A medida que más clientes pagan con tarjetas de crédito, tarjetas de débito y dispositivos móviles, es más importante que nunca mantener la seguridad de los datos. No solo los procedimientos de seguridad de pagos robustos generan confianza con los clientes, también le ayudarán a protegerse contra las amenazas y evitar posibles multas de las redes de tarjetas de crédito y agencias reguladoras federales.
Estas son algunas de las mejores prácticas a seguir para ayudar a proteger la información confidencial de la tarjeta.
1. Cumpla con el PCI DSS.
El Consejo de Estándares de Seguridad para la Industria de Tarjetas de Pago creó el PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago) para establecer estándares de seguridad básicos para el procesamiento de tarjetas de crédito. Cumplir con la orientación del PCI DSS le ayudará a evitar filtraciones de datos, así como las multas por incumplimiento impuestas por las compañías de tarjetas de crédito.
Sin importar cuán pequeña sea su empresa, necesitará validar el cumplimiento del PCI DSS. El primer paso es completar un cuestionario de autoevaluación del PCI DSS.
2. Contrate a un proveedor de servicios de validación del PCI DSS.
Para validar el cumplimiento del PCI DSS e iniciar el cuestionario, es mejor trabajar con un proveedor de servicios de validación certificado. Las compañías como PNC Merchant Services®* proporcionan servicios de validación a clientes comerciales. Por ejemplo, Sysnet es una de las pocas empresas que proporciona servicios de cumplimiento de la PCI (industria de tarjetas de pago) para pequeñas y medianas empresas.
3. Emplee una solución de seguridad.
Las filtraciones de datos no solo le suceden a las grandes corporaciones. Un sorprendente 90 por ciento de las filtraciones afectan a las pequeñas empresas. El Reporte de amenazas de seguridad de Internet de 2016 de Symantec indica que el 43 por ciento de las pequeñas empresas estaban sujetas a campañas de suplantación de identidad (phishing), y una de cada 40 pequeñas empresas está en riesgo de delincuencia cibernética[1].
Para ayudar a proteger su negocio y a sus clientes de los phishers, utilice una solución comercial que cifre los datos del titular de tarjeta, incluyendo los PIN. El cifrado debe ayudar a proteger los datos en uso y en reposo. Otras características a considerar incluyen exploraciones de vulnerabilidades de red y métodos para proteger su sistema contra los virus.
Cuando reciba pagos de clientes, utilice una herramienta como un UPIC (código de identificación de pago universal). Un UPIC oculta su número de cuenta de cheques para que pueda aceptar créditos de la ACH (Cámara de Compensación Automatizada) sin proporcionar su número de cuenta de PNC al remitente.
4. Actualícese al estándar EMV.
Si no ha actualizado los terminales habilitados para EMV (tarjeta con chip), usted está un paso detrás de los demás. La responsabilidad financiera por las pérdidas de tarjetas falsificadas con presencia física de la tarjeta comenzó a cambiar de los bancos emisores a las empresas en octubre de 2015.
Además de reducir el fraude de tarjetas de crédito, los terminales con capacidad para EMV pueden admitir actualizaciones como transacciones de pago sin contacto, donde los usuarios tocan o agitan la tarjeta en lugar de insertarla.
5. Mantenga solo lo que sea necesario.
En virtud del PCI DSS, usted solo debe almacenar los números de cuenta, las fechas de vencimiento y los nombres del titular de tarjeta de los clientes. No hay necesidad de almacenar datos de banda magnética de seguimiento completo, códigos CVV2 y otra información para transacciones autorizadas.
6. Controle el acceso.
Asegúrese de que cualquier empleado o contratista remoto con acceso a sus computadoras (como el soporte de TI) proteja los datos de los clientes tanto como lo hace usted. Restrinja el acceso de los contratistas a los datos y las veces que tienen acceso remoto. Para los empleados remotos, considere una VPN (red privada virtual) para el acceso a los datos y utilice la identificación multifactor para mayor seguridad.
7. Resguarde los datos impresos.
Los ladrones pueden acceder y usar datos físicos (recibos, pedidos, facturas y registros contables) tan fácilmente como los datos electrónicos. Almacene de forma segura cualquier documento que contenga información financiera y de tarjeta de crédito del cliente en un escritorio, archivador o armario cerrado con llave.
Limite el acceso a los datos impresos solo a las personas que necesiten la información para procesar transacciones con tarjetas de crédito o responder a consultas específicas. Cuando ya no necesite estos registros, destrúyalos de manera segura, por ejemplo, triturándolos.
El software y las herramientas de contabilidad como Cash Flow InsightSM** de PNC Bank con cuentas por pagar/cuentas por cobrar le permiten cargar facturas y otros documentos para que se almacenen dentro de la herramienta y no en el archivador. La herramienta también se sincroniza con software de contabilidad como QuickBooks, Xero y NetSuite, entre otros.
8. Otro aspecto sobre los recibos.
En virtud de la FACTA (Ley de Transacciones Crediticias Justas y Exactas) , todos los recibos de tarjetas de crédito y débito deben acortar la información de la cuenta para incluir no más que los últimos cinco dígitos del número de tarjeta, y ninguna fecha de vencimiento[2]. Los números completos de tarjetas de crédito en los recibos de ventas significan dinero fácil para los ladrones de identidad.
