¿Es PCI DSS una normativa? Todo lo que necesitas saber

by Laura febrero 08, 2022
PCI DSS

¿Qué es PCI DSS?

Seguro, o casi seguro, que has visto las siglas PCI DSS en algún momento, y quizá no tengas del todo claro lo que significa, pues bien, PCI DSS es el acrónimo de Payment Card Industry Data Security Standard.

<<< Descubre más sobre cómo cumplir con PCI DSS con Recordia >>>

PCI DSS es un conjunto de estándares de seguridad que ayuda a las empresas a evitar fraudes y robos de los datos de las tarjetas de crédito, que implica tanto los datos personales del titular como los datos de autenticación.

PCI DSS surge en 2004 a partir de la unión de las empresas de tarjetas de crédito y débito más grandes del mundo, AMEX, VISA, MasterCard, Discover y JCB, deciden crear un único estándar común a todas ellas, ya que, anteriormente, cada una de estas empresas tenía sus propios estándares de seguridad (que se asemejaban entre ellos), lo que podía suscitar cierta confusión.

Es importante destacar dos aspectos:

  • PCI DSS es una norma, no una ley. Se aplica mediante contratos entre comerciantes, bancos adquirientes y marcas de pago, no se impone por los gobiernos de los países.
  • Otro punto importante es tener cuenta que quebrantar PCI DSS supone quebrantar el Reglamento General de Protección de Datos (RGPD). Esto se debe a que la información de las tarjetas de crédito y débito son datos de sus titulares que están clasificados por el Reglamento como datos personales bajo su protección. Es conveniente recordar que las faltas graves de cumplimiento de RGPD se sancionan con hasta 20 millones de euros o el 4% de la facturación anual de la empresa (habiendo de pagar la cantidad que sea más elevada entre ambas opciones).

¿Qué dice el PCI DSS?

El estándar PCI DSS está compuesto por doce requisitos a cumplir clasificados en 6 aspectos fundamentales.

Construir y mantener una red segura.   

  1. Instalar y mantener una configuración firewall para proteger los datos. 
  1. No usar contraseñas o valores predeterminados suministrados por los proveedores. 

Proteger los datos de los titulares de las tarjetas.   

  1. Salvaguardar la información personal de los propietarios de las tarjetas. 
  1. Cifrar la transmisión de datos e información confidencial de los titulares a través de redes públicas abiertas 

Establecer un programa de gestión de vulnerabilidades. 

  1. Actualizar y activar el programa antivirus de forma regular. 
  1. Desarrollar y mantener sistemas y aplicaciones seguras.  

Crear medidas firmes de control de acceso. 

  1. Limitar el acceso a la información únicamente a las empresas que lo necesiten. 
  1. Asignar una identificación única a cada persona con acceso al sistema. 
  1. Restringir el acceso físico a los datos solo a los propietarios de la tarjeta. 

Monitorizar y testar regularmente las redes y los accesos. 

  1. Rastrear y monitorizar el acceso a los recursos de red y datos del titular. 
  1. Realizar pruebas habituales en los sistemas y procesos de seguridad. 

Mantener una política de seguridad de la información transversal actualizada. 

  1. Crear una política que contemple y mantenga actualizada los aspectos relacionados con seguridad de la información. 

¿A quién aplica PCI DSS?

A estas alturas te preguntarás en qué tipo de empresas se aplica el PCI DSS o qué requisitos han de tener para ello. Pues bien, este estándar debe ser cumplido con obligatoriedad por bancos, comercios y entidades emisoras o de cualquier carácter que procesen, almacenen o transmitan datos de tarjetas de crédito o débito.

El PCI SSC (Consejo de normas de seguridad de la PCI) creó un sistema de cuatro niveles para clasificar a las empresas por tamaño y riesgo para determinar los requisitos que se aplican a las empresas individuales. Estos niveles de riesgo de los comerciantes se basan en el número total de operaciones con tarjetas de pago que una empresa realiza anualmente.

El Estándar PCI-DSS está compuesto por cuatro niveles de cumplimiento, que se basan en el número anual de transacciones de un comerciante, dependiendo del nivel en que se halle la entidad, habrán de cumplir con requisitos más exigentes. Por ejemplo, en el nivel 1, se ha de presentar un informe anual sobre cumplimiento, lo que llaman ROC o Report of Compliance, en cambio para los demás niveles esto se sustituye con un cuestionario de autoevaluación llamado SAQ o Self-Assessment Questionnaire. El escaneo trimestral de la red a cargo de un ASV (Approved Scanning Vendor) y posesión de la certificación de cumplimiento AOC (Attestation of Compliance) que declara el estado de cumplimiento del estándar PCI DSS de una organización es común a los cuatro niveles con algunas salvedades. Los niveles son los siguientes:

  • El PCI-DSS Nivel 1 es el que corresponde a negocios que manejen cada año más de 6 millones de transacciones por tarjetas Visa o MasterCard, o 2,5 millones en American Express.
  • El PCI-DSS Nivel 2 está destinado a empresas que procesen entre 1 millón y 6 millones de transacciones anualmente.
  • El PCI-DSS Nivel 3 corresponde a negocios que procesen entre 20.000 y 1 millón de transacciones por tarjetas Visa o MasterCard cada año.
  • El PCI-DSS Nivel 4 está destinado a empresas que procesen menos de 20.000 transacciones online por tarjetas Visa o MasterCard anualmente.

Grabación de llamadas y PCI DSS Compliance

Actualmente el comercio online está en auge y muchas empresas destinan mayores esfuerzos para el despliegue online que para el despliegue en físico. Esto supone que las empresas han de instalar una infraestructura de pago adecuada, y parte de ella es lo que llamamos pasarelas de pago, que son programas que conectan una cuenta bancaria con el procesador de pagos correspondiente en la que el cliente introduce manualmente sus datos.

Sin embargo, el verdadero reto está en los pagos MOTO (mail order/telephone order). El hecho de que las llamadas en los Call Centers se graben es considerada como algo común, como por ejemplo por los populares motivos de calidad. Aun así, la razón de peso por las que se graban estas llamadas es el compliance, ya que en estas llamadas se suelen transmitir datos que están protegidos por normativas como RGPD.

Volviendo al tema de los pagos MOTO; en los Call Centers, especialmente en aquellos dedicados a la venta, en muchas ocasiones se cierran ventas con clientes que han de autorizar un pago mediante los datos de su tarjeta de crédito o débito, datos que no pueden ser grabados bajo ningún concepto. Por ello, existen diversas alternativas como el uso de softwares que enmascaren la voz del cliente cuando dice los datos de su tarjeta o bien dejen de grabar en ese instante y reanuden la grabación una vez esta haya terminado.

Este es el caso del feature ROD (Record-On-Demand) de Recordia. Recordia es un software de grabación de llamadas y analítica de voz, especialmente útil para los Call Centers, ya que permite a las empresas mejorar la calidad de sus productos y servicios, formar y capacitar a empleados o impulsar la captación y retención de los clientes mediante los resultados que obtiene gracias a la Inteligencia Artificial de la analítica de todas las interacciones que un cliente pueda tener con una empresa. ROD permite a los agentes de Call Centers detener la grabación en un momento determinado para reanudarlo en otro, cumpliendo de esta manera con el estándar PCI DSS.

¿Quieres conocer más sobre Recordia Speech Analytics y ROD? Puedes encontrar más información aquí.

¡Nos leemos pronto!

Compártelo / Share it