Qué necesitan saber los establecimientos sobre la seguridad de las transacciones

Descubre cómo almacenar, procesar y transmitir datos de pagos con seguridad

Todos los comercios que almacenen, procesen o transmitan datos de titulares de tarjetas deberán cumplir con la norma PCI. Cada comercio clasificado en el nivel 1, nivel 2 o nivel 3 debe comunicar su estado de conformidad directamente a su banco adquirente.

A menudo, la determinación del nivel del comercio genera dudas. Mastercard® recomienda que el establecimiento se ponga en contacto con su banco adquirente y, con ayuda del banco, podrá entonces hacer lo siguiente:

  • Determinar el nivel del comercio basado en el volumen de transacciones realizadas con Mastercard en el último periodo de 52 semanas
  • Confirmar los requisitos de validación PCI necesarios
  • Utilizar un vendedor autorizado apropiado y seguir los procedimientos de validación

Una vez se verifique la conformidad del comercio, este deberá enviar los requisitos de validación a su banco adquirente, que a su vez comunicará el estado de conformidad del comercio a Mastercard.

Categoría Criterios Requisitos Datos de Conformidad
Nivel 1
  • Cualquier comercio que haya sufrido un hackeo o un ataque comprometa los datos de una cuenta
  • Cualquier comercio cuya cifra total de transacciones anuales entre Mastercard y Maestro supere los seis millones
  • Cualquier comercio que satisfaga los criterios de nivel 1 de Visa
  • Cualquier comercio que Mastercard determine, según su exclusivo criterio, que debe cumplir los requisitos de los comercios de nivel 1 para minimizar el riesgo para el sistema
  • Evaluación in situ anual1
  • Análisis trimestral de la red realizado por un ASV2

sábado, 30 de junio de 20123

Nivel 2
  • Cualquier comercio cuya cifra total de transacciones anuales entre Mastercard y Maestro sea superior a un millón y como máximo de seis millones.
  • Cualquier comercio que satisfaga los criterios de nivel 2 de Visa
  • Autoevaluación anua4
  • Evaluación in situ a criterio del comercio4
  • Análisis trimestral de la red realizado por un ASV2

sábado, 30 de junio de 20124

Nivel 3
  • Cualquier comercio cuya cifra total de transacciones anuales de comercio electrónico entre Mastercard y Maestro sea superior a 20.000 y como máximo de un millón. Mastercard and Maestro e-commerce transactions annually
  • Cualquier comercio que satisfaga los criterios de nivel 3 de Visa
  • Autoevaluación anual
  • Análisis trimestral de la red realizado por un ASV2

jueves, 30 de junio de  2005

Nivel 4
  • Todos los demás comercios5
  • Autoevaluación anual
  • Análisis trimestral de la red realizado por un ASV2

Consulte con el adquiriente

 

  1. Desde el 30 de junio de 2012, los comercios de nivel 1 que deciden realizar una evaluación in situ anual por medio de un auditor interno deben asegurarse de que el personal principal del auditor interno que participe en la validación de la conformidad con la norma PCI DSS asistan a cursos de formación como ISA conforme a la norma PCI SSC y aprueben el correspondiente programa de acreditación anual a fin de seguir utilizando auditores internos.
  2. Los análisis trimestrales de la red deben ser realizados por un proveedor de análisis autorizado (ASV) conforme a la norma PCI SSC.
  3. Ya ha pasado la fecha inicial de conformidad de junio de 2005 para comercios de nivel 1. El límite de 30 de junio de 2012 es solo para la formación y homologación de ISA conforme a la norma PCI SSC y se aplica a los comercios que deciden realizar una evaluación in situ anual por medio de un auditor interno
  4. Desde el 30 de junio de 2012, los comercios de nivel 2 que deciden cumplimentar un cuestionario de autoevaluación anual deben asegurarse de que el personal que participa en la autoevaluación asista a un curso de formación como ISA conforme a la norma PCI SSC y aprueben el correspondiente programa de acreditación anual a fin de seguir utilizando la opción de la autoevaluación para validar la conformidad. Los comercios de nivel 2 también pueden optar por realizar una evaluación in situ anual por medio de un asesor de seguridad cualificado (QSA) homologado conforme a la norma PCI SCC en lugar de cumplimentar un cuestionario de autoevaluación anual.
  5. Los comercios de nivel 4 deben cumplir la norma PCI DSS. Los comercios de nivel 4 deben consultar con su adquirente para determinar si también es necesario validar la conformidad.

Entiende los requisitos de validación para comercios

In situ o autoevaluación 

Una evaluación detallada realizada por un asesor de seguridad cualificado (QSA) homologado conforme a la norma PCI SSC o por un asesor de seguridad interno (ISA) homologado. La evaluación valida al adquirente que la organización maneja los datos de las tarjetas de acuerdo con las normas de seguridad de datos del sector de tarjetas de pago (PCI DSS).

Se aplica a: Comercios de nivel 1 y 2

Cuestionario de autoevaluación (SAQ)

Herramienta de validación utilizada principalmente por comercios y proveedores de servicios no obligados a realizar una evaluación in situ para autoevaluar su conformidad con la norma PCI DSS.

Se aplica a: Comercios de nivel 2, 3 y 4

Análisis de vulnerabilidad externo

Análisis de vulnerabilidad realizado por un proveedor de análisis autorizado (ASV) conforme a la norma PCI SS de todos los componentes del sistema orientados a Internet que formen parte o constituyan una ruta del entorno de datos de los titulares de tarjetas.

Se aplica a: Todos los comercios (según proceda)