Cuatro mejores prácticas de PCI DSS para mejorar el cumplimiento
Vale la pena examinar el aumento de las tasas de incumplimiento de PCI, al igual que las mejores prácticas y consejos de PCI DSS para pequeñas y medianas empresas. Lea más cobertura en profundidad sobre cumplimiento aquí.
El cumplimiento de PCI DSS ha disminuido drásticamente: Verizon informó que cayó por segundo año consecutivo, de 52,5% en el Informe de seguridad de pagos de 2018 de la compañía, a 36,7% en el de 2019.
Las organizaciones deben priorizar su política de cumplimiento de PCI para evitar una violación de datos. En pocas palabras, descartar las mejores prácticas de protección de datos con la esperanza de que no se produzca ningún incidente de seguridad es un riesgo que ninguna empresa debería asumir.
La caída en el cumplimiento tiene muchas causas potenciales, pero las implicaciones de seguridad del incumplimiento de PCI DSS son más que claras.
Aquí se compilan cuatro artículos para equipar a los líderes empresariales con contexto y recomendaciones de expertos sobre cómo abordar mejor la protección de datos de pago y cumplir con los requisitos de la política de cumplimiento de PCI DSS.
Evite sanciones por incumplimiento con una lista de verificación PCI DSS
Cumplir con las regulaciones de protección de datos es un desafío continuo para las organizaciones, incluso las grandes con oficiales de cumplimiento o privacidad u otros miembros del personal de cumplimiento designados. Para las PyMEs, el cumplimiento es aún más un obstáculo. El personal y los presupuestos de TI limitados, características de las PyMEs, son los principales obstáculos para cumplir.
Desde la implementación de GDPR, la conciencia pública y la conversación sobre protección de datos y cumplimiento han crecido. El panorama de cumplimiento es complicado y confuso para muchas organizaciones, especialmente con tantos requisitos de regulación superpuestos. En reconocimiento de los desafíos que enfrentan las PyMEs al abordar los requisitos de protección de datos, el gobierno del Reino Unido publicó listas de verificación que cubren los componentes clave de cumplimiento.
Lea estas listas de verificación y los marcos clave específicos de la industria en este artículo para aprender cómo las PyMEs pueden evitar fuertes sanciones por incumplimiento regulatorio de las legislaciones de protección de datos, incluido PCI DSS.
Superposiciones entre la política de cumplimiento de GDPR y PCI DSS
Las organizaciones con las mejores prácticas correctas de PCI DSS también están en camino de cumplir con GDPR. Por un lado, limitar la cantidad de datos de clientes y empleados retenidos puede beneficiar a organizaciones de todos los tamaños. Uno de los principios de GDPR es: si una empresa no necesita los datos, no debe almacenarlos. Esto se superpone con otros principios de regulación de protección de datos. Debe sonar familiar a los requisitos de PCI DSS. Uno de los pasos preliminares en una evaluación de PCI DSS se conoce como reducción del alcance.
Obtenga más información sobre las mejores prácticas específicas de PCI DSS que pueden ayudar a satisfacer las estipulaciones GDPR.
Aborde el incumplimiento de PCI DSS con confianza cero
Vale la pena examinar las tasas decrecientes de cumplimiento de PCI DSS. Según los expertos, una forma de llamar la atención de los líderes empresariales es alejarse y enmarcar el cumplimiento como una ventaja competitiva en lugar de un obstáculo financiero.
Aquí, la confianza cero puede entrar en juego. Un nuevo estándar de oro para mitigar los incidentes de seguridad y los riesgos de violación de datos, la confianza cero incluye muchos principios de PCI DSS, que incluyen cifrado, gestión de acceso, segmentación y aislamiento. La diferencia es que la confianza cero se extiende a toda la información confidencial, no solo a los datos de la tarjeta de pago.
Descubra por qué los expertos mantienen que una confianza cero podría ser la solución lógica para disminuir las tasas de cumplimiento de PCI DSS.
Cómo los requisitos de PCI DSS pueden afectar a los centros de llamadas
Cualquier persona que se haya puesto en contacto con un centro de atención telefónica está familiarizado con el descargo de responsabilidad "esta llamada se está grabando para garantizar la calidad". Muchas empresas que subcontratan sus centros de llamadas pueden preguntarse cómo manejar las grabaciones, que pueden contener diversos datos personales. Al igual que cualquier otra forma de información del cliente, las grabaciones de llamadas deben tratarse con cuidadosa atención de seguridad.
A partir de 2011, los sistemas de grabación que recopilan datos de tarjetas de pago se consideran en el alcance de PCI DSS y pueden enfrentar sanciones por incumplimiento. Aprenda a manejar los datos del centro de llamadas de forma segura y de acuerdo con las mejores prácticas de PCI DSS.