«PCI Compliance» son las siglas de «Payment Card Industry Compliance», lo que traducido podría ser «Cumplimiento de la industria de tarjetas de pago», que no es ni más ni menos que una serie de normas que están desarrolladas para proteger los datos de los dueños de tarjetas de crédito durante, y después, de una transacción financiera. Si eres un ente que gestiona los datos de tarjetas de crédito de clientes de tiendas online, las marcas de tarjetas (VISA y Mastercard) te obligan a cumplir con PCI Compliance. Si no cumples con ello no te habilitan para procesar sus tarjetas de crédito.
Debido a las grandes exigencias de las normativas incluidas en PCI-compliance, las tiendas online suelen olvidarse de este tema y delegarlo directamente otra empresa que es la encargada de instalarles la pasarela de pago, la cual sí está obligada a cumplirlo si quiere que se procesen tarjetas Visa o Mastercard con su pasarela de pago.
Existen 6 categorías de estándares a cumplir:
Las normativas que contiene esta categoría se focalizan en la red a la cual se exponen los datos de la tarjeta, en los casos de negocios online el primer foco de vulnerabilidades es el servidor web. Es habitual que las compañias de hosting se encarguen directamente de asegurar los servidores web que dan servicio a sus clientes.
Cualquier máquina dentro de la empresa que pueda almacenar los datos del dueño de la tarjeta de crédito tiene que estar detrás de un cortafuegos y las mínimas medidas de seguridad que se necesiten para asegurar la red de esa máquina. Resumiendo:
Aquí se centralizan todas las tareas necesarias para proteger los datos del dueño de la tarjeta de crédito. Proteger significa que NO todo el mundo puede aceder a esa información. Las empresas que deban cumplir con PCI-Compliance deben almancear los datos cifrados, para que en caso de un robo de datos no puedan ser descifrados fácilmente.
Los negocios online deben tener especial cuidado a la hora de transmitir los datos de la persona que posee la tarjeta. Como mínimo para cumplir con esta categoría, se debe utilizar un certificado SSL de 128bits.
Resumiendo:
El número de vulnerabilidades siempre puede disminuir si se tiene en cuenta un plan de gestión de actualizaciones de hardware, software y sistemas operativos. Tener actualizados al día los antivirus y ejecutar los escaneos es una obligación en esta categoría. Resumiendo:
El eslabón más débil de la seguridad es el ser humano. Una de las partes más importantes del PCI-Compliance es controlar que sólo las personas que necesiten la información tengan acceso a ella, ya sea de manera física o virtual. Resumiendo:
Las redes que mantienen la información confidencial de los dueños de las tarjetas deben ser monitorizadas y probadas con regularidad. Estas medidas son obligatorias para cumplir con PCI. Tendrás que considerar seriamente contratar una auditoria externa en este sentido, la cual ayude a solucionar y detectar potenciales fallos de seguridad. Resumiendo:
Teniendo en cuenta el problema que tienen los seres humanos con la seguridad en las empresas, es de obligación establecer una política de seguridad. Hay que estar seguros de que los empleados conocen y entienden todos los puntos de la política, así como las responsabilidades que tienen con los datos de los dueños de las tarjetas.
http://searchcompliance.techtarget.com/definition/PCI-compliance
http://www.qualys.com/docs/PCI-for-Dummies.pdf
http://www.practicalecommerce.com/articles/629-What-Is-PCI-Compliance-And-Should-Merchants-Be-Concerned-About-It-