He de complir amb PCI DSS i PSD2?

Si el teu negoci, hotel, OTA, restaurant, agència de viatge... emmagatzema, processa o transmet dades crítiques de targetes de pagament, llavors has de complir amb PCI DSS / PSD2, i tant és la mida de la teva empresa. Si no processa ni emmagatzema dades de targeta, però utilitza passarel·les de pagaments de tercers, també és molt probable que t’hagis d’adherir al compliment d’aquest estàndard.

Què és PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) és l’estàndard global de protecció de dades en indústries que tracten targetes de pagament de crèdit o dèbit i el seu objectiu principal és assegurar que totes les empreses tinguin un nivell bàsic mínim de seguretat que protegeixi les dades dels titulars de targetes.

Es consideren dades crítiques per protegir: PAN, nom del titular de targeta, data d’expiració, codi de servei, dades de banda magnètica o el seu equivalent en xip, CAV2, CVC2, CVV2, CID, número d’identificació personal i blocs de PIN.

Què és PSD2?

Les regulacions de PCI DSS van ser descrites el 2006 i, encara que en l’actualitat ja van per la versió 4 (primer trimestre de 2022), necessitaven adaptar-se a nous sistemes de seguretat. Així, el 2019, va entrar en vigor la Directiva de serveis de pagament 2 (PSD2) que s’aplica a qualsevol empresa que pugui interactuar amb clients europeus.

PSD2 inclou pautes millorades per a pagaments en línia i la gestió de dades confidencials per reduir el risc de robatori, frau i infraccions de seguretat. El principal canvi és el requisit d’autenticació forta de clients (SCA) per a transaccions en línia. Amb SCA cal que els clients proporcionin un segon factor d’autenticació, que pot ser un codi PIN o un codi de verificació d’SMS, abans que es pugui fer el pagament.

Què implica PSD2 per al vostre negoci hoteler?

Bàsicament significa que les transaccions iniciades per l’hotel en un moment en què l’hoste no és present no compleixen amb els requisits de PSD2. Els hostes han de poder completar un pas de verificació de dos factors per a cada pagament, com quan fan la reserva o quan realitzen check-out, per la qual cosa és possible que els hotelers hagin de modificar o adaptar els seus processos de pagament. 

Requisits i solucions

L’estàndard PCI DSS disposa de més de 290 controls de seguretat física, lògica i administrativa esquematitzats en 6 metes o objectius que al seu torn se subdivideixen en 12 requisits, de la manera següent:

Nivells

A més, hi ha diferents nivells per a aquests requisits depenent de la quantitat de transaccions anuals de la companyia, i s’agrupen en quatre nivells:

• Nivell 1: més de sis milions de transaccions anuals
• Nivell 2: entre un i sis milions de transaccions anuals
• Nivell 3: entre 20.000 i un milió de transaccions anuals
• Nivell 4: menys de 20.000 transaccions anuals

Per als nivells 2, 3 i 4 hi ha una eina d’autoavaluació: SAQ o Self-Assessment Questionnaire per avaluar el compliment de les empreses amb els requisits de la norma PCI DSS. Tanmateix per al nivell 1, a més de completar aquest SAQ, cal una "Avaluació Formal de Compliment" que evidenciï de manera més exhaustiva cada requisit. GMV és un Approved Scanning Vendor per fer aquestes avaluacions oficials, no dubtis a contactar amb nosaltres si necessites més informació.

Autor: Joan Antoni Malonda