En Abril de 2016 se publicó una nueva versión del estándar de seguridad para la industria de las tarjetas de pago PCI-DSS y también la norma de obligado cumplimiento para todo comercio o empresa que procese, almacene o transmita datos de tarjetas. La nueva norma tiene diferentes grados de cumplimiento según el número de transacciones, tecnología empleada y tipo de tarjeta y entra en vigor hoy, 1 de enero de 2018.
El estándar PCI-DSS v3.2 tiene como finalidad poner a salvo datos de los titulares de las tarjetas como en PAN (Personal Account Number), nombre y apellidos, fecha de caducidad y también la información de autencicación para las transacciones, como la que contiene la banda magnética, o el chip, el código de verificación o el PIN.
Las empresas están obligadas a cumplir la norma para prevenir el fraude, aunque no incluye ningún tipo de sanción si no se hace. Esto no implica que las entidades emisoras de las tarjetas o las bancarias no puedan imponernos una sanción, además de tener que hacer frente a las que nos pueda imponer la LOPD ahora o el RGPD, a partir de mayo.
Para cumplir con la norma la compañía debe tener:
- Redes y sistemas seguros, con un cortafuegos que impida el acceso externo y evitando utilizar claves por defecto o llevar un registro del acceso a los datos de los titulares.
- Protección de los datos, tanto en el acceso desde los sistemas de la empresa como en su transmisión, que debe estar siempre cifrada para asegurar la comunicación.
- Especial cuidado con los problemas de malware, virus y agujeros de seguridad. Los sistemas de la empresa deben ser seguros y estar actualizados.
- Control de accesos a los datos, con el máximo nivel de restricción para que solo las personas autorizadas puedan acceder, pero también que exista una trazabilidad para saber quién ha accedido a ellos.
Para un pequeño comercio o una tienda online estas buenas prácticas empiezan por no almacenar datos de autenticación de tarjetas dentro de la web o e-commerce, ni siquiera en los logs del sistema. Si no necesitamos almacenar datos de tarjetas de pago, mejor no hacerlo o externalizar las transacciones con terceros que garanticen que se cumplen las normas PCI-DSS.
En Pymes y Autónomos | Negocios obligados a aceptar el pago con tarjeta, así quiere Italia luchar contra el fraude
Imagen | Negative Space