¿Debo cumplir con los estándares PCI DSS y PSD2?

Si tu negocio, hotel, OTA, restaurante, agencia de viaje, etc., almacena, procesa o transmite datos críticos de tarjetas de pago, entonces debes cumplir con los estándares PCI DSS / PSD2, sin importar el tamaño de tu empresa. Si no procesa ni almacena datos de tarjeta, pero usa pasarelas de pagos de terceros, también es muy probable que debas adherirte al cumplimiento de este estándar.

¿Qué es el PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) es el estándar global de protección de datos en industrias que manejan tarjetas de pago de crédito o débito y su objetivo principal es asegurar que todas las empresas posean un nivel básico mínimo de seguridad que proteja los datos de los titulares de tarjetas.

Se consideran datos críticos a proteger: PAN, nombre del titular de tarjeta, fecha de expiración, código de servicio, datos de banda magnética o su equivalente en chip, CAV2, CVC2, CVV2, CID, número de identificación personal y bloques de PIN.

¿Qué es el estándar PSD2?

Las regulaciones de PCI DSS fueron descritas en 2006 y aunque en la actualidad ya van por la versión 4 (primer trimestre de 2022), necesitaban adaptarse a nuevos sistemas de seguridad. Así en 2019, entró en vigor la Directiva de Servicios de Pago 2 (PSD2) que se aplica a cualquier empresa que pueda interactuar con clientes europeos.

PSD2 incluye pautas mejoradas para pagos online y la gestión de datos confidenciales para reducir el riesgo de robo, fraude e infracciones de seguridad. El principal cambio es el requisito de autenticación fuerte de clientes (SCA) para transacciones online. Con SCA, es necesario que los clientes proporcionen un segundo factor de autenticación, que puede ser un código PIN o un código de verificación de SMS, antes de que se pueda realizar el pago.

¿Qué implica PSD2 para su negocio hotelero?

Básicamente significa que las transacciones iniciadas por el hotel en un momento en que el huésped no está presente no cumplen con los requisitos de PSD2. Los huéspedes deben poder completar un paso de verificación de dos factores para cada pago, como cuando hacen la reserva o cuando realizan check-out, por lo que es posible que los hoteleros deban modificar o adaptar sus procesos de pago. 

Requisitos y Soluciones

El estándar PCI DSS cuenta con más de 290 controles de seguridad física, lógica y administrativa esquematizados en 6 metas u objetivos que a su vez se subdividen en 12 requisitos, de la siguiente manera:

Niveles

Además, existen diferentes niveles para estos requisitos dependiendo de la cantidad de transacciones anuales de la compañía, agrupando en cuatro niveles:

• Nivel 1: más de seis millones de transacciones anuales
• Nivel 2: entre uno y seis millones de transacciones anuales
• Nivel 3: entre 20.000 y un millón de transacciones anuales
• Nivel 4: menos de 20.000 transacciones anuales

Para los niveles 2, 3 y 4 existe una herramienta de autoevaluación: SAQ o Self-Assessment Questionnaire para evaluar el cumplimiento de las empresas con los requisitos de la norma PCI DSS, sin embargo para el nivel 1, además de completar este SAQ, se necesita una "Evaluación Formal de Cumplimiento" que evidencie de manera más exhaustiva cada requisito. GMV es un Approved Scanning Vendor, para realizar estas evaluaciones oficiales no dudes en contactar con nosotros si necesitas más información.

Autor: Joan Antoni Malonda