PCI Compliance

Septiembre 2021

¿Quieres vender en línea? Asegurar los datos de tus clientes debe ser tu mayor prioridad

Venta en linea y seguridad de datos

Millones de incidentes informáticos asolan al mundo minuto a minuto y pareciera que nada puede detener a los hackers. Aún así, a diario utilizamos nuestras tarjetas de crédito en dispositivos electrónicos de pago o por Internet, que envían nuestra preciada información por las redes y se comunican sin problemas con el banco. ¿Por qué podemos hacer esto de forma segura? En gran parte gracias al Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (o PCI DSS, por sus siglas en inglés).

Este estándar es fundamental para asegurar las transacciones de dinero y cualquier negocio que quiera vender un producto en línea debería tenerlo en el primer lugar de su lista de tareas.

El PCI DSS resultó de la colaboración, en 2004, de los principales administradores de pagos del mundo (American Express, Discover, JBC, MasterCard y Visa) para crear un método que otorgara seguridad en toda la industria. Estos gigantes del pago generaron una serie de materiales de soporte, marcos de trabajo seguro y herramientas estandarizadas para que la información de los compradores nunca se ponga en riesgo.

Contar con el estándar PCI será un diferenciador que marque el éxito o el fracaso de una empresa, especialmente en un mundo que se consume cada vez más por métodos digitales.

De acuerdo con cifras de la Asociación Mexicana de Venta Online (AMVO), el comercio electrónico en el país alcanzó un volumen de $316,000 millones de pesos en el 2020. Esto representa un impresionante crecimiento del 81% en comparación con el año anterior. Se espera que este tipo de transacciones lleguen a representar el 9% del total de las ventas del retail.

El PCI DSS define seis dominios clave de control para todas las organizaciones que quieran aceptar pagos electrónicos:

  • Construir y mantener una red y sistemas seguros
  • Proteger la información del tarjetahabiente
  • Mantener un programa de administración de vulnerabilidades
  • Monitorear y probar de forma regular las redes
  • Implementar robustas medidas para controlar el acceso
  • Mantener una política de seguridad de la información

Los puntos anteriores derivan en 12 requisitos de seguridad, que no son opcionales si se quiere obtener la certificación PCI. Entre ellos se encuentra la instalación y mantenimiento de un firewall que evite las intrusiones peligrosas, el cambio regular de las contraseñas de todos los sistemas, la transmisión siempre encriptada de los datos de la tarjeta, restringir el acceso a la información del tarjetahabiente solo a personal calificado y previamente definido, entre muchas otras.

Afortunadamente, las empresas que quieran comenzar su viaje hacia el comercio electrónico con el pie derecho, solo deben escoger hábilmente a su proveedor buscando que éste les garantice la certificación PCI y un soporte completo para el despliegue de servicios de pago electrónico como Totalplay Empresarial. De esa forma, comenzar a vender por Internet, sin arriesgar los datos de los clientes (y la reputación de su empresa) no tiene por qué ser un dolor de cabeza.