Únase a más de 14.000 usuarios de WP Simple Pay para aceptar pagos fácilmente!  

Empezar

Ver todas las funciones

Blog de WP Simple Pay

Tutoriales, consejos y recursos de Stripe para WordPress para aceptar pagos

Todo lo que necesitas saber sobre el cumplimiento de PCI

Última actualización el

Written By: imagen del autor Dennis
LinkedIn

Aceptar pagos en línea conlleva ciertos riesgos. Siempre habrá estafadores que intenten robar información de pago de redes inseguras, por lo que el cumplimiento de PCI es más importante que nunca.

Si aceptas pagos a través de tu sitio web, es importante que comprendas el cumplimiento de PCI y lo que significa para tu negocio. Si no te lo tomas en serio, podrías estar exponiendo a tus clientes y a tu negocio a un riesgo innecesario.

Un Informe de incidentes de brechas de datos de Verizon de 2017 encontró que hubo casi 42 068 incidentes de seguridad de datos ese año. No dejes que tu negocio sea uno de ellos.

Probablemente hayas oído hablar del cumplimiento de PCI antes, pero quizás no sepas qué es y por qué es relevante. En esta publicación, nos gustaría desglosarlo todo para ti.

¿Qué es PCI DSS?

PCI DSS son las siglas de Payment Card Industry Data Security Standard (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago). Es un conjunto de estándares establecidos por el Consejo de Estándares de Seguridad de PCI (PCI SSC) sobre cómo las empresas procesan los pagos con tarjeta de crédito.

Cumplimiento PCI

El PCI SSC fue iniciado por las principales compañías de tarjetas de crédito: Visa, MasterCard, American Express, Discover y JCB. Originalmente, todas tenían estándares de seguridad únicos, pero se unieron en 2006 para estandarizar todo.

El objetivo de la iniciativa es proteger la información confidencial del consumidor, incluidos los números de tarjetas de crédito. Esto es bueno para el consumidor porque reduce la posibilidad de que las empresas hagan un mal uso de su información personal o de que los hackers y estafadores la roben. También es bueno para la industria de procesamiento de pagos porque reduce la probabilidad de contracargos y deudas impagas.

Si bien el cumplimiento de PCI no es una ley, deberás cumplir con los estándares si deseas trabajar con alguna de esas compañías (y prácticamente tienes que hacerlo si deseas procesar tarjetas de crédito).

¿Qué se considera información confidencial? El número de cuenta principal, el nombre del titular de la tarjeta, la fecha de vencimiento, el código de servicio, los datos de la banda magnética, el chip, CAV2, CVC2, CVV2, CID, PIN, bloques PIN y cualquier otra cosa que utilices para procesar una transacción.

Cumplimiento PCI

PCI DSS establece 12 requisitos que debes cumplir para aceptar, almacenar, procesar y transmitir datos del titular de la tarjeta de forma segura. Si no cumples *incluso uno*, no eres compatible. Cada requisito aborda un componente importante de la seguridad de la información.

Cumplimiento PCI

  1. Instala y mantén una configuración de firewall para proteger los datos del titular de la tarjeta.
  2. No utilices los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  3. Protege los datos del titular de la tarjeta almacenados.
  4. Cifra la transmisión de datos del titular de la tarjeta a través de redes abiertas y públicas.
  5. Protege todos los sistemas contra malware y actualiza regularmente el software o los programas antivirus.
  6. Desarrolla y mantén sistemas y aplicaciones seguras.
  7. Restringe el acceso a los datos del titular de la tarjeta según la necesidad de conocer del negocio.
  8. Identifica y autentica el acceso a los componentes del sistema.
  9. Restringe el acceso físico a los datos del titular de la tarjeta.
  10. Rastrea y monitoriza todo el acceso a los recursos de red y a los datos del titular de la tarjeta.
  11. Prueba regularmente los sistemas y procesos de seguridad.
  12. Mantenga una política que aborde la seguridad de la información para todo el personal.

