Mantener el cumplimiento de las reglas de PCI DSS 4.0 puede parecer desalentador al principio. En este artículo, detallaremos algunos de los cambios más relevantes introducidos por el nuevo marco y compartiremos las mejores prácticas para hacerlo lo más fácil posible para ti.
Descargo de responsabilidad
Este documento debe utilizarse solo con fines de orientación y no debe tomarse como un consejo definitivo. Te invitamos a consultar a un Evaluador de Seguridad Calificado (QSA) de PCI DSS para aclaraciones.
Pagos en línea
Como recomendación general, puedes mantener el cumplimiento de PCI siguiendo:
- Utilizando una de las integraciones de pago recomendadas por Mollie para transmitir de forma segura la información de pago directamente a Mollie.
- Asegurando que tus páginas de pago estén protegidas con Seguridad de Capa de Transporte (TLS) y utilizando HTTPS.
Existen múltiples otros requisitos que son parte del marco de PCI DSS.
Ten en cuenta que Mollie no puede ofrecerte ningún tipo de consejo definitivo para tu propio cumplimiento de PCI, ya que no tenemos todos los detalles sobre tu configuración. Dado que no hay un consejo de cumplimiento de PCI de talla única, si estás almacenando/procesando datos de tarjetas, podrías tener requisitos de PCI potencialmente aplicables. Dependiendo de tu integración y configuración, serías responsable de cumplir con los requisitos aplicables de PCI DSS.
Pagos fuera de línea
Los clientes de Mollie que utilizan dispositivos POS también tienen algunas responsabilidades en cuanto a la seguridad de sus sistemas y la protección tanto del hardware del terminal como de los datos sensibles procesados a través de ellos.
Aceptar e instalar Actualizaciones de Software Enviadas a los Terminales
Mollie espera que los comerciantes acepten actualizaciones de software y parches de vulnerabilidad cuando se envíen a los terminales, y que no pospongan innecesariamente estas actualizaciones.
Seguridad de la red
Debes garantizar que tu infraestructura de red esté protegida con cortafuegos y sistemas de detección de intrusos (si es aplicable). Además, eres responsable de asegurar tus sistemas de integración con Mollie para protegerlos de manipulaciones.
Medidas de seguridad física
Debes implementar medidas de seguridad física para proteger los dispositivos POS contra robo, manipulación o acceso no autorizado. Esto puede incluir la instalación de cámaras de seguridad, el uso de taquillas y la restricción del acceso a áreas donde se encuentran los dispositivos POS.
Capacitación de empleados
Debes proporcionar capacitación regular de seguridad a tus empleados que manejan y usan dispositivos POS. La capacitación debe abarcar temas como phishing, skimming y conciencia sobre sustituciones, como se detalla en las pautas vinculadas a continuación.
Verificar la identidad de personas de terceros o solicitudes de conexión remota
Antes de otorgar acceso para modificar o solucionar problemas de tus dispositivos, debes verificar primero la identidad de cualquier persona de terceros (que afirme ser personal de reparación o mantenimiento) que aparezca en tu lugar de trabajo o intente conectarse de forma remota contigo o tu terminal en línea.
Mantener una lista actualizada de dispositivos
Cuando recibas tu dispositivo POS de Mollie, verifica tu panel de comerciante o factura para validar que hayas recibido el dispositivo correcto antes de usarlo. Puedes llevar un registro de tus dispositivos en tu propio inventario, como una hoja de cálculo, o usar el panel de comerciante de Mollie.
Inspección periódica de dispositivos
Como se requiere por el PCI DSS, debes inspeccionar periódicamente tus dispositivos POS para asegurarte de que estén protegidos contra manipulaciones y sustituciones no autorizadas.
Hemos preparado una lista de verificación de inspección de dispositivos de muestra para facilitar la inspección periódica de dispositivos. No dudes en descargar este documento usando el enlace a continuación: