Contabilidad

Cumplimiento de PCI: Definición, costo y proveedores

Tabla de contenido:

Anonim

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un grupo de directrices para empresas que aceptan tarjetas de crédito. El consejo que crea los estándares es independiente, pero está encargado por, las principales compañías de tarjetas de crédito como Visa. Está destinado a controlar el cumplimiento de PCI para mantener la información del consumidor a salvo de violaciones de datos.

Los proveedores de servicios comerciales, como Chase Merchant Services, deben mantener el cumplimiento de PCI para sí mismo y para todas sus cuentas comerciales. ¿No está seguro de su propio cumplimiento de PCI? Chase cumple con los requisitos de PCI para ser un proveedor de Nivel 1, y ofrece herramientas para ayudar a sus titulares de cuentas comerciales a garantizar que también protegen datos confidenciales. Solicite una cuenta hoy.

Visita los servicios de Chase Merchant

¿Qué es el cumplimiento de PCI?

El PCI DSS se fundó en 2006 para ayudar a proteger los datos confidenciales del consumidor, incluidos los números de tarjetas de crédito y la información de identificación personal. Las principales compañías de tarjetas de crédito (Visa, MasterCard, American Express, Discover y JCB) están tan preocupadas por las violaciones de datos como los consumidores.

Un conjunto de pautas puede mantener a los proveedores de servicios comerciales (MSP), procesadores de pago, pasarelas de pago y comerciantes, todo en la misma página de seguridad de datos. Lo que esto significa es que cualquier persona involucrada en los pagos con tarjeta de crédito debe cumplir con un conjunto estricto de reglas, que incluyen:

  • Mercantes
  • Proveedores de servicio
  • Aplicaciones de pago
  • Via de pago
  • Procesadores de pago

Hay diferentes niveles para cada negocio, y cada nivel está vinculado a la cantidad de dinero que procesa anualmente en las ventas con tarjeta de crédito. Si desea ver si está haciendo todo lo necesario, consulte esta lista de verificación de cumplimiento de PCI.

Cómo funciona el cumplimiento de PCI

Como comerciante, debe cumplir con 12 requisitos de PCI DSS, que se pueden dividir en seis objetivos principales. Si pierde uno, podría ser multado por el PCI DSS, que puede resultar costoso.

Los seis objetivos principales de cualquier empresa que necesite mantener el cumplimiento de PCI:

  1. Mantener la red física segura
  2. Guardia datos del cliente
  3. Mantener la red interna segura
  4. Limitar el acceso a los datos a la necesidad de saber
  5. Monitorear y probar sistemas de seguridad de datos.
  6. Educar al personal sobre el cumplimiento de PCI

Para hacer esas cosas, debes usar cortafuegos para la seguridad física; proteger los datos mediante el uso de cifrado o bloqueo y clave literales; garantizar que el software y las aplicaciones sean seguros; y actualizar el software antivirus.

Solo aquellos que necesitan acceso deben poder adquirir datos del consumidor, y usted debe poder hacer un seguimiento de quién ve qué; pruebe sus medidas de seguridad a menudo para asegurarse de que funcionan según lo previsto y mantenga una política en su establecimiento para garantizar que el personal comprende la importancia del cumplimiento de PCI y qué hacer y qué no hacer con los datos del consumidor.

Quién necesita ser compatible con PCI

Como se mencionó anteriormente, literalmente, cualquier entidad que acepte tarjetas de crédito debe ser compatible con PCI. Eso significa que todos, desde las instituciones financieras hasta las tiendas de Etsy. Si bien estas no son leyes, son regulaciones establecidas por las compañías de tarjetas de crédito. Para continuar aceptando tarjetas de crédito para su negocio, debe cumplir.

Para desglosar un poco más el cumplimiento de PCI, aquí hay una lista que explica quién necesita seguir diferentes pautas:

  • Mercantes: Cualquier organización que acepte una o más de las cinco principales tarjetas de crédito que formaron el consejo de PCI DSS
  • Proveedores de servicios mercantiles: Empresas que transmiten, procesan o almacenan información de tarjetas de crédito para otros comerciantes
  • Solicitud de pago: Dispositivos o carritos de compras en línea que transmiten, procesan o almacenan información de tarjetas de crédito como lectores de tarjetas de crédito, carritos de comercio electrónico o sistemas de puntos de venta
  • Pasarela de pago: El intermediario para comerciantes y bancos; estas empresas transmiten datos entre una empresa que ejecuta una tarjeta de crédito con un banco que aprueba o rechaza una solicitud de pago
  • Procesador de pagos: Estas empresas todo en uno suelen proporcionar la cuenta de comerciante, la aplicación de pago y la pasarela de pago para comerciantes

Como propietario de una pequeña empresa, es probable que caigas bajo la descripción del comerciante. Si está iniciando una empresa de procesamiento de pagos o un proveedor de servicios, entonces califica como comerciante y como proveedor de servicios mencionado anteriormente. Descubrir el nivel al que pertenece puede parecer complicado, pero a continuación hay una tabla que puede ayudar.

