Compartir
Publicidad

Si tu empresa almacena datos de tarjetas, la normativa para su custodia cambia hoy

Si tu empresa almacena datos de tarjetas, la normativa para su custodia cambia hoy
0 Comentarios
Publicidad
Publicidad

En Abril de 2016 se publicó una nueva versión del estándar de seguridad para la industria de las tarjetas de pago PCI-DSS y también la norma de obligado cumplimiento para todo comercio o empresa que procese, almacene o transmita datos de tarjetas. La nueva norma tiene diferentes grados de cumplimiento según el número de transacciones, tecnología empleada y tipo de tarjeta y entra en vigor hoy, 1 de enero de 2018.

El estándar PCI-DSS v3.2 tiene como finalidad poner a salvo datos de los titulares de las tarjetas como en PAN (Personal Account Number), nombre y apellidos, fecha de caducidad y también la información de autencicación para las transacciones, como la que contiene la banda magnética, o el chip, el código de verificación o el PIN.

Las empresas están obligadas a cumplir la norma para prevenir el fraude, aunque no incluye ningún tipo de sanción si no se hace. Esto no implica que las entidades emisoras de las tarjetas o las bancarias no puedan imponernos una sanción, además de tener que hacer frente a las que nos pueda imponer la LOPD ahora o el RGPD, a partir de mayo.

Para cumplir con la norma la compañía debe tener:

  • Redes y sistemas seguros, con un cortafuegos que impida el acceso externo y evitando utilizar claves por defecto o llevar un registro del acceso a los datos de los titulares.
  • Protección de los datos, tanto en el acceso desde los sistemas de la empresa como en su transmisión, que debe estar siempre cifrada para asegurar la comunicación.
  • Especial cuidado con los problemas de malware, virus y agujeros de seguridad. Los sistemas de la empresa deben ser seguros y estar actualizados.
  • Control de accesos a los datos, con el máximo nivel de restricción para que solo las personas autorizadas puedan acceder, pero también que exista una trazabilidad para saber quién ha accedido a ellos.

Para un pequeño comercio o una tienda online estas buenas prácticas empiezan por no almacenar datos de autenticación de tarjetas dentro de la web o e-commerce, ni siquiera en los logs del sistema. Si no necesitamos almacenar datos de tarjetas de pago, mejor no hacerlo o externalizar las transacciones con terceros que garanticen que se cumplen las normas PCI-DSS.

En Pymes y Autónomos | Negocios obligados a aceptar el pago con tarjeta, así quiere Italia luchar contra el fraude

Imagen | Negative Space

Temas
Publicidad
Comentarios cerrados
Publicidad
Publicidad
Inicio