Cómo mantener el cumplimiento de PCI para el procesamiento de tarjetas

Guía práctica para cumplir con los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y proteger tu negocio.

1. Identifica tu nivel de cumplimiento. El PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago) clasifica a los comercios en niveles según su volumen anual de transacciones. Revisa tu volumen de procesamiento para determinar si debes completar un Cuestionario de Autoevaluación (SAQ) o realizar una auditoría completa (ROC) con un asesor calificado.
2. Aísla el entorno de datos de tarjetas (CDE). El CDE es cualquier sistema donde se almacenen, procesen o transmitan datos de tarjetas. Reduce tu alcance técnico evitando almacenar números de tarjeta (PAN) en tus servidores locales; utiliza soluciones de tokenización proporcionadas por tu pasarela de pagos para eliminar la responsabilidad de almacenar datos sensibles.
3. Configura controles de acceso y firewall. Instala y mantén un firewall para proteger los datos de los tarjetahabientes. Restringe el acceso a los sistemas a través de privilegios de 'menor acceso necesario' y asegúrate de que cada usuario tenga una identificación única; nunca utilices contraseñas genéricas para terminales o cuentas de administrador.
4. Escanea y prueba la seguridad regularmente. Realiza escaneos de vulnerabilidades trimestrales realizados por un Proveedor de Escaneo Aprobado (ASV). Mantén el software actualizado con los parches de seguridad más recientes para mitigar riesgos de intrusión conocidos.
5. Documenta la política de seguridad. Mantén una política formal de seguridad de la información accesible para todos los empleados. Capacita al personal sobre la importancia de la privacidad de los datos al menos una vez al año; el factor humano es a menudo el eslabón más débil en el cumplimiento.