Para cualquier empresa que gestione transacciones con tarjetas de crédito u otras tarjetas de pago, comprender el cumplimiento de PCI es esencial para mantener un entorno seguro que proteja no solo a sus clientes, sino a toda su operación.

En pocas palabras, el cumplimiento de la normativa PCI exige que las empresas protejan los datos de los titulares de tarjetas siguiendo una lista de verificación de precauciones de seguridad técnicas y operativas. Ya sea que su empresa ya esté establecida o esté comenzando, los conceptos básicos del cumplimiento de la PCI no son tan complicados como podría pensar.

Esta guía fácil de seguir ofrecerá una visión general del cumplimiento de PCI, quién debe cumplirlo y cómo proteger sus comunicaciones por correo electrónico que contienen datos de titulares de tarjetas.

¿Qué es el cumplimiento de PCI?

PCI son las siglas de Payment Card Industry (industria de las tarjetas de pago) y PCI DSS son las siglas de Payment Card Industry Data Security Standard (estándar de seguridad de datos de la industria de las tarjetas de pago).

El PCI DSS es un conjunto de estándares de seguridad globales creados para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan dicha información segura.

Estos estándares son administrados por el PCI Security Standards Council (Consejo de Estándares de Seguridad de la PCI), un grupo fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

Aunque el cumplimiento de PCI no es una ley, es un requisito obligatorio impuesto por las principales compañías de tarjetas de crédito en sus contratos con los comerciantes.

¿Por qué es importante el cumplimiento de PCI?

El cumplimiento de PCI es crucial para proteger a su empresa y a sus clientes de las vulneraciones de datos y el fraude. El incumplimiento puede acarrear sanciones severas, repercusiones legales y la pérdida de la confianza de los clientes.

Garantizar que cumple los requisitos de PCI DSS ayuda a proteger los datos confidenciales y mejora su reputación como entidad de confianza.

¿Quién debe cumplir la normativa PCI?

Cualquier empresa de todo el mundo que gestione transacciones con tarjetas de pago debe cumplir con la normativa PCI. Esto incluye minoristas en línea, tiendas físicas y cualquier organización que procese pagos con tarjeta de crédito. Si su empresa acepta, transmite o almacena cualquier dato de titulares de tarjetas, debe cumplir con los requisitos de PCI DSS(nueva ventana).

Las pequeñas empresas deben cumplir ellas mismas con la normativa PCI, incluso si utilizan un procesador de pagos como Stripe. Aunque el uso de un procesador de pagos que cumpla con la PCI puede ayudar a satisfacer algunos de los requisitos, las empresas siguen siendo responsables de garantizar que sus propios sistemas y prácticas cumplan con los estándares de PCI DSS.

Lista de comprobación de cumplimiento de PCI

Para cumplir con la PCI, las empresas deben seguir los 12 requisitos establecidos por el PCI DS(nueva ventana)S(nueva ventana).

  1. Instale y mantenga un cortafuegos para proteger los datos de los titulares de las tarjetas.
  2. No utilice los valores por defecto proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  3. Proteja los datos de los titulares de tarjetas almacenados mediante cifrado y métodos de almacenamiento seguros.
  4. Cifre la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas.
  5. Proteja todos los sistemas contra el malware y actualice periódicamente el software o los programas antivirus.
  6. Desarrolle y mantenga sistemas y aplicaciones seguros.
  7. Restringir el acceso a los datos de los titulares de tarjetas según la necesidad comercial de conocerlos.
  8. Identificar y autenticar el acceso a los componentes del sistema.
  9. Restringir el acceso físico a los datos de los titulares de tarjetas.
  10. Rastrear y monitorear todo el acceso a los recursos de la red y a los datos de los titulares de tarjetas.
  11. Probar regularmente los sistemas y procesos de seguridad.
  12. Mantener una política que aborde la seguridad de la información para todo el personal. 

Sin embargo, es importante tener en cuenta que cada uno de estos requisitos se desglosa aún más en varios subrequisitos. El cumplimiento de cada uno de ellos es esencial.

Si bien la seguridad del correo electrónico no se menciona explícitamente, el estándar exige el cifrado de los datos de los titulares de tarjetas durante la transmisión a través de redes públicas, lo que incluye el correo electrónico.