Si realiza algún tipo de transacción financiera, es su responsabilidad cumplir con la PCI. Esto incluye aceptar tarjetas de crédito por teléfono.

Además, es su trabajo asegurarse de que cualquier proveedor que le proporcione software o servicios, o cualquier empresa o persona que contrate, cumpla también con la PCI.

Por ejemplo, si utiliza Stripe para procesar los pagos con tarjeta de crédito, se le puede considerar responsable si se descubre que su servicio no cumple con las normativas. (Afortunadamente, ese no es un riesgo importante con Stripe, por eso los recomendamos).

Se espera que cumpla con la PCI independientemente del tamaño de su negocio, incluso si procesa solo una transacción al año. De lo contrario, podría enfrentarse a graves sanciones.

Para obtener la información más actualizada, siempre es mejor visitar el sitio web del PCI SSC. Sus estándares cambian regularmente y varían según su negocio, por lo que querrá mantenerse informado. Familiarícese con el contenido de su página para Comercios.

Niveles de Comercios PCI

El tipo de seguridad que necesita depende del número de pagos que realice anualmente. Cuantas más transacciones procese, más atractivo será para los hackers y las partes malintencionadas, por lo que el cumplimiento de la PCI se divide en cuatro niveles:

Nivel 1 es para comercios que procesan más de seis millones de transacciones anualmente. Deben someterse a escaneos trimestrales de red por parte de un Proveedor de Escaneo Aprobado y a un informe anual de cumplimiento por parte de un Evaluador de Seguridad Cualificado. También deben someterse a pruebas de penetración.

Nivel 2 es para comercios que procesan entre un millón y seis millones de transacciones anuales. Deben presentar un Cuestionario de Autoevaluación (SAQ) anual, una evaluación in situ realizada por un Evaluador de Seguridad Cualificado (QSA), un escaneo de red trimestral y pruebas de penetración.

Nivel 3 es para empresas que procesan entre 20.000 y un millón de transacciones anuales. Nivel 4 es para empresas que procesan menos de 20.000 transacciones anuales. Ambas deben realizar un Cuestionario de Autoevaluación anual, un escaneo de red trimestral y cumplir otros requisitos. La mayoría de las empresas se encuentran en el nivel cuatro, la categoría más baja.

En algunos casos, el PCI SSC eleva a ciertos comercios a rangos superiores dependiendo de su tipo de negocio (algunos conllevan un mayor riesgo que otros) o si han sufrido una brecha de datos en el pasado.

Sanciones por Incumplimiento

Si no cumple con los estándares PCI, corre el riesgo de sufrir brechas de datos. Si una persona malintencionada obtiene la información de pago de sus clientes y crea cargos fraudulentos, las compañías de tarjetas de crédito se ven obligadas a incurrir en gastos ilegítimos, por lo que se toman el incumplimiento muy en serio.

Las marcas de pago (Visa, MasterCard, American Express, Discover y JCB) pueden multar a los comerciantes, bancos u otros proveedores de procesamiento de pagos por incumplimiento a su discreción. Estas multas suelen oscilar entre $5,000 y $10,000 al mes.

También se le puede exigir que pague los costos de reemplazo de tarjetas (cuando los usuarios de tarjetas de crédito necesitan que se cambien sus cuentas o tarjetas porque se han visto comprometidas) y costosas auditorías forenses de su negocio.

Aún peor, se le puede considerar civilmente responsable por los daños monetarios que experimenten sus clientes debido a un procesamiento descuidado. Eso significa que la gente puede demandarle por el dinero que pierden si su falta de cumplimiento compromete su información personal.

Además, las marcas de pago tienen derecho a aumentar sus tarifas para su negocio. Si deciden que usted representa demasiado riesgo, pueden dejar de hacer negocios con usted por completo. Las marcas de tarjetas de crédito no son públicas con sus métodos para asignar tarifas, pero su justicia puede ser bastante perjudicial para las pequeñas empresas. Por eso es tan importante que comprenda qué significa ser compatible con PCI y si lo es.