Requisitos de cumplimiento de PCI

Es posible que muchos propietarios de pequeñas empresas ni siquiera sepan que deben completar ciertas acciones para ser compatibles con PCI. Su proveedor de servicio comercial o procesador de pagos le brinda cierta conformidad con PCI, pero todavía hay pasos que debe seguir.

Debe determinar a qué nivel de cumplimiento PCI pertenece su empresa.

Niveles PCI

Nivel 1Negocios procesando 6 millones + transacciones anuales de Visa.
Nivel 2Negocios que procesan de 1 a 6 millones de transacciones anuales de Visa.
Nivel 3Empresas que procesan entre 20 mil y un millón de transacciones anuales de comercio electrónico de Visa.
Nivel 4Negocios que procesan <20K transacciones de comercio electrónico de Visa anuales; negocios que procesan hasta 1 millón de transacciones anuales de Visa (no de comercio electrónico)

Cuestionario de autoevaluación de cumplimiento de PCI

Todos los comerciantes pequeños y medianos (Nivel 4) que aceptan las principales tarjetas de crédito deben completar un cuestionario de autoevaluación (SAQ) para parte de los requisitos de cumplimiento de PCI. Tendrá que consultar la tabla para averiguar qué SAQ debe completar.

También puede acceder a la tabla en el sitio web oficial de PCI DSS.

Por ejemplo, si ejecuta un negocio en línea y utiliza Shopify como su pasarela de pago y procesador, debe completar el SAQ-A. Un negocio de ladrillo y mortero que usa un sistema y terminal POS, como con Lightspeed, tendría que usar el documento SAQ-C. Para la entrada manual con un terminal virtual, como cuando acepta pedidos por teléfono o facturas en línea, debe completar SAQ-C-VT.

Esta es solo una de las 13 páginas que debe completar del SAQ-A.

Certificado de Cumplimiento

La Declaración de Cumplimiento (AoC) es un documento en el que usted, en caso de que se haga una auto-auditoría o un asesor de seguridad calificado (QSA) declare el nivel de cumplimiento de su empresa. El formulario debe completarse, firmarse y enviarse junto con el SAQ y los resultados de escaneo del proveedor de escaneo aprobado (ASV). Se espera que las empresas presenten un AoC anualmente.

El SAQ y el AoC son donde responderá las preguntas sobre los requisitos de cumplimiento de PCI, que son los siguientes:

  • Mantener firewall para dispositivos empresariales.
  • Cambiar las contraseñas proporcionadas por el proveedor
  • Cifrar las transmisiones de datos del consumidor
  • Usar software antivirus actualizado
  • Proteger los datos almacenados del consumidor
  • Restringir el acceso a los datos del consumidor
  • Mantener sistemas y aplicaciones seguras.
  • Hacer que los datos del titular de la tarjeta estén disponibles solo cuando sea necesario
  • Cree una identificación única para cada persona con acceso a una computadora de negocios
  • Monitorear el acceso a la red y los datos del consumidor.
  • Probar la seguridad de los datos regularmente
  • Mantener la política de seguridad de datos.

Cuando un comerciante utiliza un procesador de pago de terceros, la mayoría de estos requisitos de cumplimiento de PCI se cumplen. Sin embargo, aún debe conocer las regulaciones y cumplir con el cumplimiento de las normas ambientales de PCI, como con firewalls, contraseñas seguras y restricciones de acceso a los datos del titular de la tarjeta.

Comprobando el cumplimiento de PCI con el análisis de vulnerabilidad

Dependiendo de cómo acepte las tarjetas de crédito, es posible que tenga que pagar y programar análisis de vulnerabilidad con un ASV. Un ASV es una compañía de terceros que realizará exploraciones de vulnerabilidad trimestrales para validar su cumplimiento de PCI. El ASV determinará si está haciendo todo lo posible para proteger la información de contacto y la tarjeta de crédito del consumidor.

¿Qué es una validación de ASV?

Un ASV realiza una exploración de vulnerabilidad externa para determinar si su red es segura para los consumidores. Un ASV también puede realizar escaneos internos para detectar vulnerabilidades, pero muchos comerciantes eligen hacerlo ellos mismos con el SAQ apropiado.

