¿Tus transacciones son seguras?
Asegura todas las transacciones con tarjetas que realizan en tu empresa mediante el cumplimiento de las normas PCI - DSS y reduce los fraudes e incrementa la seguridad en tu negocio.
¿Qué es PCI - DSS ?
Significa "Payment Card Industry - Data security Standar" y define un conjunto de requerimientos para gestionar la seguridad y medidas de protección que intervienen en la transmisión, procesamiento o almacenamiento de información de tarjetas de pago.
Su finalidad es la reducción del fraude relacionado con las tarjetas de pago e incrementar la seguridad de estos datos para proteger la industria de pagos con tarjeta
¿Por qué se debe cumplir con PCI-DSS?
Debemos asegurarnos, que los datos de los clientes estén siempre completamente protegidos.
Es necesario saber que:
Proteger los datos nos ayuda a evitar los fraudes asociados a brechas de seguridad que pueden producirse en el sistema.
Se debe evitar la pérdida de confianza de nuestros clientes, ya que éstos nos confían la confidencialidad de sus datos personales.
En caso de un acceso ilegítimo, esto puede derivar daños hacia la marca con consecuencias económicas, de imagen, etc.
Las técnicas de las organizaciones criminales se perfeccionan y hay que estar actualizados para garantizar la seguridad.
¿Cuáles son las consecuencias del incumplimiento?
El no cumplir con estas normas puede acarrear graves consecuencias, entre las que destacamos:
Pago de multas o sanciones impuestas por las marcas o adquirientes, así como el pago de indemnizaciones a los afectados
Imposibilidad de trabajar con el adquiriente porque debe garantizar que todos los comercios adquiridos cumplan con los estándares.
Posibilidad de incurrir en el incumplimiento de otras leyes y normativas
¿Quién debe cumplir con el estándar
PCI-DSS?
Cualquier entidad que almacena, procesa o transmite los datos de los titulares de las tarjetas, debe cumplir con éste estándar.
Esto abarca desde la manufactura (PTS), pasando por los desarrolladores de software (PA) hasta los comerciantes y proveedores de servicios (DSS).
Estos tres estándares proveen la base para la protección de datos del tarjetahabiente:
PTS: Dispositivos de pago.
PA: Aplicaciones de pago.
DSS: Procesos e infraestructura de comercios y prestadores de servicio.
Tres pasos
para su
cumplimiento
1 - Evaluación
Identificar los datos de los titulares de las tarjetas, a partir del inventario de activos de TI y procesos de negocio para el procesamiento de pagos con tarjeta, identificando las vulnerabilidades que podrían exponer los datos.
2 - Corrección
Solución de vulnerabilidades detectadas y no almacenar los datos de los titulares de las tarjetas.
3 - Informe
Requiere de recopilar y enviar registros de validación de corrección (si es aplicable) y presentación de informes de cumplimiento para los Bancos y emisores de tarjeta con los que se hacen negocios.
Contáctanos hoy y certifícate
en PCI-DSS con Nordstern
Objetivos de la certificación
- Desarrollar y mantener una red segura.
- Proteger los datos de los titulares de tarjetas.
- Mantener un programa de administración de vulnerabilidades.
- Implementar medidas sólidas de control de acceso.
- Supervisar y evaluar las redes con regularidad.
- Mantener una política de seguridad de la información.
¿Cuáles son los requerimientos?
El adecuado resguardo de los datos de tarjetas requiere medidas sólidas de seguridad, como configuraciones de firewalls y routers robustas, evitando contraseñas predeterminadas y cifrando la transmisión de datos.
Además, se deben emplear y actualizar regularmente antivirus, desarrollar sistemas seguros, restringir el acceso a los datos y rastrear todo acceso a recursos de red. Es esencial realizar pruebas de seguridad periódicas y mantener políticas claras de seguridad de la información para empleados y contratistas.
Niveles de cumplimiento
para comerciantes
Nivel 1
- Si procesa más de 6 millones de transacciones VISA o MasterCard al año.
- Si procesa más de 2.5 millones de transacciones AmEx al año.
Nivel 3
- Si procesa entre 20 mil y un millón de transacciones VISA al año.
- Si procesa más de 20 mil transacciones MasterCard al año.
- Si procesa menos de 50 mil transacciones AmEx al año.
Nivel 2
- Si procesa entre 1 y 6 millones de transacciones VISA al año.
- Si procesa más de 150 mil transacciones MasterCard al año.
- Si procesa entre 50 mil y 2.5 millones de transacciones AmEx al año.
Nivel 4
El resto de comerciantes que manejan VISA o MasterCard
Niveles de cumplimiento para proveedores de servicios
Nivel 1
VISA:
- Si procesan más de 300 transacciones anualmente.
- Todo procesador de VISANet.
- Todas las pasarelas de pagos.
MasterCard:
- Si procesan más de 300 transacciones anualmente.
- Todas las entidades de guarda de datos (DSEs) que procesen, almacenen o transmitan datos del tarjetahabiente para comerciantes nivel 1 y 2.
Nivel 2
VISA:
- Si procesan menos de 300 transacciones anualmente.
- Todo proveedor de servicios que procese, almacene o transmita un millón o más de cuentas o transacciones VISA al año.
MasterCard:
- Si procesan menos de 300 transacciones anualmente.
- Todas las (DSEs) que procesen, almacenen o transmitan datos del tarjetahabiente para comerciantes niveles 3.
- El resto de (DSEs)
¿Por qué Nordstern?
En nuestra propuesta de servicios, ofrecemos una sólida póliza de cobertura contra errores en la consultoría y precios preferenciales gracias a acuerdos con los bancos adquirientes. Con una amplia experiencia en el sector e-commerce a nivel global, proporcionamos capacitación gratuita sobre las normas y contamos con un Comité de Calidad interno para validar la documentación, asegurando el cumplimiento de estándares como PCI DSS y Medios de Pago antes de la entrega formal al cliente.
Nuestra propuesta destaca por la excelencia técnica, respaldada por políticas y procesos que garantizan resultados de calidad y la satisfacción del cliente.
Análisis de brecha
Verificación del estado inicial del cumplimiento.
Informe de evaluación PCI-DSS.
Remediación
Def. actividades de cumplimiento con sesiones de revisión/avance.
Identificación de desviaciones.
Escaneos ASV
Escaneos de red internos y/o externos trimestrales.
Pruebas de penetración
Pruebas de penetración internas y externas.