Pasarelas de pago

La mayoría de los comerciantes procesan transacciones a través de pasarelas de pago. Probablemente reconozca nombres como Stripe, PayPal, Authorize.net, etc. Las pasarelas son plataformas front-end que se conectan a los bancos de tarjetas de crédito.

Cumplimiento PCI
Imagen duecom

Esto significa que no necesita tener acuerdos individuales con los bancos de tarjetas de crédito. Cuando trabaja con una pasarela, esta toma las entradas que usted le proporciona (la información de pago del cliente) y dirige esos datos al banco apropiado. También proporcionan una serie de herramientas de detección de fraude que protegen a todos.

Aquí hay una buena noticia: si utiliza una pasarela de pago, lo más probable es que ya cumpla con PCI porque la pasarela se asegura de que así sea. Todo su modelo de negocio depende de una buena relación con las marcas de tarjetas de crédito, por lo que no asumen *ningún* riesgo. Por ejemplo, Stripe prohíbe rotundamente a ciertas empresas usar su plataforma porque esas empresas conllevan un alto riesgo.

Además, usar una pasarela significa que puede aprovechar su reputación. Si intentara establecer un acuerdo directamente con Mastercard, por ejemplo, sería costoso porque Mastercard no tendría muchas razones para confiar en usted.

Pero si usa una pasarela como Stripe, usted no es el cliente de Mastercard. Stripe es el cliente de Mastercard, y Mastercard confía en Stripe porque han procesado millones de transacciones exitosas juntos. Eso significa que Stripe obtiene una mejor tarifa de la que usted podría obtener jamás.

¿Significa usar una pasarela de pago que puede ignorar el cumplimiento de PCI? Absolutamente no.

Hay muchas maneras en las que podrías incumplir la normativa PCI que no tienen nada que ver con la pasarela. Por ejemplo, si escribieras la información de la tarjeta de crédito de tus clientes en un papel y la pegaras en tu pared, estarías incumpliendo los estándares PCI, pero no hay forma de que la pasarela pudiera protegerte.

Los estándares de cumplimiento PCI cambian

Lamentablemente, los ladrones de datos, hackers y partes malintencionadas son creativos y sofisticados. Adaptan sus métodos a las nuevas tecnologías de seguridad tan rápido como nosotros podemos protegernos.

Así que lo último que necesitas saber sobre el cumplimiento PCI es esto: los estándares cambian constantemente. Lo que hoy es aceptable, mañana podría no serlo. Si gestionas tu propio procesamiento de pagos, es crucial que te mantengas al tanto de los cambios para no dejarte vulnerable.

Si utilizas un procesador de pagos (como Stripe, PayPal, Authorize.net, etc.), el procesador te mantendrá en cumplimiento (si es una de sus características), pero aun así es bueno entender el panorama cambiante.

Divulgación: Nuestro contenido es compatible con los lectores. Esto significa que si haces clic en algunos de nuestros enlaces, podemos ganar una comisión. Solo recomendamos productos que creemos que aportarán valor a nuestros lectores.

WP Simple Pay
¡Ahorra 50%!

REDES SOCIALES

Conectemos

Leer más

Publicaciones Populares

Cómo usar etiquetas inteligentes para personalizar correos electrónicos de confirmación de pago

Desbloqueando la personalización: Cómo permitir a los clientes añadir notas a los formularios de pago en WordPress

¿Vale la pena Stripe Atlas en 2024 [Actualización]?

Potencia tus ventas: Cómo habilitar fácilmente compras de varios artículos en una sola transacción

Cómo mejorar la comunicación con el cliente con un recibo de correo electrónico detallado

Cómo crear un formulario de registro de eventos con múltiples opciones de precio y cantidad

Empieza a aceptar pagos hoy mismo

Empieza a aceptar pagos únicos y recurrentes o donaciones en tu sitio web de WordPress.

Obtener WP Simple Pay Ahora →