La exploración externa busca vulnerabilidades en los firewalls de su red, mientras que una interna busca agujeros en los firewalls de su empresa. Ambos son necesarios, pero el escaneo interno puede ser auto realizado.

Un ASV le otorgará un pase o un fallo cada trimestre, que deberá enviar al consejo de PCI DSS. Si realiza algún cambio en su red, también tendrá que programar un nuevo análisis. Un fallo puede ocurrir cuando se producen cambios menores. Por ejemplo, su proveedor de servicios de Internet (ISP) puede cambiar su número de IP de cara al público, y su ASV puede estar escaneando su antiguo, lo que podría resultar en "host no detectado".

Paso final de conformidad con PCI: enviar documentación

Reúna todos sus documentos, incluido un SAQ completado que sea adecuado para su tipo de negocio, una prueba de haber aprobado escaneos externos trimestrales de un ASV y cualquier otro documento requerido. Los enviará al consejo de PCI DSS a través de una opción de archivo electrónico o por correo postal. Su otra opción es contratar un QSA, que puede completar documentos, organizarlos y enviar todo por usted.

Servicios y tarifas de cumplimiento de PCI

Para garantizar que su empresa mantenga el cumplimiento de PCI, puede estar sujeto a varias tarifas. Estas pueden ser tarifas mensuales o anuales, y sus costos varían desde $ 10 por mes hasta cientos de dólares por año. Depende del servicio, el tipo de procesador de pago que elija y cómo planea manejar el AoC y los análisis de vulnerabilidad.

Por lo general, los procesadores de pagos como Square y Shopify no cobran una tarifa separada por el cumplimiento de PCI. Más bien, transfieren el costo de cumplimiento a su tarifa mensual o tarifa de transacción. Una cuenta de comerciante tradicional puede incluir una tarifa de cumplimiento adicional, o se incluye en una tarifa de resumen. Chase Merchant Services no cobra nada por el cumplimiento de PCI en su plan de reparto.

El lugar donde puede esperar pagar las tarifas de cumplimiento de PCI es cuando necesita un análisis de vulnerabilidad o si desea contratar un QSA:

  • Exploraciones ASV: Los análisis de vulnerabilidad trimestral de su entorno empresarial, como los firewalls, internet, etc., suelen cargarse anualmente, y el rango promedio es de $ 200 a $ 1,000.
  • Servicio QSA: Es posible que los comerciantes con múltiples ubicaciones deseen contratar un QSA para el cumplimiento de PCI; las tarifas comienzan en $ 10,000 y varían según el número de ubicaciones y la complejidad de las redes

Las tarifas de cobro por el cumplimiento de PCI son comunes, ya que estas tarifas se dirigen a mantener los servidores de datos actualizados y mantenidos, y la seguridad de los datos firmemente en su lugar. Su procesador de pagos, pasarela de pagos o proveedor de servicios está a cargo de la transmisión y el almacenamiento de datos, por lo que es una tarifa importante y necesaria, sin embargo, se cobra.

Honorarios de incumplimiento de PCI

Otra tarifa a considerar que podría aparecer en su declaración de comerciante es una tarifa de incumplimiento de PCI, aunque parece provenir de su procesador de pagos, es de las compañías de tarjetas de crédito, pero algunos procesadores pueden cobrar más de los $ 19.95 mensuales que usted paga. no son conformes Por lo tanto, asegúrese de completar su SAQ y enviar su documentación para evitar esta tarifa.

¿Qué pasa si no mantengo el cumplimiento de PCI?

Muchas empresas no están seguras de si mantienen el cumplimiento de PCI, y el problema es que un ciberdelincuente puede explotar vulnerabilidades conocidas en sitios web, firewalls y acceso remoto inseguro para adquirir datos valiosos de tarjetas de crédito. Considere las violaciones de datos recientes, como Equifax, cuando se expusieron más de 182,000 números de tarjetas de crédito. Ese tipo de incumplimiento es perjudicial para las compañías de tarjetas de crédito, bancos y pequeños comerciantes.

Aunque el cumplimiento de PCI no es un conjunto de leyes, sino un conjunto de estándares, está regulado por las compañías de tarjetas de crédito. Entonces, ¿cuál es el peor de los casos si no cumple con los requisitos?

