Para el e-commerce, el impacto de la pandemia ha favorecido y aumentado el número de transacciones. 5 de cada 10 empresas en México están duplicando su crecimiento en Internet, y 2 de cada 10 registran incrementos al 300% en el volumen de negocios de ventas online, la (AMVO). Esto se refleja en el hecho de que 2 de cada 10 marcas y comercios esperan que para este 2021 el e-commerce represente más del 30% del total de sus ventas.
Debido a este exponencial crecimiento de las transacciones de comercio electrónico, el estándar de seguridad PCI DSS, administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), ha tomado gran relevancia, por lo que la Comisión Nacional Bancaria y de Valores de México (CNBV), emitió en el Capítulo X de la Circular Única de Bancos, las normas relativas a la seguridad en la transmisión y custodia de la información sensitiva de los datos del tarjetahabiente, tanto en medios físicos como electrónicos, con el propósito de proteger la confidencialidad e integridad de los clientes mediante diversos lineamientos que deben ser cumplidos por todos los participantes en el proceso de aceptación de tarjetas, incluidos los comercios pequeños o definidos como de nivel 4.
Los pequeños comercios con un millón o menos de transacciones con tarjeta y 20.000 o menos transacciones de comercio electrónico, son definidos por las principales compañías de tarjetas de crédito como comercios de nivel 4. Por lo que un comercio de nivel 4 también está obligado a cumplir la PCI DSS y puede validar su cumplimiento completando con éxito un cuestionario de autoevaluación (SAQ) anual y escaneos externos de red trimestrales realizados por un proveedor de escaneos aprobado (ASV) por el PCI SSC. Un comercio de nivel 4 también puede, a su discreción, contratar a un evaluador de seguridad calificado (QSA) aprobado por el PCI SSC para una evaluación in situ.
PCI DSS es un estándar de ciberseguridad respaldado por todas las principales compañías de tarjetas de crédito y procesamiento de pagos, que tiene como objetivo mantener seguros los datos de las tarjetas de crédito y débito.
“El estándar PCI DSS establece controles de ciberseguridad y prácticas de negocio que cualquier empresa que acepte pagos con tarjeta de crédito debe implementar. Es por ello que todas las entidades que almacenan, transmiten o procesan datos de titulares de tarjetas, independientemente de su tamaño, deben cumplir con los requisitos que se establecen en este estándar”, comentó Raúl Mejía, VP International Operations, GM Sectec.
Requerimientos de PCI DSS para los Comercios Pequeños
El estándar PCI DSS establece 12 requerimientos fundamentales para los comerciantes:
- Req. 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
- Req. 2: No utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
- Req. 3: Proteger los datos almacenados del titular de la tarjeta.
- Req. 4: Cifrar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.
- Req. 5: Utilizar y actualizar regularmente el software antivirus.
- Req. 6: Desarrollar y mantener sistemas y aplicaciones seguros.
- Req. 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad comercial de la empresa.
- Req. 8: Asignar una identificación única a cada persona con acceso a la computadora.
- Req. 9: Restringir el acceso físico a los datos del titular de la tarjeta.
- Req. 10: Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta.
- Req. 11: Probar regularmente los sistemas y procesos de seguridad.
- Req. 12: Mantener una política que aborde la seguridad de la información.
Recomendaciones para las entidades bancarias adquirientes
A la hora de implementar un programa de gestión de riesgos para comercios, el banco adquirente debe tener en cuenta los siguientes elementos:
- Animar a sus comercios de Nivel 4 a utilizar tecnologías de pago que desvaloricen y desensibilicen los datos de las tarjetas de pago. Las tecnologías de pago seguras incluyen EMV, soluciones validadas de cifrado punto a punto (P2PE) que figuran en el sitio web del PCI SSC y productos de tokenización.
- Incentivar a los comercios de nivel 4 a utilizar los últimos dispositivos de seguridad de transacciones con PIN (PTS) aprobados por la PCI (actualmente la versión 5.x). Los comercios que implementen nuevos dispositivos de pago deben utilizar únicamente dispositivos aprobados PCI PTS en sus entornos de pago.
- Asegurarse de que sus comercios de nivel 4 utilicen únicamente proveedores de servicios que cumplan con PCI DSS y que estos proveedores han completado con éxito una evaluación in situ realizada por una QSA aprobada por el PCI SSC.
- Validar que los comercios de nivel 4 utilicen aplicaciones de pago que cumplan con la Norma de Seguridad de Datos de Aplicaciones de Pago del Sector de las Tarjetas (PCI PA- DSS), según corresponda.
- Recomendar a sus comercios de Nivel 4 que utilicen un Integrador y Revendedor Cualificado (QIR) que figure en el sitio web del PCI SSC cuando implementen o den soporte a una aplicación de pago que cumpla con la PCI PA-DSS.
- Animar a sus comercios de nivel 4 de alto riesgo a que contraten a una QSA aprobado por el PCI SSC o a que utilicen un asesor de seguridad interno (ISA) cuando evalúen su cumplimiento de la PCI DSS.
Redacción
Recuerda dejarnos un comentario
RECOMENDAMOS ¿Qué es la economía circular y su importancia para un futuro sustentable?
Te compartimos el siguiente vídeo