Un correo electrónico seguro es crucial para el cumplimiento de la normativa PCI

Un aspecto crítico del cumplimiento de la normativa PCI es garantizar que las comunicaciones por correo electrónico que contienen datos de tarjetas de crédito de los clientes estén debidamente cifradas y protegidas. No proteger esta valiosa información podría dar lugar a vulneraciones de datos, lo que no solo podría perjudicar la reputación de su empresa, sino también provocar pérdidas financieras devastadoras.

Estos son algunos pasos que usted puede seguir para garantizar que sus comunicaciones por correo electrónico sean seguras:

Utilizar el cifrado de extremo a extremo

El cifrado de extremo a extremo garantiza que los datos se cifren en el dispositivo del remitente y solo se descifren en el dispositivo del destinatario. Proton Mail, por ejemplo, proporciona este nivel de seguridad, lo que garantiza que ni siquiera Proton pueda acceder al contenido de sus correos electrónicos.

Utilizar la autenticación de múltiples factores

La autenticación de múltiples factores, como la autenticación de dos factores (2FA), añade una capa adicional de seguridad más allá de las contraseñas y puede mejorar significativamente sus defensas contra el acceso no autorizado. Con un plan de Proton for Business, usted puede hacer que el uso de la 2FA sea obligatorio para su organización con el fin de reforzar y garantizar la seguridad.

Auditorías de seguridad periódicas

Realice auditorías de seguridad periódicas para asegurarse de que sus comunicaciones por correo electrónico y otros sistemas cumplan con los requisitos de la normativa PCI DSS. Estas auditorías pueden descubrir vulnerabilidades en configuraciones de cortafuegos desactualizadas y controles de acceso inadecuados. Esto ayuda a identificar y abordar posibles vulnerabilidades antes de que puedan ser explotadas.

Mantenga el cumplimiento de la normativa PCI con Proton

Cuando usted utiliza Proton, protege los datos de su empresa para que nadie, ni siquiera Proton, pueda acceder a ellos. Las claves de su información más valiosa permanecen en su poder en todo momento. Este compromiso con la privacidad y la seguridad convierte a Proton en una solución ideal para las empresas que se esfuerzan por lograr y mantener el cumplimiento de la normativa PCI.

Proton comenzó como un proyecto dirigido por científicos que se conocieron en el CERN (la Organización Europea para la Investigación Nuclear). Nuestro objetivo es remodelar internet para que las personas y las organizaciones tengan el control de sus datos.

Cambiar a Proton Mail es sencillo con nuestra función Easy Switch, que le permite transferir sin problemas todos los correos electrónicos, contactos y calendarios de su organización desde otros servicios sin necesidad de formación para su equipo. Nuestro equipo de soporte también está disponible las 24 horas del día, los 7 días de la semana, para brindarle soporte en vivo si necesita ayuda adicional. Proton Mail, nuestro correo electrónico con cifrado de extremo a extremo, y Proton Drive, nuestro servicio de almacenamiento en la nube con cifrado de extremo a extremo, facilitan el cumplimiento de los requisitos de privacidad y protección de datos.

Usar Proton for Business ofrece beneficios adicionales, entre los que se incluyen:

  • Proton Mail: proteja las comunicaciones de su empresa con un correo electrónico cifrado de extremo a extremo, garantizando que solo usted y los destinatarios previstos puedan leer sus mensajes.
  • Proton VPN: proteja su conexión a internet y su actividad en línea con un acceso VPN de alta velocidad.
  • Proton Calendar: gestione su agenda con un calendario cifrado que mantiene privados sus eventos empresariales.
  • Proton Pass: almacene y gestione sus contraseñas de forma segura con nuestro gestor de contraseñas cifrado.
  • Proton Drive: almacene y comparta archivos de forma segura con el cifrado de extremo a extremo, lo que garantiza que sus datos permanezcan privados y protegidos.

Descubra cómo Proton puede simplificar el cumplimiento para su organización registrándose en Proton for Business o poniéndose en contacto con nuestro equipo de ventas para obtener soluciones más personalizadas.

Cuando traslada su empresa al ecosistema de Proton, protege simultáneamente sus propios datos y los de sus clientes, mantiene el cumplimiento y ayuda a construir un futuro en el que la privacidad sea la opción por defecto.