¿Qué es el Incumplimiento de PCI DSS?

Qué significa el incumplimiento de PCI DSS

El incumplimiento de PCI DSS significa que una organización no ha cumplido uno o más de los requisitos de seguridad establecidos en el Payment Card Industry Data Security Standard. Esto puede significar que la organización nunca ha sido evaluada, que se le ha evaluado y se han detectado lagunas, o que era previamente cumplidora pero ha dejado caducar sus controles.

El incumplimiento no siempre es por negligencia. Algunas organizaciones no son conscientes de que PCI DSS se les aplica. Otras subestiman el alcance de su entorno de datos del titular de la tarjeta. Y algunas logran el cumplimiento pero les cuesta mantenerlo de forma continua, dejando que las cosas se relajen entre evaluaciones anuales.

Las consecuencias del incumplimiento

Las consecuencias de no cumplir los requisitos de PCI DSS son reales, escalan y pueden amenazar la viabilidad de un negocio.

Sanciones económicas

Las marcas de tarjeta —Visa, Mastercard y otras— pueden imponer multas a los bancos adquirentes por los comercios que no cumplen. Estas multas se trasladan habitualmente al comercio y pueden ir desde varios miles a cientos de miles de libras al mes, según la gravedad del incumplimiento y si se ha producido una brecha de datos.

Estas multas no son pagos puntuales. Siguen acumulándose mes a mes hasta que la organización alcance el cumplimiento, así que cuanto más tiempo siga incumpliendo, mayor será la sanción total.

Mayores comisiones de procesamiento

Los bancos adquirentes pueden aumentar las comisiones de procesamiento de transacciones a los comercios no cumplidores para compensar su propio mayor riesgo. Esto impacta en la cuenta de resultados en cada transacción que el negocio procesa, día tras día.

Pérdida de la capacidad de aceptar pagos con tarjeta

En los casos más graves, un banco adquirente puede terminar el contrato del comercio por completo, lo que significa que el negocio ya no puede aceptar pagos con tarjeta. Para muchos negocios, sobre todo los del sector servicios, el e-commerce o los modelos de suscripción, esto es efectivamente una sentencia de muerte. Perder la capacidad de aceptar pagos con tarjeta puede suponer perder la mayor parte de sus ingresos de la noche a la mañana.

Responsabilidad por brechas de datos

Si se produce una brecha de datos y se determina que la organización no cumple PCI DSS, la exposición financiera escala drásticamente. La organización puede ser responsable del coste de la investigación forense, la notificación a los clientes, el monitoreo de crédito para los titulares afectados, los costes de reemisión de tarjetas (que los emisores trasladarán al comercio) y cualquier pérdida por fraude resultante. Estos costes pueden alcanzar los millones de libras.

Daño reputacional

Más allá de las sanciones económicas, una brecha de datos hecha pública causa un daño reputacional duradero. Los clientes pierden la confianza, los socios de negocio se replantean su relación y la cobertura mediática negativa puede perseguir a una organización durante años. Reconstruir la confianza tras una brecha es uno de los retos más difíciles a los que puede enfrentarse un negocio.

Por qué se produce el incumplimiento

Entender por qué las organizaciones caen en el incumplimiento ayuda a prevenirlo. Entre las causas más habituales se encuentran las siguientes.

• Scope creep (deriva del alcance): se introducen nuevos sistemas, procesos o canales sin considerar sus implicaciones para PCI DSS. Un negocio puede añadir un nuevo canal de pago telefónico, empezar a grabar llamadas o desplegar un nuevo CRM sin darse cuenta de que estos cambios meten sistemas adicionales en el alcance.
• Rotación de personal: las personas que entendían los requisitos de cumplimiento se van, y sus sustitutos no reciben la formación adecuada. Las políticas de seguridad acumulan polvo en un cajón, y los controles que antes se mantenían con rigor empiezan a deslizarse.
• Presión presupuestaria: el gasto en seguridad se recorta o se aplaza porque los retornos no son visibles. Es fácil justificar el gasto en cosas que generan ingresos; es más difícil justificar el gasto en prevenir algo que aún no ha ocurrido.
• Tratar el cumplimiento como un proyecto: algunas organizaciones tratan PCI DSS como un proyecto único en lugar de como un programa continuo. Logran el cumplimiento, presentan la AoC y luego pasan a otras prioridades. Cuando llega la siguiente evaluación, los controles se han degradado y la organización ya no cumple.
• Complejidad: para las organizaciones con entornos de datos del titular de la tarjeta grandes o complejos, mantener el cumplimiento en cada sistema, segmento de red y relación con terceros es genuinamente difícil. Cuantos más sistemas dentro del alcance, más cosas pueden ir mal.

Incumplimiento y pagos telefónicos

Los pagos telefónicos son una de las fuentes más habituales de incumplimiento de PCI DSS. La razón es que los pagos telefónicos crean un alcance de cumplimiento amplio y, a menudo, poco entendido. Los datos de la tarjeta pasan por la línea telefónica, los auriculares del agente, la estación de trabajo del agente, la red local y —de forma crítica— el sistema de grabación de llamadas.

Muchas organizaciones no se dan cuenta de que sus grabaciones de llamadas contienen datos sensibles de tarjeta hasta que un evaluador lo señala. Para entonces, puede que tengan años de grabaciones almacenadas en servidores que nunca fueron diseñados ni asegurados para alojar datos regulados por PCI. Arreglar esto de forma retroactiva es caro y disruptivo.

La forma más eficaz de abordar esto es impedir, de entrada, que los datos de la tarjeta entren en el entorno telefónico. La tecnología de enmascaramiento de DTMF hace exactamente eso, capturando los datos de la tarjeta a través del teclado del teléfono del cliente y enrutándolos directamente al procesador de pagos sin pasar por ningún sistema del comercio. Esto saca por completo del alcance de PCI DSS a la infraestructura telefónica, las estaciones de trabajo de los agentes y las grabaciones de llamadas.

Pasos para lograr el cumplimiento

Si su organización está actualmente en situación de incumplimiento, el camino de vuelta al cumplimiento sigue una secuencia lógica.

• Entienda su alcance: mapee cada sistema, proceso y persona que toca datos del titular de la tarjeta. No puede proteger lo que no conoce.
• Reduzca su alcance: cuantos menos sistemas manejen datos de tarjeta, más fácil y barato es el cumplimiento. Tecnologías de reducción del alcance como el enmascaramiento de DTMF y la tokenización pueden encoger drásticamente su huella de cumplimiento.
• Cierre las brechas: aborde los requisitos concretos que no cumple, empezando por las áreas de mayor riesgo.
• Valide: complete la evaluación adecuada (auditoría QSA o SAQ) y produzca una AoC actualizada.
• Mantenga: trate el cumplimiento como un programa continuo, no como un proyecto con una fecha de fin. Monitorice los controles, forme al personal y revise su alcance con regularidad.