Introducción
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) proporciona pautas operativas y técnicas para crear un entorno seguro de datos del titular de la tarjeta (CDE). También describe procedimientos de prueba detallados para evaluar si una empresa cumple con PCI.
Para aprobar las evaluaciones anuales de PCI, los comerciantes a menudo necesitan establecer nuevas políticas de seguridad, invertir en soluciones de software avanzadas y organizar programas de capacitación para empleados.
Descubra cuánto cuesta convertirse en compatible con PCI y cómo este proceso afecta su resultado final.
Factores que influyen en los costos de PCI DSS
El PCI DSS es un documento extenso que enumera 12 requisitos y más de 200 subrequisitos que las empresas deben cumplir antes de empezar a aceptar transacciones con tarjeta.
Se espera que las organizaciones:
- Desarrollar y mantener una red y sistemas seguros.
- Introducir medidas sólidas de control de acceso.
- Probar y monitorear regularmente las redes.
- Mantener un programa de gestión de vulnerabilidades.
- Implemente políticas que protejan los datos de los titulares de tarjetas.
- Tenga una política de InfoSec exhaustiva y bien documentada.
La actualización continua de las políticas de seguridad y las soluciones técnicas puede poner a las organizaciones bajo una presión financiera significativa.
La cantidad exacta que una empresa debe gastar en el cumplimiento de PCI depende de su modelo comercial, tamaño, capacidades organizacionales y la cantidad de transacciones que procesa anualmente.
Nota: Consulte nuestra Lista de verificación de cumplimiento de PCI para comerciantes y aprenda todo lo que necesita saber para cumplir con PCI.
Número de Transacciones Procesadas Anualmente
Los requisitos de seguridad de datos PCI no se pueden aplicar parcialmente. Se espera que todas las empresas que recopilan, almacenan o transmiten datos de titulares de tarjetas empleen los mismos estándares de seguridad.
Sin embargo, las marcas de tarjetas de pago clasifican a las empresas en 4 niveles de cumplimiento de PCI según la cantidad de transacciones con tarjeta que procesan anualmente.
El nivel de cumplimiento determina el tipo de evaluación a la que debe someterse una empresa y cuánto costará la auditoría PCI anual.
Las grandes empresas que procesan más de 6 millones de transacciones con tarjeta al año deben someterse a auditorías locales realizadas por un asesor de seguridad calificado (QSA). Una evaluación de PCI de terceros y las posibles correcciones de datos para una organización grande pueden costar más de $50,000 al año.
| Transacciones con tarjeta por año | Evaluación anual de PCI | Costo potencial | |
|---|---|---|---|
| Nivel A1 | 6 millones + | La auditoría debe ser realizada por un asesor de seguridad calificado (QSA). | $ 50.000 + |
| Nivel A2 | Entre 1 millón y 6 millones | Autoevaluación mediante un Cuestionario de Autoevaluación (SAQ). El formulario lo completa un empleado que es un Asesor de Seguridad Interna certificado (ISA). | $ 10.000 + |
| Nivel A3 | Entre 20 000 y 1 millón | Autoevaluación mediante el formulario SAQ correspondiente. | $ 1.200 + |
| Nivel A4 | Menos de 20 000 | Autoevaluación mediante el formulario SAQ correspondiente. | $ 300 + |
Los comerciantes más pequeños pueden completar uno de varios tipos de cuestionarios de autoevaluación (SAQ). El costo de una autoauditoría de PCI utilizando un SAQ puede oscilar entre varios cientos y varios miles de dólares.
El tipo de auditoría PCI y SAQ que una organización debe enviar depende de su modelo comercial y de cómo planea manejar los datos de los titulares de tarjetas. Los comerciantes deben consultar con su banco o marca de tarjeta de pago para confirmar su nivel de cumplimiento y el tipo de SAQ que deben completar.
Modelo de negocio
PCI DSS garantiza que todos los participantes en el proceso de pago se adhieran a un mínimo de estándares de seguridad de datos, independientemente de su modelo de negocio o tamaño. Sin embargo, cuantos más datos de titulares de tarjetas y de autenticación recopile, almacene y transmita una empresa, más necesitará invertir en controles de seguridad de datos.
