Pagando en la web con tarjetas
Actualmente, es muy común que hayan clientes que realicen transacciones frecuentes con sus tarjetas a través de la web (puntualmente, en un navegador), y con la confianza que le caracteriza, ingresa su información en una pantalla a la que le colocamos toda nuestra fe para que proteja nuestro cuenta. Sin embargo, es importante dejar en claro que todas estas empresas que tienen la opción de brindar a sus clientes realizar pagos por internet, están sujetos a una estándar de seguridad de datos en la industria de tarjetas de pago, o como también se le conoce, PCI DSS.
¿Qué pasa cuando pago con mi tarjeta?
Básicamente se presenta en la gama de opciones con las que cuenta el usuario final para procesar sus pagos, como son Mastercard, Visa, American Express, entre otros, y cada una de ellas cuenta con sus propios mecanismos técnicos de comunicación de lectores de tarjetas, comúnmente a través de un puerto serial, que permite la autorización de pagos con las tarjetas de crédito o débito, en las tiendas en línea o en los negocios tradicionales. La pasarela de pago, protege la información de la tarjeta de crédito cifrándola para garantizar que dicha información se entregue de forma segura del titular de la tarjeta al comerciante y del comerciante al procesador de pagos. Al realizar transacciones con tarjetas de crédito, hay cuatro procesos principales que consisten en autorización, procesamiento por lotes, compensación y financiamiento. La autorización es el proceso para garantizar que el autor de la transacción sea un titular legítimo de la tarjeta. Además, los procesos de procesamiento por lotes, compensación y fondeo se realizan para realizar depósitos y facturar la cantidad correcta de dinero en la transacción.
El estándar
PCI DSS se desarrolló para facilitar la medición de la seguridad de los datos de las tarjetas de crédito o débito a nivel mundial. PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las tarjetas de crédito o débito. PCI DSS se puede utilizar para todos aquellos relacionados con el proceso de pago con tarjeta, que son comerciantes, procesadores, adquirentes y proveedores de servicios, así como para otras partes que almacenan, procesan y transmiten datos o datos de autenticación confidenciales. PCI DSS consta de un conjunto de requisitos mínimos para la protección de datos del titular de la tarjeta. Por lo tanto, pueden ser necesarios controles, leyes o regulaciones adicionales a nivel local o regional para la prevención de riesgos adicionales. PCI DSS no reemplaza las leyes, regulaciones u otros requisitos legales locales o regionales.
Cumplimiento
El cumplimiento de PCI DSS es definitivamente el objetivo principal, además de mejorar y mantener el estado general de seguridad de la información de las organizaciones. Se deben evaluar los factores dominantes que afectan el logro del cumplimiento para identificar los factores clave de éxito, así como las brechas más comunes en el cumplimiento de los requisitos. Claramente, se necesita un mecanismo o herramienta de evaluación que se utilice para medir el estado actual de la seguridad de la información de la organización. El mecanismo esperado debe ser simple, confiable, fácil de usar y debe utilizar las mejores prácticas de la industria al tiempo que proporciona una hoja de ruta clara seguida por la mejor estrategia, no solo para cumplir con PCI DSS, sino también para avanzar en el estado general de seguridad de la información de la organización, en cuanto a proteger sus activos de información de los ciberataques emergentes.
Consejo audit
Cualquier organización que almacene, procese o transfiera información del titular de una tarjeta de crédito o débito, deberá cumplir con los requisitos de seguridad exigida por la norma. Por ende, es importante analizar el alcance de cumplimiento de la norma que su solución tecnológica debe lograr. En audit somos especialistas en el alineamiento de políticas y procedimientos involucrados en el cumplimiento de PCI DSS. Evitamos que cree documentación innecesaria e irrelevante, que lo único que ocasiona son conflictos de entendimiento.