Lineamientos de Seguridad PCI DSS para el Comercio Afiliado

Crea una red segura y realiza el mantenimiento correspondiente

  1. Instala y mantén una configuración de firewall para proteger la información del tarjetahabiente. En caso de tener un sitio web, utiliza también un Web Application Firewall (WA) para prevenir ataques web.
  2. No utilices los valores predeterminados provistos por los proveedores para las contraseñas y otros parámetros de seguridad de los sistemas.

Protege la información de los tarjetahabientes

  1. En caso de almacenar información sensitiva del tarjetahabiente, toma las medidas necesarias para protegerla de uso no autorizado.
  2. En caso de recibir o enviar información de tarjetahabientes por redes públicas y/o abiertas como Internet, utiliza métodos de encriptación para asegurar la información. En caso de tener un sitio web, usa certificados digitales para proteger la información que se comparte por esta vía.

Implementa un programa de gestión de vulnerabilidad

  1. Protege todos los sistemas contra el software malicioso y actualiza con regularidad el software o los programas de antivirus.
  2. Realiza pruebas de seguridad de manera recurrente sobre tus aplicaciones expuestas a Internet. Identifica aquellas que tengan vulnerabilidades y corrígelas aplicando las configuraciones o parches necesarios.

Implementa medidas de control de acceso sólidas

  1. Restringe el acceso a la información del tarjetahabiente sobre la base de la necesidad de conocer dicha información.

2.. Utiliza métodos de identificación y autenticación para acceder a los componentes del sistema.

  1. Restringe el acceso físico a la información del tarjetahabiente.

Controla y examina las redes con regularidad

  1. Supervisa y monitorea todo el acceso a los recursos de la red y a la información del tarjetahabiente.
  2. Prueba con regularidad los sistemas y procesos de seguridad.

Implementa una política de seguridad de la información

  • Implementa una política que contemple la seguridad de la información de todo el personal

Algunas recomendaciones adicionales para transacciones presenciales:

  • Protege la privacidad del tarjetahabiente, no divulgues información ni datos a terceros.
  • Permite al cliente al momento de pagar presencialmente acercar o insertar su tarjeta en el POS o mPOS. En caso de que se requiera digitar PIN, permítele al cliente digitarlo.  Este PIN es confidencial y no debe ser solicitado al cliente.
  • Realiza tu cierre diario.
  • Realiza revisiones periódicas a tu sistema para validar inconsistencias en tus ventas o registros. Capacita a tu personal para el buen uso de este.
  • No facilites, ni prestes tu afiliación y/o equipos a terceras personas o comercios no afiliados para que puedan efectuar ventas de sus bienes o servicios.

Enlaces de referencia:

VISA: https://www.visa.com.pa/support/small-business/security-compliance.html

MASTERCARD: https://latam.mastercard.com/content/mastercardcom/es-region-cam/es/empresas/empresas-pequenas-medianas/seguridad-y-proteccion.html

PCI: https://es.pcisecuritystandards.org/