6 principales mitos de cumplimiento de PCI

/in , /by

El PCI-DSS (Payment Card Industry Data Securiry Standard) ha existido durante más de una década, pero eso no significa que no haya muchos mitos sobre el cumplimiento de la seguridad de los datos que aún rondan en torno a la información de seguridad.

Algunos de los mitos más generalizados involucran a las empresas que piensan que no necesitan cumplir, que el cumplimiento es demasiado difícil, que no es continuo y que el cumplimiento garantiza automáticamente la seguridad de sus datos.

Mito 1: Soy demasiado pequeño para preocuparme por el cumplimiento

Uno de los mitos más universales sobre las PCI DSS es que muchos comerciantes creen que son demasiado pequeños o que procesan muy pocas transacciones para preocuparse de ser compatibles con PCI. Sin embargo, cada empresa es responsable del cumplimiento de la seguridad de información si procesa, almacena o transmite datos del titular de la tarjeta. También se requiere el cumplimiento de PCI aunque haya una sola transacción de tarjeta al año e incluso  si las empresas utilizan procesadores de terceros.

Hay cuatro niveles de cumplimiento de PCI en los que los comerciantes pueden ser clasificados. Estos son:

  • Nivel 1: Comerciantes que procesan más de 6 millones de transacciones de tarjetas por año.
  • Nivel 2: Comerciantes que procesan de 1 a 6 millones de transacciones de tarjetas por año.
  • Nivel 3: Comerciantes que manejan entre 20.000 y 1 millón de transacciones de tarjetas por año.
  • Nivel 4: Comerciantes que manejan menos de 20.000 transacciones de tarjetas por año.

Mito 2: No tengo que preocuparme, subcontrataremos el cumplimiento

Muchas empresas, especialmente las que no tienen recursos para lograr el cumplimiento por sí mismas, pueden optar por externalizar las medidas de cumplimiento a otra empresa. Aunque esta es una solución viable, no transfiere toda la responsabilidad del cumplimiento al proveedor externo.

En última instancia cada empresa es responsable de garantizar su propio cumplimiento, por lo que aún debe implementar medidas para abordar la seguridad cuando reciba datos de tarjetas de crédito y del titular de la tarjeta, y para evitar una violación de datos durante el procesamiento de la tarjeta, como cuando emite un reembolso o contracargo.

Mito 3: Lograr el cumplimiento es complicado y difícil

Cuando observamos los 12 requisitos de PCI por primera vez, puede parecer abrumador, especialmente si aún no has tomado medidas para cumplir con los requisitos, y no cuentas con el respaldo de un departamento de seguridad o la ayuda de IT para ayudarte con la asistencia técnica. Sin embargo, el cumplimiento no tiene que ser demasiado complicado, y el mejor enfoque es verlo como una mejor práctica para la seguridad que toda empresa debería ofrecer a sus clientes.

Incluso si no dispones de multitud de recursos, el cumplimiento es alcanzable y hay muchos productos, servicios y herramientas que pueden ayudar. Requiere un inversión económica, pero los beneficios del cumplimiento superan con creces las multas, los honorarios, la pérdida de confianza y otras consecuencias de un incumplimiento.

Mito 4: El cumplimiento no está en curso

Aunque el cumplimiento de PCI no es demasiado difícil, no es una situación de una sola vez. Requiere medidas de seguridad continuas, evaluaciones de riesgos y actualizaciones, ya que regularmente se publican nuevas versiones de PCI y cada vez que esto ocurre debemos revisar nuestra estrategia actual  para cumplir con los nuevos requisitos.

Un buen planteamiento sería revisar a fondo los 12 requisitos y diseñar una estrategia integral para abordarlos todos, ya que no hay un solo producto o herramienta que cumpla con los 12 requisitos.

Mito 5: No tengo que preocuparme por el cumplimiento porque IT se ocupará de ello

El cumplimiento de PCI no se puede pasar al departamento de IT con la esperanza de que lo traten, porque la responsabilidad es de toda la empresa.

La IT puede ayudar a implementar los requisitos técnicos, sin embargo las políticas deben implementarse para exigir evaluaciones e informes regulares, y estas políticas también deben centrarse en la capacitación de los empleados con respecto a las prácticas seguras al manejar los datos de los titulares de tarjetas.

Mito 6: Somos compatibles, por lo que nuestros datos están seguros.

El PCI incluye una serie de mejores prácticas de la industria para proteger los datos, pero el cumplimiento no garantiza que los datos estén completamente seguros. Por un lado, los hackers  siempre están desarrollando nuevas estrategias para romper incluso las redes más seguras, razón por la cual los estándares PCI y su cumplimiento con ellos siempre evolucionan. Para mantener tus datos seguros, es importante que siempre esté evaluando sus esfuerzos, buscando vulnerabilidades y tomando medidas para solucionar los problemas.

Conclusión

El cumplimiento con PCI es importante para proteger los datos del titular de la tarjeta contra ataques e infracciones, pero para cumplir, es importante comprender completamente los requisitos de la norma. Un aspecto crucial de esto es conocer los mitos más comunes con respecto a la PCI, ya que pueden desviarse en sus mejores esfuerzos para lograr y mantener el cumplimiento.

 

Fuente: https://www.cimcor.com