Inicio / Protege tu empresa / Blog / Requisitos para ofrecer el pago virtual con tarjetas en la web de tu empresa

Requisitos para ofrecer el pago virtual con tarjetas en la web de tu empresa

Publicado el 04/05/2015, por INCIBE
Tablet

La globalización, el aumento del número y velocidad de las transacciones y la movilidad, provocados por la rápida evolución de la tecnología han dejado obsoleta la forma de entender los negocios. Las antiguas reglas, las leyes y las normas se quedan escasas y es necesario reformularlas. Para un gran número de empresas es casi un «obligación» ofrecer sus servicios en internet y cada vez más frecuentemente las empresas nacen con el objetivo único de que sus ventas se realicen virtualmente.

Las ventajas son múltiples, destacando el aumento de clientes potenciales, la ausencia de horario comercial y la comodidad de poder ofrecer a nuestros clientes comprar desde cualquier ubicación. Ahora bien, todos estos beneficios pasan por ofrecer a los clientes los medios adecuados para que las gestiones virtuales sean lo más sencillas y seguras posibles.

Actualmente el medio de pago más frecuente en el comercio electrónico son las tarjetas de crédito, sin embargo, ¿sabemos qué debemos cumplir para poder admitir en nuestra tienda online el pago mediante este medio?

La «respuesta» es PCI (Payment Card Industry), concretamente existe una norma denominada PCI DSS.

¿Qué es PCI-DSS?

Es un estándar de seguridad establecido para la industria de tarjetas de pago como un conjunto de requerimientos y procesos para ayudar a garantizar que los titulares de tarjetas pueden realizar compras seguras y que la información de sus tarjetas está protegida ante posibles fraudes online.

¿Cuándo se aplica PCI-DSS?

Se aplica si vamos a procesar, transmitir o almacenar datos de tarjeta.

¿Cómo se aplica PCI-DSS?

Pago con tarjeta de crédito y ordenador portatilEl cumplimiento de los requisitos vendrá marcada por el nivel de cumplimiento que cada empresa deba asumir y éstos se basan en el número de transacciones procesadas anualmente por la empresa. En función de ellas los requisitos de cumplimiento PCI podrá ser más o menos simplificado. En algunos casos será necesario pasar auditorías de revisión de cumplimiento por parte de un auditor autorizado (QSA) y en otros casos, tan solo será necesario mediante un cuestionario de autoevaluación online y con una revisión de vulnerabilidades mensuales o trimestrales.

¿Qué medidas son las que establece PCI DSS?

La norma establece el cumplimiento de 12 requisitos que están organizados en 6 categorías:

  1. Debemos desarrollar y mantener una red segura. Para ello debemos instalar y mantener una configuración de firewall que permita proteger los datos de los titulares de tarjetas. Además no debemos utilizar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  2. Proteger los datos del titular de la tarjeta. Debemos proteger los datos de los titulares de las tarjetas que tengamos almacenados. No todo el mundo debe poder acceder a esa información y además cifrar la transmisión de esos datos a través de redes públicas abiertas., para que en caso de un robo de datos no puedan ser descifrados fácilmente.
  3. Mantener un programa de administración y gestión de vulnerabilidades. Debemos utilizar y mantener actualizados el software antivirus y desarrollar y mantener sistemas y aplicaciones seguras.
  4. Implementar medidas sólidas para el control de accesos. Debemos restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. Además, debemos identificar y autenticar los accesos a los componentes del sistema y restringir el acceso físico a los datos del titular de las tarjetas.
  5. Supervisar y evaluar redes con regularidad. Las redes que mantienen la información confidencial de los dueños de las tarjetas deben ser monitorizadas y probadas con regularidad. Además debemos probar con regularidad los sistemas y los procesos de seguridad.
  6. Mantener una política de seguridad de la información. Disponer una política de seguridad de la información en nuestra empresa y mantenerla siempre actualizada.

Estos requisitos marcan a grandes rasgos nuestras obligaciones pero, como hemos comentado anteriormente el cumplimiento de los requisitos vendrá marcada por el nivel de cumplimiento que cada empresa deba asumir, en función de la cantidad de transacciones procesadas anualmente.

Sin embargo además de los requisitos obligatorios que establece PCI-DSS, es recomendable incorporar otras medidas. Estas recomendaciones deben considerarse dentro del tratamiento de la información confidencial que manejamos en el proceso de venta. Nos ayudarán a mantener la seguridad de la información de nuestra empresa y de nuestros clientes:

  • Debemos prestar especial atención a la hora de enviar información vía correo electrónico y asegurarnos de que nos dirigimos al destinatario adecuado. En este sentido, siempre que sea posible debemos enviar la información cifrada.
  • Eliminemos la documentación en papel de manera segura. Revisemos la documentación impresa del fax o de la fotocopiadora, para evitar que personas no autorizadas puedan acceder a ellos y utilicemos la trituradora de papel para destruir la información confidencial.
  • Si necesitamos realizar copias de documentación en papel, hagámoslas cuidadosamente y no nos olvidemos de recoger los documentos y los originales.
  • Debemos mantener nuestro puesto de trabajo limpio, ordenado y despejado para evitar la pérdida accidental de documentación.
  • Evitemos dejar documentación encima de las mesas al alcance de otras personas (internas o externas a la empresa).
  • Seamos conscientes de la información que mostramos en nuestra pantalla. Utilicemos filtros especiales para que sólo nosotros podamos visualizar la información que aparece en la pantalla.
  • Debemos evitar revelar información sensible cuando estemos rodeados de gente, mejor volver a llamar o hablar con la persona en un entorno más adecuado. Pensemos dos veces antes de hablar de alguna información o detalles de algún proyecto confidencial. Evitemos hablar más de lo necesario cuando hablemos por teléfono. Nunca sabemos quién puede estar escuchando.
  • Nunca debemos comunicar nuestras credenciales de acceso (usuario y contraseña) de los servicios implicados en la venta online.
  • Debemos ser precavidos a la hora de comunicar información confidencial. En la medida de lo posible, debemos verificar la identidad de quien se va a intercambiar información determinada.

Estas sencillas pautas aplicadas al día a día nos ayudarán a mejorar la seguridad de la información confidencial de nuestra empresa. Indistintamente de si en nuestra empresa admitamos o no pagos con tarjetas, protege la información, ¡practica ciberseguridad!

Etiquetas: 
Cumplimiento legal
Empresa
Protección información
Artículos relacionados
Imagen con fondo azul y circulo con imagenes de colores
INCIBE | 14/02/2023
El riesgo ciber, máxima prioridad para pymes y autónomos
Bandera Europa con candado
INCIBE | 25/01/2023
Día Europeo de la Protección de Datos: la garantía de protección de los usuarios
Manos sujetando un cartel con el texto PCI DSS
Ignacio Porro Sáez (INCIBE) | 18/10/2022
Pagos en línea más seguros: PCI DSS versión 4.0