Aquí están los diferentes escenarios:

  • Cargo por incumplimiento de PCI: Usted pagará $ 19.95 (o más) por mes hasta que demuestre que su negocio es compatible con PCI
  • Multa de incumplimiento PCI: Se produce una brecha de seguridad y se filtran los datos del consumidor; sus registros muestran incumplimiento; Usted pagará entre $ 5,000 y $ 100,000 por mes de incumplimiento.
  • Incumplimiento y revocación de PCI: Su banco adquirente revoca su capacidad de aceptar tarjetas de crédito, lo que podría ser el final de su negocio

Debe tomarse en serio el cumplimiento de PCI y no debe suponer que solo porque su procesador de pagos cumple con las normas, no tiene problemas. Siga las pautas y asegúrese de consultar el sitio web oficial para ver si hay cambios. Los requisitos de cumplimiento de PCI evolucionan como lo hace la seguridad de los datos.

Cumplimiento de PCI: Preguntas más frecuentes (FAQ)

Una de las preguntas más comunes que tienen los comerciantes sobre el cumplimiento de PCI es: “¿Qué se requiere?” También hay preguntas relacionadas que responderemos a continuación. Si no cubrimos su pregunta sobre el cumplimiento de PCI aquí, visite nuestro foro para formularla y haremos todo lo posible para responderla allí.

¿Qué es el cumplimiento de PCI?

Es un conjunto de estándares creado por las cinco principales tarjetas de crédito en la industria. Está destinado a ayudar a proteger a los comerciantes, proveedores de servicios y consumidores de costosas violaciones de datos.

¿Qué sucede si no soy compatible con PCI?

Podría enfrentar cargos por incumplimiento de aproximadamente $ 19.95 por mes, o si su empresa está involucrada en una violación de datos y no cumple con la PCI, podría estar sujeto a multas de $ 5,000 a $ 100,000 por mes por parte del banco adquirente para recuperar las pérdidas asociadas ( Cargos fraudulentos, reemisión de tarjetas, gastos legales, etc.).

¿Es el cumplimiento de PCI requerido por la ley?

El consejo de PCI DSS creó un conjunto de regulaciones. Aunque no es requerido por la ley, es requerido por Visa, MasterCard, American Express, Discover y JCB. De lo contrario, no se le permitirá aceptar esas tarjetas de crédito en su tienda o en su sitio web.

Si uso Square, ¿todavía tengo que validar el cumplimiento de PCI?

La respuesta es a la vez no y sí. Siempre y cuando solo uses hardware Square y una conexión móvil, Square no requiere que lo valides individualmente, ya que Square es compatible con PCI. Sin embargo, si está utilizando Wi-Fi en su tienda para conectarse y transmitir datos, aún deberá completar un SAQ, ya que su red interna estaría en riesgo.

¿Quién impone el cumplimiento de PCI?

Los bancos adquirentes, o marcas de tarjetas de crédito, son los que rigen el cumplimiento de PCI.

¿Cuánto cuesta ser compatible con PCI?

El rango es amplio, ya que depende del nivel de comerciante que seas. Un comerciante de nivel 1 deberá contratar un QSA, que podría costar entre $ 10,000 y $ 15,000. Es probable que los comerciantes de nivel 4 encuentren ASV que cobran entre $ 200 y $ 1,000 por año para realizar análisis de vulnerabilidad externos. También es posible que deba pagar de $ 10 a $ 20 mensuales a su MSP para el cumplimiento continuo de PCI.

Línea de fondo

El mantenimiento del cumplimiento de PCI debe estar en la parte superior de la lista de tareas pendientes de cualquier comerciante. Los requisitos de cumplimiento de PCI son simples y no son tan costosos como lo sería una violación de datos, especialmente si no cumple con los requisitos. Su procesador de pagos o MSP debe ser compatible con PCI, lo cual es necesario para que usted también lo sea.

No hay costos adicionales de cumplimiento de PCI cuando te registras con Fattmerchant. El proveedor de servicios mantiene su propio cumplimiento de PCI y también lo ayuda a cumplir con el estándar PCI. Si tiene alguna pregunta sobre cómo mantener un entorno empresarial seguro, puede consultar a un administrador de cuentas de Fattmerchant. Solicite una cuenta hoy.

Visita Fattmerchant

Selección del editor

Tarjeta de American Express Business Green Rewards Review 2019

Tarjeta de American Express Business Green Rewards Review 2019

Proceso de incorporación de empleados: la guía paso a paso definitiva

Proceso de incorporación de empleados: la guía paso a paso definitiva

21 Ideas y ejemplos de exhibiciones de ferias creativas 2017

21 Ideas y ejemplos de exhibiciones de ferias creativas 2017

Cómo encontrar y arrendar espacios comerciales

Cómo encontrar y arrendar espacios comerciales

2019 Emburse Comentarios y Precios

2019 Emburse Comentarios y Precios

Opiniones de HotSchedules, precios y alternativas populares

Opiniones de HotSchedules, precios y alternativas populares