Hemos estado recibiendo muchas preguntas últimamente sobre el cumplimiento de PCI de comerciantes y proveedores de servicios, por lo que pensamos que podríamos escribir esto para todos. Si es nuevo en el cumplimiento de PCI, aquí hay una descripción general para ponerse al día. El PCI DSS se aplica a cualquier comerciante o proveedor de servicios que maneje, procese, almacene o transmita datos de tarjetas de crédito.
Comerciantes
Para los comerciantes, el Consejo de Estándares de Seguridad de PCI ha proporcionado herramientas de validación de cumplimiento en forma de Cuestionarios de Autoevaluación (SAQ). Hay cuatro SAQ: A, B, C y D. Los SAQ fueron diseñados para adaptarse a diferentes tipos de negocios, es decir, restaurantes / comercio electrónico, y diferentes métodos de procesamiento comercial, es decir, el comerciante maneja, procesa o almacena datos de tarjetas de crédito. Los comerciantes más grandes que procesan millones de transacciones al año deben tener una auditoría in situ realizada por un Asesor de Seguridad calificado.
Aquí hay dos ejemplos de cómo un comerciante elegiría un SAQ en particular:
Si un comerciante de comercio electrónico acepta pagos con tarjeta de crédito a través de su sitio web y luego almacena la información de la tarjeta de crédito para compras futuras, se le pedirá que complete el SAQ D, o el formulario largo como se conoce, porque están manejando, procesando y almacenando datos de tarjetas de crédito. SAQ D incluye los controles completos de ~250 en el estándar PCI DSS y requiere la mayor cantidad de tiempo, energía y dinero.
Por el contrario, si un comerciante de comercio electrónico solo acepta pagos con tarjeta de crédito a través de su sitio web y no maneja, procesa y almacena datos de tarjetas de crédito mediante el uso de una API como la nuestra o una página alojada, el comerciante puede calificar para el SAQ A, el más corto de los cuatro. Incluye aproximadamente 20 controles y se puede completar muy rápidamente. Además de este SAQ, algunos procesadores y / o QSA también requerirán que el comerciante se registre para un servicio de escaneo de direcciones IP externas, aunque no haya datos de tarjetas de crédito presentes para ser robados. Lo hemos visto argumentado en ambos sentidos.
Es importante tener en cuenta en este segundo ejemplo que si este comerciante acepta pagos con tarjeta de crédito por teléfono, además del sitio web, ya no calificará para el formulario corto SAQ A porque ahora está procesando, transmitiendo y potencialmente almacenando datos de tarjetas de crédito en su entorno. En su lugar, se les pedirá que llenen el SAQ C.
Proveedores de servicios
Al igual que los comerciantes, cualquier negocio que procese, maneje o almacene datos de tarjetas de crédito en nombre de un comerciante debe cumplir con PCI DSS. Visa mantiene una lista de Proveedores de Servicios Validados PCI DSS Globales en su sitio web. Los comerciantes deben asegurarse de que su proveedor ha sido validado como compatible con PCI DSS. Lograr el cumplimiento de Nivel 1 requiere una auditoría in situ por parte de un Evaluador de Seguridad cualificado.
Conceptos básicos de cumplimiento de PCI
Costo de una violación de tarjeta de crédito