En el mundo del comercio electrónico, bastante se escucha hablar sobre el estándar PCI DSS a la hora de recibir pagos con tarjeta de crédito. Uno de los principales dilemas es si toda clase de comercios debe cumplir con PCI DSS o no a la hora de recibir pagos con tarjetas de crédito, o que si mi pasarela de pagos está certificada PCI DSS entonces mi comercio también, y ni hablar de la cantidad de siglas que se usan para cada tema, QSA, ASV, ROC, AOC, ETC!! . En este artículo te aclaramos algunos temas con el fin de que tu comercio pueda estar tranquilo y en cumplimiento con éste estándar.
PCI DSS (Payment Card Industry – Data Security Standard), es un conjunto de estándares de seguridad redactados por las principales empresas de tarjetas de crédito (VISA, MasterCard, Amex, Diners, otras) para proteger la información de tarjetas de crédito y débito.
Para la protección de datos de tarjeta de crédito, PCI ha definido una lista de requerimientos de seguridad clasificados en 12 dominios y 250 requerimientos. Si quieres conocer estos requisitos a detalle puedes consultar el sitio web de PCI DSS. https://www.pcisecuritystandards.org/document_library/ .
Sobre las siglas de PCI DSS.
- SAQ (Self-Assessment Questionnaire): El cuestionario de autoevaluación es una herramienta con la que las empresas se autoevalúan desde el punto de vista de cumplimiento de los requisitos de PCI DSS. El SAQ podrá variar dependiendo del flujo de los datos de la tarjeta de crédito en cada comercio. Si deseas conocer el tipo de SAQ que te aplica puedes buscar el documento “SAQ Instructions and Guidelines” en el sitio web de PCI DSS https://www.pcisecuritystandards.org/document_library/ .
- ROC (Report of Compliance): Es un documento que elabora un auditor certificado (QSA) por PCI DSS luego de evaluar a las empresas según los requisitos de PCI DSS. Contiene información detallada de la auditoría (diagramas, inventarios, configuraciones), por ende es un documento confidencial de cada empresa auditada.
- QSA (Qualified Security Assessor): Los asesores de seguridad cualificados (QSA) son organizaciones (QSAC) de seguridad independientes cualificadas por el PCI.
- AOC (Attestation of Compliance): Es un documento que da fe de los resultados de la evaluación. Afirma o testifica que todo lo dicho en el SAQ o ROC esté en cumplimiento y se puede compartir con cualquiera.
- ASV (Approved Scanning Vendor): Son fabricantes de escáneres o proveedores de servicios de escaneo de vulnerabilidades aprobados por PCI DSS para dar cumplimiento al requisito 11.2.2 de PCI DSS (Escaneos Trimestrales Externos) el cual menciona que trimestralmente se debe realizar un escaneo de vulnerabilidades a los servicios expuestos a internet.
¿Quién debe cumplir con PCI DSS?
Deben cumplir con PCI DSS todos los comercios que reciban pagos con tarjeta de crédito, no importa su tamaño, y proveedores de servicio que procesan o almacenan datos de tarjetahabientes en nombre de los comercios, tales como procesadores de pagos e e-commerces.
La gran pregunta: si mi pasarela (procesador de pagos) es certificada PCI DSS yo también lo soy?
La gran respuesta: NO. Si eres un comercio y recibes pagos con tarjetas de crédito, uses o no una pasarela de pagos, también debes cumplir con PCI DSS, pero será menos rígida la exigencia dependiendo del número de transacciones que hagas en un año y del modelo de integración con tu pasarela.
Sobre el modelo de integración con tu pasarela. Si usas el checkout de tu pasarela, los datos de tarjeta de crédito los recibe directamente tu pasarela y seguramente tendrás menos requisitos que cumplir, pero igual tienes que cumplir con PCI DSS.
Si los datos de tarjeta de crédito los recibes en tu ecommerce, tendrás que dar cumplimiento a más requisitos.
¿Cómo demuestro el cumplimiento de PCI DSS?
Las empresas deben cumplir con diferentes requisitos dependiendo de la cantidad de transacciones anuales y de la marca de pago que usan (Visa, Mastercard, American Express, Discover, JCB, etc.).
En Payválida nos tomamos la seguridad muy en serio, es por esto que cumplimos con la certificación PCI DSS bajo los parámetros de nivel 1.
Si usas nuestros servicios de pasarela de pagos, recuerda que esto no es garantía de que tu comercio esté cumpliendo o este certificado PCI DSS, pero si es un gran valor para tu negocio, por lo cual te invitamos a que revises tus procesos a fin de identificar en qué nivel debes demostrar cumplimiento y por ende las acciones y esfuerzos que debes llevar a cabo.
Conclusiones
- Si tu empresa es nivel 2, 3 o 4 seguramente debas llenar un SAQ, pero si se clasifica nivel 1, entonces deberás llenar un ROC el cual implica una auditoría en sitio por parte de un QSA.
- Si tu empresa es nivel 2, 3 o 4, debes saber que existen diferentes categorías de SAQ según el método de pago que tenga tu empresa.
- En ambos casos debes presentar los formularios con un AOC firmado por tu empresa y/o por un auditor certificado en caso de que un tercero te lo pida.
- Si usas el checkout de la pasarela, te ahorras mucho esfuerzo.
