es
Contáctenos

PCI DSS

*La imagen es solo para fines ilustrativos.

Cumplimiento de PCI DSS

El estándar PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago) establece requisitos estrictos para la protección de los datos de las tarjetas de pago. El principio fundamental es limitar al máximo el acceso a la información confidencial. La solución óptima para una empresa es eliminar por completo el acceso directo a los datos de las tarjetas, delegando esta tarea a proveedores de pago certificados.

Principales prohibiciones y normas de gestión de datos

Estrictamente prohibido:

  • solicitar los números de tarjeta de pago a los clientes;
  • recibir números de tarjetas a través de canales de comunicación inseguros;
  • transmitir números de tarjeta por cualquier medio fuera del entorno protegido.

Plan de acción en situaciones típicas:

Llamada telefónica: si un cliente intenta dictar un número de tarjeta debido a un problema de pago:

  • interrumpir cortésmente al cliente;
  • Explique que, según las normas de seguridad, esos datos no pueden aceptarse por teléfono;
  • Ofrezca una forma segura de resolver el problema (por ejemplo, repita el pago a través de un formulario seguro en el sitio web).

Canales de comunicación electrónica (correo electrónico, mensajería instantánea, redes sociales): si un cliente envió un número de tarjeta:

  • Elimine el mensaje inmediatamente;
  • notificar al cliente sobre la violación de la política de seguridad;
  • Recomendar métodos de comunicación seguros para resolver el problema;
  • Pídales que no envíen ese tipo de datos a través de canales abiertos en el futuro.

¿Qué datos deben protegerse?

Los datos protegidos incluyen:

1. Datos personales del titular de la tarjeta:

  • PAN (número de tarjeta);
  • Nombre del titular de la tarjeta;
  • Fecha de vencimiento de la tarjeta.

2. Datos de autenticación sensibles (SAD):

  • Códigos de verificación: CVV2, CVC2, CVP2, equivalente a CVP2;
  • código PIN;
  • datos de banda magnética;
  • otros datos utilizados para verificar la autenticidad de la tarjeta.

Reglas de almacenamiento de datos

Los requisitos de almacenamiento varían según el tipo de datos:

1. Datos de autenticación confidenciales (SAD): está estrictamente prohibido almacenarlos de cualquier forma una vez completada la autorización de la transacción. Esto incluye copias temporales, registros y copias de seguridad.

2. PAN (número de tarjeta): se permite su almacenamiento, pero solo en formato protegido. Formatos permitidos:

  • datos cifrados (mediante algoritmos de cifrado certificados);
  • valores hash (transformación irreversible);
  • Datos enmascarados (solo se pueden mostrar el BIN y los últimos 4 dígitos; los caracteres restantes deben estar ocultos; por ejemplo, 1234****5678 ).

3. El nombre del titular de la tarjeta y la fecha de vencimiento de la tarjeta pueden almacenarse en texto plano, ya que estos datos no se consideran información crítica según el estándar PCI DSS.

Cumplimiento de PCI DSS con Tranza

Tranza es un proveedor de servicios certificado con el más alto nivel de cumplimiento de PCI DSS. Esto significa que el servicio:

  • está autorizado a almacenar datos de tarjetas de pago de acuerdo con los requisitos de seguridad;
  • Puede procesar más de 6 millones de pagos al año;
  • Se somete a auditorías de certificación anuales para confirmar el cumplimiento de la norma.

Ventajas de trabajar con Tranza:

  • Todas las herramientas de pago del servicio están diseñadas teniendo en cuenta los requisitos de PCI DSS;
  • Al utilizar soluciones estándar, se cumplen automáticamente los requisitos de seguridad; no se requieren medidas de protección adicionales.
  • La plataforma asume la mayor parte de la responsabilidad de la protección de datos, reduciendo así los riesgos para su negocio.

Condiciones especiales: se aceptan pagos mediante la tecnología Checkout.

Para utilizar la tecnología Checkout, debe confirmar adicionalmente el cumplimiento de los requisitos de PCI DSS:

  • Cumplimentación del Cuestionario de Autoevaluación (SAQ), documento en el que la empresa confirma el cumplimiento de los requisitos clave de la norma.
  • Análisis trimestral de vulnerabilidades: comprobaciones periódicas de los sitios web en busca de puntos débiles mediante un escáner especializado aprobado por el PCI SSC (Consejo de Normas de Seguridad PCI).
  • Supervisión de cambios: al realizar cualquier cambio en la infraestructura de pagos, se debe reevaluar el cumplimiento.

Siguiendo estas normas y utilizando soluciones de pago fiables como Tranza, garantizará un alto nivel de protección de datos y el cumplimiento de las normas de seguridad internacionales.