Skip to content | Go to main menu

Volver al apartado Legal

Información sobre PCI DSS

¿Qué significa el cumplimiento de PCI DSS?

➔ El cumplimiento de PCI DSS significa que su empresa cumple en todo momento con los requisitos de PCI DSS y dispone de la documentación válida que lo acredita. 
Los documentos válidos de cumplimiento PCI DSS incluyen un Self-Assessment Questionnaire (SAQ) debidamente completado o una Attestation of Compliance (AoC) / Report on Compliance (ROC). Estos pueden requerir informes de escaneo ASV aprobados y sin incidencias.

➔ La validación PCI DSS debe renovarse anualmente. Las medidas de seguridad continuas (por ejemplo, escaneos ASV trimestrales, actualizaciones regulares de software, monitoreo de red y cambios de contraseñas) deben ser gestionadas por el comerciante o sus proveedores de servicios. Si algún requisito de seguridad no se cumple, el comerciante debe aplicar de inmediato las medidas correctivas necesarias para cumplir nuevamente con el estándar.

¿Quién debe cumplir con PCI DSS?

➔ El estándar PCI DSS se aplica a todas las organizaciones que aceptan, almacenan, procesan o transmiten datos de tarjetas y/o datos sensibles de autenticación, o que puedan influir en la seguridad del entorno de datos del titular de la tarjeta. Esto incluye comercios, procesadores, adquirentes, emisores y otros proveedores de servicios.

➔ Los comercios que aceptan pagos con tarjeta son responsables de cumplir siempre con PCI DSS y garantizar que sus proveedores de servicios relevantes también cumplan.

➔La validación PCI DSS también es obligatoria para organizaciones que han externalizado completamente todas las funciones relacionadas con datos de tarjetas a proveedores certificados PCI.

¿Cómo valido el cumplimiento de PCI DSS?

Los requisitos de validación varían según el tipo de negocio, la complejidad del entorno y el volumen de transacciones procesadas. 

Loomis Pay utiliza principalmente el Self-Assessment Questionnaire (SAQ) como herramienta de validación. El SAQ correspondiente debe completarse y aprobarse. El cumplimiento es válido únicamente para el entorno declarado.

Cualquier cambio relevante realizado después de la evaluación —por ejemplo, cambios en software, terminales, sitio web o proveedores— puede requerir una nueva validación.

¿Quién asume los costos del cumplimiento de PCI DSS?

Todos los costos relacionados con el cumplimiento de PCI DSS deben ser asumidos por el comerciante. Esto incluye las medidas de validación y las correcciones necesarias para abordar deficiencias y vulnerabilidades. Asimismo, todos los costos derivados del incumplimiento o de una filtración de datos correrán por cuenta del comerciante.

¿Cuáles son los riesgos de no cumplir con PCI DSS?

Ejemplos de riesgos graves (lista no exhaustiva):

➔ Multas y sanciones por incumplimiento contractual

➔ Brechas de seguridad que pueden exponer datos sensibles

➔ Explotación accidental o fraudulenta de vulnerabilidades

➔ Manipulación maliciosa de la infraestructura de pagos

➔ Ciberataques

➔ Robo de datos de tarjetas, ransomware y violaciones del RGPD

➔ Impacto financiero, reputacional y operativo

➔ Suspensión de pagos con tarjeta y pérdida de ingresos

➔ Trabajos de remediación urgentes

➔ Investigaciones forenses obligatoriay auditorías PCI DSS in situ por un QSA

➔ Aumento de tarifas y costos asociados al incidente

➔ Daño reputacional y atención negativa de los medios

➔ Obligación de notificación pública y sanciones regulatorias

➔ Pérdida de confianza del cliente

Requisitos técnicos y organizativos clave de PCI DSS

PCI DSS se aplica a todos los componentes del sistema, incluyendo redes, servidores y aplicaciones que formen parte del entorno de datos del titular de la tarjeta o estén conectados a él. 
Esto también incluye componentes de virtualización como máquinas virtuales, conmutadores en red virtuales, aplicaciones virtuales e hipervisores.

El entorno de datos del titular de la tarjeta está compuesto por personas, procesos y tecnología que manejan datos de tarjetas o datos sensibles de autenticación.

Para más información sobre la versión actual del estándar, consulte: www.pcisecuritystandards.org

¿Qué requisitos de validación PCI se aplican a un comerciante?

Las marcas de tarjetas han definido qué medidas y documentos de validación son necesarios según el nivel PCI del comerciante.

PCI – Cómo le afecta 

Según la cantidad de transacciones con tarjeta que su empresa procese al año y el entorno en el que se procesen, se requieren diferentes acciones de PCI. 
Los requisitos son los mismos para todas las empresas, pero la forma de demostrar el cumplimiento varía.

Para empresas más grandes

Si su comercio procesa al menos 1 millón de transacciones al año, nos pondremos en contacto con usted cuando sea necesario para garantizar el cumplimiento de PCI.

La siguiente tabla muestra la frecuencia de las revisiones según el tipo de empresa:

Nivel Criterios  Auditoría in situ  Autoevaluación  Escaneo externo de red 
1 Más de 6 millones de transacciones Visa/Mastercard al año
 Anual No requerido  Trimestral 
2 Entre 1 y 6 millones de transacciones Visa/Mastercard al año
 Anual No requerido  Trimestral 
3 No aplicable – Loomis Pay no ofrece comercio electrónico 
 -
4  Otras empresas No requerido Recomendado anualmente Recomendado anualmente

➔ Solo utilizamos el formulario B-IP, y el comercio electrónico no es aplicable a nuestras operaciones.

➔ Algunas empresas de nivel 4 en sectores específicos pueden requerir certificación y serán contactadas por nosotros si corresponde.

Loomis Pay puede solicitar al comerciante que proporcione documentación actualizada de validación PCI DSS. 

Menu

Support

Company

España

Idiomas:

Copyright © 2024 Loomis Digital Solutions. Sede central: Estocolmo, Suecia. Todos los derechos reservados. Loomis Digital Solution AB. Drottninggatan 82, 111 36 Estocolmo. NIF: 556961-5312. Loomis Pay ofrece soluciones de pago personalizadas. No otorgamos préstamos ni brindamos asesoramiento financiero.