Llegamos a ustedes gracias a:



Reportajes y análisis

Cinco consejos para facilitar el cumplimiento de PCI

[17/10/2013] La compatibilidad con PCI puede parecer un arte arcano si es un pequeño comerciante, pero lo ignora bajo su propio riesgo. El incumplimiento de los estándares de seguridad desarrollados por la el Security Standards Council de la Industria de Tarjetas de Pago (PCI por sus siglas en inglés) conlleva penalidades de cinco a cien mil dólares por mes.
Los Estándares de Seguridad de Datos PCI (DSS), y muchos otros documentos de apoyo, se pueden descargar desde la página web del concejo, pero para las pequeñas empresas sin un profesional de la seguridad de TI, los requisitos pueden ser desconcertantes. Sin embargo, hay algunas cosas que puede hacer para facilitar el proceso de cumplimiento y las medidas de seguridad que éste dicta. Aunque todavía sugiero contratar a un asesor de seguridad cualificado (QSA), estos consejos pueden apuntar en la dirección correcta.
No guarde los datos del titular
Para simplificar las medidas de seguridad requeridas para el cumplimiento de PCI, no guarde o almacene los datos de titulares de tarjetas en formato escrito o digital. Utilice un lector de tarjetas, puntos de venta, y/o procesador de pago que no conserva esta información en sus sistemas, por lo que no tendrá que preocuparse por la protección y el cifrado de los datos. Consulte con los proveedores de pago para obtener más información sobre sus modelos en particular.
Si necesita mantener los datos de los titulares de tarjetas de facturación recurrente, u otros fines empresariales requeridos, consulte con su procesador de pagos para ver si ofrecen opciones que permitan introducir y almacenar los datos en sus sistemas. Si tiene que almacenar los datos usted mismo, recuerde que tendrá que seguir muchas más medidas de seguridad, y nunca se puede almacenar la información confidencial de autenticación: datos completos de la banda magnética, código de seguridad, o el PIN.
Elija un servidor web compatible con PCI
Si vende productos o recibe pagos a través de su sitio web, elija un plan de alojamiento web que cumpla con PCI y comercio electrónico o la aplicación de carrito de compras. Algunas empresas de alojamiento web envían públicamente sus detalles de cumplimiento en su página web, pero en muchos casos, tendrá que pedírselo a los departamentos de ventas o soporte. Para las aplicaciones de comercio electrónico y carritos de compra, puede consultar la lista de aplicaciones de pago validadas del consejo PCI.
Es probable que tenga una oportunidad difícil de lograr el cumplimiento de PCI si utiliza planes de hosting compartidos más baratos, debido a la forma en que los servidores se dividen entre varios propietarios de sitios web. Pero puede ser capaz de salirse con la suya utilizando uno (que es incluso no sea compatible) si elige una solución de pago alojada donde los clientes son enviados a un sitio de cumplimiento para que introduzcan los datos de su tarjeta de crédito, como el estándar de PayPal, 2Checkout, o Authorize.net. Y es posible que desee considerar una solución de pago alojada incluso si su plan de alojamiento web es compatible, con el fin de reducir las medidas de seguridad que debe tomar. Sin embargo, si desea integrar plenamente el proceso de pago de su sitio, es posible que tenga que ir a un servidor privado virtual dedicado, o más caro, que suelen ser compatible con PCI.
Utilice terminales dial-up en lugar de terminales IP
Los terminales de tarjetas de crédito dial-up se conectan con su línea telefónica y se comunican con el procesador de pagos de un modo similar a la forma en que los antiguos módems de 56K se conectaban a Internet por vía telefónica. Son más lentos que los terminales basados en IP, pero pueden reducir en gran medida su entorno de datos del titular de la tarjeta -los equipos y componentes donde se almacena, procesa o transmite la información del titular- reduciendo así las medidas de seguridad que debe seguir.
No importa qué tipo de terminal de tarjeta de crédito o sistema POS elija, asegúrese de que sea compatible con PCI, ya sea a través del proveedor o mediante el Aproved PIN Security Devices y/o en la List of Validated Payment Applications del concejo PCI. También confirme con los vendedores sobre la forma en que funcionan sus terminales de trabajo y solicite información sobre el cumplimiento.
Utilice una red independiente para el procesamiento de pagos
Si hace uso de terminales de tarjetas de crédito basadas en IP, puede ser más fácil tener una red completamente independiente con su propia conexión a Internet, solo para el procesamiento de pagos. Esto puede facilitar las medidas de seguridad que debe tomar durante la configuración inicial de la red, y las que se deben seguir en el futuro para seguir siendo compatible con PCI.
Lectores móviles seguros
Para las pequeñas empresas que prestan servicios, las soluciones de lectores de tarjetas móviles como Square, GoPayment o PayPal Here son muy atractivas. Ellos ofrecen una forma rápida y fácil de empezar a aceptar pagos con tarjeta de crédito y se pueden utilizar con teléfonos inteligentes o tabletas a través de un conjunto de datos celulares o Wi-Fi. Aunque los requisitos actuales de las PCI DSS (versión 2.0) no se refieren específicamente a los lectores de tarjetas móviles, las empresas todavía tienen que garantizar que estas soluciones se encuentran cumpliendo con PCI.
El PCI ha publicado guías de seguridad para garantizar las soluciones de pago móvil que utiliza con sus teléfonos inteligentes o tabletas. Básicamente, debe asegurarse de que los dispositivos móviles se mantengan física y digitalmente a salvo de robos, uso no autorizado, malware y hackeo. No haga jailbreak o rootee su dispositivo o active otras funciones que pueden hacer que el dispositivo se vuelva inseguro, al igual que la depuración USB en los dispositivos Android. Instale una aplicación antivirus y solo descargue aplicaciones de fuentes de confianza, como la tienda oficial de la aplicación. Y recuerde que los dispositivos móviles se conectan a una conexión Wi-Fi que está bajo el control del negocio, mientras que al utilizar el lector de tarjetas, la red debe estar en conformidad con PCI.
Eric Geier, PC World (EE.UU.)