¿Qué es PCI DSS?
Payment Card Industry Data Security Standards (PCI DSS) son un conjunto de estándares de seguridad de la información creados y gestionados por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) para organizaciones que almacenan, procesan o transmiten datos de tarjetas de crédito.
Las principales marcas de tarjetas (incluyendo Visa, Mastercard, Discover y American Express) requieren el cumplimiento de PCI DSS.
Akua le ayuda a usted y a sus usuarios a validar el cumplimiento de PCI DSS proporcionando los formularios necesarios y verificando la información enviada.
Los usuarios pueden incluir cualquier entidad que almacene, procese o transmita datos de tarjetas de crédito.
Niveles de PCI
Existen cuatro niveles de cumplimiento de PCI.
Si los requisitos se aplican a usted o a un usuario, la entidad deberá cumplir con ese nivel de cumplimiento de PCI DSS antes de poder procesar pagos.
| Nivel PCI | Se aplica a |
|---|---|
| Nivel 1 | Usuarios que procesan más de 6 millones de transacciones con tarjeta anualmente a través de todos los canales y regiones (presencial, comercio electrónico, etc.). |
| Nivel 2 | Usuarios que procesan entre 1 y 6 millones de transacciones con tarjeta anualmente a través de todos los canales y regiones (presencial, comercio electrónico, etc.). |
| Nivel 3 | Usuarios que procesan entre 20,000 y 1 millón de transacciones con tarjeta anualmente en línea (solo comercio electrónico). |
| Nivel 4 | Usuarios que procesan menos de 20,000 transacciones con tarjeta en línea (solo comercio electrónico) anualmente. Usuarios que procesan hasta 1 millón de transacciones con tarjeta anualmente a través de todos los canales y regiones (presencial, comercio electrónico, etc.). |
Akua está certificada como Proveedor de Servicios Nivel 1 conforme a las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
Validación del Cumplimiento de PCI DSS
Los comerciantes pueden validar el cumplimiento completando y certificando un Cuestionario de Autoevaluación (SAQ).
Los Cuestionarios de Autoevaluación (SAQ) son herramientas de validación para ayudar a las entidades a autoevaluar su cumplimiento con PCI DSS.
Para los Niveles PCI 2-4, existen diferentes tipos de SAQ según la forma de su integración de pago.
| Cuestionario de Autoevaluación (SAQ) | Se aplica a |
|---|---|
| A | Comerciantes sin presencia de tarjeta que han externalizado completamente todas las funciones de datos del titular de la tarjeta a proveedores de servicios externos validados por PCI DSS sin almacenamiento, procesamiento o transmisión electrónica de ningún dato del titular de la tarjeta en los sistemas o instalaciones del comerciante. |
| A-EP | Comerciantes de comercio electrónico que externalizan todo el procesamiento de pagos a terceros validados por PCI DSS, y que tienen un sitio web que no recibe directamente datos del titular de la tarjeta pero que puede afectar la seguridad de la transacción de pago. Sin almacenamiento, procesamiento o transmisión electrónica de ningún dato del titular de la tarjeta en los sistemas o instalaciones del comerciante. |
| B | Comerciantes que utilizan únicamente: - Máquinas de impresión sin almacenamiento electrónico de datos del titular de la tarjeta; y/o - Terminales independientes con marcación telefónica sin almacenamiento electrónico de datos del titular de la tarjeta. |
| B-IP | Comerciantes que utilizan únicamente terminales de pago independientes, aprobados por PTS, con una conexión IP. |
| C-VT | Comerciantes que ingresan manualmente una sola transacción a la vez a través de un teclado en una solución de terminal virtual basada en Internet que es proporcionada y alojada por un proveedor de servicios externo validado por PCI DSS. |
| C | Comerciantes con sistemas de aplicaciones de pago conectados a Internet, sin almacenamiento electrónico de datos del titular de la tarjeta. |
| P2PE | Comerciantes que utilizan únicamente terminales de pago de hardware que están incluidos y gestionados a través de una solución P2PE validada y listada por PCI SSC. Sin almacenamiento electrónico de datos del titular de la tarjeta. |
| D | - SAQ D para Comerciantes: Todos los comerciantes no incluidos en las descripciones de los tipos de SAQ anteriores. - SAQ D para Proveedores de Servicios: Todos los proveedores de servicios definidos por una marca de pago como elegibles para completar un SAQ. |
Cada Cuestionario de Autoevaluación PCI DSS comprende lo siguiente:
- Preguntas asociadas con los requisitos de PCI DSS que son apropiadas para su entorno de datos del titular de la tarjeta (CDE).
- Certificación de Cumplimiento: La certificación contiene su declaración de elegibilidad para completar el SAQ aplicable y los resultados de una autoevaluación de los requisitos bajo PCI DSS.
Akua evaluará su método de integración de pagos para ayudar a aliviar parte de la carga de cumplimiento de PCI.
Akua se encarga del trabajo pesado y crea los formularios de cumplimiento de SAQ que sus comerciantes necesitan completar.
Akua completa previamente alguna información basada en la información recopilada de usted como parte del proceso de implementación.
Para muchas organizaciones, esto ayuda a ahorrar innumerables horas de auditoría y verificaciones de cumplimiento.
Además, Akua monitorea activamente el cumplimiento de PCI de manera continua y le notificará con anticipación sobre cualquier problema o cambio en la validación de cumplimiento.
Updated about 2 months ago