Si tu empresa almacena datos de tarjetas, la normativa para su custodia cambia hoy.

Chismorrea con tus amigos

La nueva norma tiene diferentes grados de cumplimiento según el número de transacciones, tecnología empleada y tipo de tarjeta y entro  en vigor el, 1 de enero de 2018.

En Abril de 2016 se publicó una nueva versión del estándar de seguridad para la industria de las tarjetas de pago PCI-DSS y también la norma de obligado cumplimiento para todo comercio o empresa que procese, almacene o transmita datos de tarjetas.

El estándar PCI-DSS v3.2 tiene como finalidad poner a salvo datos de los titulares de las tarjetas como en PAN (Personal Account Number), nombre y apellidos, fecha de caducidad y también la información de autencicación para las transacciones, como la que contiene la banda magnética, o el chip, el código de verificación o el PIN.

Las empresas están obligadas a cumplir la norma para prevenir el fraude, aunque no incluye ningún tipo de sanción si no se hace. Esto no implica que las entidades emisoras de las tarjetas o las bancarias no puedan imponernos una sanción, además de tener que hacer frente a las que nos pueda imponer la LOPD ahora o el RGPD, a partir de mayo.

Para cumplir con la norma la compañía debe tener:

  • Redes y sistemas seguros, con un cortafuegos que impida el acceso externo y evitando utilizar claves por defecto o llevar un registro del acceso a los datos de los titulares.
  • Protección de los datos, tanto en el acceso desde los sistemas de la empresa como en su transmisión, que debe estar siempre cifrada para asegurar la comunicación.
  • Especial cuidado con los problemas de malware, virus y agujeros de seguridad. Los sistemas de la empresa deben ser seguros y estar actualizados.
  • Control de accesos a los datos, con el máximo nivel de restricción para que solo las personas autorizadas puedan acceder, pero también que exista una trazabilidad para saber quién ha accedido a ellos.

Para un pequeño comercio o una tienda online estas buenas prácticas empiezan por no almacenar datos de autenticación de tarjetas dentro de la web o e-commerce, ni siquiera en los logs del sistema. Si no necesitamos almacenar datos de tarjetas de pago, mejor no hacerlo o externalizar las transacciones con terceros que garanticen que se cumplen las normas PCI-DSS.

Chismorrea con tus amigos

Dejar una contestacion