¿Qué es PCI DSS? y ¿Dónde certificar mi comercio?

PCI DSS (PCI Data Security Standard) surge de la unión de las marcas de tarjeta Visa, MasterCard, Amex, Discover y JCB para combatir las estafas por internet. El objetivo de PCI DSS es crear un entorno sin fraude para el comercio y el titular de la tarjeta.

PCI será obligatorio para los todos comercios cuando entre en vigor la normativa PSD2

¿Cuáles son las políticas de seguridad de PCI DSS?

La normativa PCI DSS afecta a todos los comercios que procese, transmita o almacene datos de tarjetas. Las políticas de seguridad afectan los siguientes métodos de cobro con tarjeta:

• Cobro presencial por datáfonos, datáfonos móviles y Smartphone
• Cobro no presencial en TPV Virtuales para la web, cobro por teléfono, pagos recurrentes y pago por móvil

Las políticas de seguridad que implanta PCI DSS a los comercios son los siguientes:

Si el comercio tiene un TPV Virtual online no presencial y quiere guardar todos los datos de las tarjetas, necesita la máxima seguridad en su servidor, software y procedimiento de venta.

Los pasos para conseguir la certificación PCI DSS son los siguientes:

• Conocer la estructura del comercio para ver dónde se guarda y notifica la información de la tarjeta.
• Detectar las irregularidades en el proceso de pago y almacenamiento de las tarjetas.
• Auditoría para saber qué irregularidades que se han detectado y procedimiento para poder resolverlas.
• Una vez que la auditoría se ha realizado satisfactoriamente y dependiendo el nivel de PCI que tenga el comercio, tendrá que realizar auditorías y escaneos en busca de vulnerabilidades cada 3 meses.
• Si un comercio no está obligado a certificar su TPV Virtual con PCI, tendrá que rellenar un cuestionario para que pueda conocer las vulnerabilidades de su terminal y proceder a resolverlas. Cuando el comercio quiere certificar su TPV Virtual con PCI, le enviará unos cuestionarios para verificar el modo de pago no presencial que tiene implantado, rellenará los cuestionarios con preguntas técnicas del servidor, software y procedimiento de venta.
• Si PCI no encuentra ninguna vulnerabilidad en su servidor conseguirá la certificación, pero si la encuentra, tendrá que corregirlo para poder almacenar los datos de las tarjetas de sus clientes.
• Si es comercio con método de pago presencial (datáfono), tendrá que rellenar el cuestionario para pagos presenciales y adaptar el software a la normativa de seguridad PCI DSS. El objetivo es evitar temida clonación de tarjetas.

¿Donde certificar mi comercio con PCI DSS?

Cuando un comercio quiere certificar su terminal con PCI DSS, recomendamos que vea la lista oficial de certificadores cualificados PCI, en este listado encontrará por país e idioma todas las empresas certificadoras. Si necesita más información sobre ¿qué es PCI DSS? recomendamos que vea el siguiente video.