Lo que los comerciantes tienen que saber de las transacciones seguras

Cómo almacenar, procesar y transmitir datos de pagos de forma segura

Todos los comerciantes que almacenen, procesen o transmitan datos de los tarjetahabientes deben dar cumplimiento al PCI. Cada comerciante está categorizado como nivel 1, nivel 2 o nivel 3 y se le exige que le informe su estatus de cumplimiento directamente a su banco adquiriente.

La determinación del nivel de comerciante suele generar preguntas. Mastercard® recomienda que los comerciantes se comuniquen con su banco adquiriente y, con la ayuda del banco, los comerciantes pueden seguir estos pasos:

  • Determinar el nivel de comerciante utilizando el volumen de transacciones con Mastercard a partir del último año.

  • Confirmar los requisitos de validación de PCI necesarios

  • Comprometer a un proveedor aprobado, como corresponde, y seguir los procedimientos de validación

Cuando se haya verificado que el comerciante cumple con la norma, el comerciante debe enviar los requisitos de validación a su banco adquiriente, que entonces informará el estatus de cumplimiento del comerciante a Mastercard.

Categoría  Criterios Requisitos Fecha de cumplimiento
Nivel 1
  • Cualquier comerciante que haya sido víctima de hackeo o un ataque que comprometiere los datos de una cuenta
  • Cualquier comerciante que tenga más de seis millones de transacciones anuales en total combinadas con Mastercard y Maestro
  • Cualquier comerciante que cumpla con los criterios de nivel 1 de Visa
  • Cualquier comerciante que Mastercard, a su exclusiva discreción, determine que debe cumplir con los requisitos de comerciante de nivel 1 para minimizar el riesgo del sistema
  • Evaluación Presencial Anual1
  • Escaneado Trimestral de Red realizado por un ASV2

sábado 30 de junio de 2012

Nivel 2
  • Cualquier comerciante con más de un millón, pero menos de o con seis millones de transacciones anuales en total combinadas con Mastercard y Maestro
  • Cualquier comerciante que cumpla con los criterios de nivel 2 de Visa
  • Autoevaluación Anual4
  • Evaluación Presencial a Criterio del Comerciante4
  • Escaneado Trimestral de Red realizado por un ASV2

sábado 30 de junio de 2012

Nivel 3
  • Cualquier comerciante con más 20.000 transacciones de comercio electrónico anuales en total combinadas con Mastercard y Maestro, pero menos de o con un millón de transacciones de comercio electrónico anuales en total combinadas con Mastercard y Maestro
  • Cualquier comerciante que cumpla con los criterios de nivel 3 de Visa
  • Autoevaluación Anual
  • Escaneado Trimestral de Red realizado por un ASV2

jueves 30 de junio de 2005

Nivel 4    

Consulte con un adquiriente

 

  1. Con vigencia a partir del 30 de junio de 2012, los comerciantes de nivel 1 que decidan hacer una evaluación anual in situ a través de un auditor interno deben garantizar que el personal de auditoría interno principal encargado de validar el cumplimiento del PCI DSS asista a la Capacitación de PCI SSC ISA y apruebe anualmente el programa de acreditación asociado para poder seguir utilizando auditores internos.
  2. Los escaneados trimestrales de red debe realizarlos un Proveedor de Escaneado Aprobado (ASV) del PCI SSC.
  3. La fecha de cumplimiento inicial de junio de 2005 para los comerciantes nivel 1 ya expiró. El plazo del 30 de junio de 2012 es solo para la capacitación y la certificación del PCI SSC ISA y es para aquellos comerciantes que decidan hacer una evaluación anual in situ a través de un auditor interno.
  4. Con vigencia a partir del 30 de junio de 2012, los comerciantes de nivel 2 que decidan completar un cuestionario de autoevaluación anual deben garantizar que el personal encargado de la autoevaluación asista a la Capacitación del PCI SSC ISA y apruebe anualmente el programa de acreditación asociado para poder seguir teniendo la opción de autoevaluación para la validación del cumplimiento. O bien, los comerciantes de nivel 2 pueden, según sus propios criterios, completar una evaluación anual in situ realizada por un Asesor de Seguridad Calificado (QSA) del PCI SSC, en lugar de completar el cuestionario de autoevaluación anual.
  5. A los comerciantes nivel 4 se les exige cumplir con el PCI DSS. Los comerciantes nivel 4 deben consultar con su adquiriente para determinar si también se les exige la validación de cumplimiento.

Comprende los Requisitos de Validación para Comerciantes

Evaluación in situ o autoevaluación 

Una evaluación detallada realizada por un Asesor de Seguridad Calificado (QSA) del PCI SSC o por un Asesor de Seguridad Interno Certificado (ISA). La evaluación le valida al adquiriente que la organización está gestionando los datos de las tarjetas de acuerdo con el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pagos (PCI DSS).

Aplica a: comerciantes nivel 1 y nivel 2

Cuestionario de autoevaluación (SAQ)

Es una herramienta de validación principalmente utilizada por comerciantes y proveedores de servicios a los que no se les exige realizar una evaluación in situ al autoevaluar su cumplimiento con el PCI DSS.

Aplica a: comerciantes nivel 2, nivel 3 y nivel 4

Escaneado de vulnerabilidad externa

Escaneado de vulnerabilidad realizado por un Proveedor de Escaneado Aprobado (ASV) del PCI SSC de todos los componentes del sistema que tienen acceso a Internet que son parte de, o que facilitan una ruta al entorno de los datos de los tarjetahabientes. 

Aplica a: todos los comerciantes (según corresponda)