ETA), Respuesta a la violación de datos: Una Guía de Nueve pasos para comerciantes más pequeños

Volver al principio

Q29: ¿Los estados tienen leyes que requieren notificaciones de violación de datos a las partes afectadas?

A: Absolutamente. California es el catalizador para reportar violaciones de datos a las partes afectadas. El estado implementó su ley de notificación de infracciones en 2003, y ahora casi todos los estados tienen una ley similar en vigor.

A partir del 12 de abril de 2017, NCSL.org informes: Cuarenta y ocho estados, el Distrito de Columbia, Guam, Puerto Rico y las Islas Vírgenes han promulgado leyes que exigen que las entidades privadas, gubernamentales o educativas notifiquen a las personas las violaciones de la seguridad de la información relacionada con información de identificación personal.

Volver al principio