Los comerciantes pueden reducir los costos relacionados con el cumplimiento de PCI mediante la revisión de las prácticas comerciales existentes, la consolidación de datos y la optimización de los flujos de pago. Es esencial que los comerciantes solo procesen los datos del titular de la tarjeta relevantes para su modelo de negocio.
Utilizando los servicios de Procesadores de pago compatibles con PCI, las plataformas de comercio electrónico y los servidores web ayudan a las organizaciones a reducir su exposición a los requisitos de PCI. Establecido procesadores de pago de terceros puede ofrecer PCI compatible API de pago, tokenización de tarjeta de crédito soluciones y herramientas de seguridad de red a una fracción de su costo.
Es un desafío para una empresa con recursos limitados crear un entorno de datos compatible con PCI sin cooperar con varios proveedores externos.
Número de empleados
Los requisitos de PCI no obligan a las organizaciones a emplear un cierto número de personas ni a crear funciones específicas para los empleados.
Las empresas deben implementar herramientas y procedimientos de autenticación para restringir el acceso a los datos del titular de la tarjeta. Solo los empleados que necesitan información confidencial del cliente para completar tareas relacionadas con el trabajo deben tener acceso al CDE.
Fuertes sistemas de autenticación como autenticación de dos factores puede aumentar considerablemente los costos operativos dependiendo del número de empleados.
También debe limitarse el acceso físico al hardware que se puede utilizar para recuperar datos confidenciales. Es posible que las grandes organizaciones deban invertir en costosos sistemas de autenticación física, personal de seguridad adicional o cámaras de vigilancia.
Las empresas deben organizar programas de formación para los empleados existentes y los recién contratados. Los cursos y talleres de formación periódicos garantizan que el personal siga los procedimientos de la empresa y esté siempre al tanto de los últimos estándares de protección de datos.
El costo de realizar cursos de capacitación para el personal aumenta con el número de empleados.
Segmentación de la red
Las auditorías de cumplimiento de PCI se centran en los componentes del sistema que forman parte del entorno de datos del titular de la tarjeta. Estos incluyen dispositivos de red, servidores, aplicaciones y computadoras.
Las empresas pueden reducir el alcance de las evaluaciones de PCI al separar los componentes que administran los datos del titular de la tarjeta de la red más amplia de la empresa. Al segmentar su red, las empresas pueden reducir costos y mejorar la seguridad de los datos. Es más difícil comprometer un sistema con múltiples entornos aislados y bien protegidos.
La inversión inicial en tecnologías que restringen el acceso a un segmento de red específico, como cortafuegos, enrutadores y soluciones de software, se compensa con el alcance reducido de futuras auditorías de PCI.
La evaluación PCI determina si el segmentación de red es suficiente para proteger los datos y si se implementan las tecnologías y los controles adecuados.
Cargos por incumplimiento de PCI
Las marcas de tarjetas, los bancos y los clientes pueden responsabilizar a una empresa que no cumple con las normas por una violación de datos. Dependiendo de las circunstancias de una infracción, las tarifas de incumplimiento de PCI pueden variar de $ 500 a $ 500,000.
Las empresas responsables de un incumplimiento pueden estar obligadas a pagar:
- Tasas más altas para procesamiento futuro y servicios bancarios.
- Compensación a los clientes en forma de contracargos, comisiones de tarjetas, etc.
- Honorarios legales y daños como resultado de juicios.
- El costo de una investigación PCI DSS.
- Costos adicionales asociados con las evaluaciones de cumplimiento, independientemente de cuántas transacciones procesen por año. Las empresas que sufren una filtración de datos del titular de la tarjeta se consideran nivel 1 de cumplimiento de PCI en futuras auditorías.
La pérdida de reputación y las relaciones tensas con otros participantes en el proceso de pago pueden, en última instancia, hacer que los comerciantes pierdan su capacidad para aceptar pagos con tarjeta.
Conclusión
La creación y el mantenimiento de un entorno compatible con PCI requiere una planificación exhaustiva, muchas horas de trabajo y recursos financieros.
Reducir el alcance de las evaluaciones de PCI es una de las formas más efectivas de mantener bajo control los costos relacionados con el cumplimiento de PCI. Las organizaciones también deben confiar en la experiencia y las soluciones técnicas de terceros para crear un entorno de pago seguro y compatible.
Si desea obtener más información sobre la seguridad y el cumplimiento de los pagos, consulte nuestro Guía de cumplimiento de pagos para comerciantes.
