Cuando el estándar PCI DSS (Payment Card Industry Data Security Standard) se puso en marcha allá por 2006 tenía una misión clara: unificar los requisitos que las entidades financieras solicitaban a las empresas para el uso de tarjetas de crédito y débito como medios de pago. De esa manera, compañías como Visa, MasterCard, American Express, Discover y JCB unieron sus esfuerzos para crear un estándar por el que la industria se podría regir en adelante.
Sin duda, supuso una buena noticia para muchos negocios que utilizaban el pago con diferentes tipos de tarjeta, dado que solo deberían atender a unos parámetros comunes para cumplir con las medidas de seguridad que cada compañía les exigía.
No cabe duda de que el uso de tarjetas de pago conlleva un riesgo –como cualquier otra transacción económica–. Son muchos los delincuentes que esperan el más mínimo fallo para atacar y llevarse un buen botín, especialmente cuando las operaciones se hacen vía online. Por esa razón, las entidades financieras dedicadas a la emisión de tarjetas pueden penalizar a aquellas empresas que no cumplen con el estándar de seguridad, es decir, con PCI DSS. De hecho, en ocasiones las multas llegan a suponer elevadas cantidades de miles de euros. En este sentido, debes saber que, aunque todas las compañías se rigen por PCI DSS, cada una tiene su propia tabla de sanciones, las cuales conviene echar un vistazo cuando se utilizan sus tarjetas como medios de pago.
Expuesto todo lo anterior, si en tu negocio permites el uso de tarjetas de crédito y débito como métodos de pago, debes cumplir con los requisitos del estándar PCI DSS. Para ello deberás obtener la certificación, ya que eso supondrá que has tomado las medidas de seguridad necesarias para evitar los posibles ataques.
Sin embargo, hay empresas que deciden no obtener el certificado. Las razones para tomar esta decisión pueden ser de lo más variopintas, pero las consecuencias en caso de que se produzca un incidente de seguridad son muy claras:
Con respecto a esta última consecuencia, hay que señalar que el cumplimiento de PCI DSS está muy relacionado con la protección de los datos personales y, por ende, con el RGPD y con la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Ten en cuenta que la información de las tarjetas de crédito y débito incluye los datos personales de sus titulares. Así que, si se produce una vulneración de los mismos, el negocio no solo se expondrá a una demanda individual por parte del cliente, sino que además podrá ser sancionado por incumplir la LOPDGDD.
En este caso, las sanciones dependerán de su nivel de gravedad: leves (hasta 40.000 euros), graves (de 40.001 a 300.000) y muy graves (de 300.001 a 20.000.000 o el 4% de la facturación anual).En definitiva, cumplir con los requisitos que demandan las entidades financieras y certificarse en PCI DSS no es una opción y mejora la seguridad de las transacciones económicas que se realizan con tarjetas de pago evitando posibles sanciones que pueden acabar con tu empresa.
Si tienes cualquier duda al respecto o deseas saber más sobre el proceso de certificación en PCI DSS, no dudes en ponerte en contacto con nosotros. En BOTECH esolveremos tus dudas y te ayudaremos en cada uno de los pasos que debas dar para que la seguridad de tu negocio ofrezca las mayores garantías.