¿Cuál es la diferencia entre el cumplimiento de PCI y la certificación PCI?
Si ha sintonizado nuestras publicaciones de blog anteriores, probablemente tenga una sólida comprensión de lo que es el cumplimiento de PCI y lo que significa para su empresa. Pero si te tomas en serio el cumplimiento de PCI, la certificación PCI también debería ser lo más importante.
¿Alguna vez has hecho comida o has horneado un postre, y aunque sabe muy bien, sabes que hay algo que podría hacerlo aún mejor? Lograr la certificación PCI es como encontrar ese ingrediente que falta.
Al igual que un ingrediente puede resaltar el sabor de sus alimentos, la certificación PCI puede mejorar el cumplimiento de PCI de su empresa.
Aunque los dos pueden sonar similares, y en muchos casos lo son, hay diferencias sutiles entre los dos.
Vamos a desglosarlo, empezando por una actualización del cumplimiento de PCI.
Cumplimiento de PCI
El cumplimiento de PCI es un conjunto de requisitos que sirven como directrices para que las empresas operen de forma segura mientras gestionan los datos de los clientes y se ha convertido en el estándar para aceptar, almacenar, procesar y transmitir tarjetas de crédito.
Si bien el cumplimiento de PCI no es legalmente obligatorio y, por lo tanto, las empresas que no cumplan no se enfrentarán a cargos penales, si se produce una violación y no cumplieron, podrían enfrentarse a fuertes multas y otras consecuencias.
¿Cómo se logra el cumplimiento de PCI?
- Completar un cuestionario de autoevaluación indicando que la empresa está siguiendo las directrices necesarias y que se están cumpliendo los requisitos adecuados
- Alcanzar el cumplimiento de PCI suele llevar menos de un mes
- Mantener el cumplimiento de PCI requiere el mantenimiento continuo de las políticas de protección de datos del titular de la tarjeta
El cumplimiento de PCI es una necesidad cuando se trata de mantener los datos de sus clientes a salvo de hackers y estafadores.
Certificación PCI
La certificación PCI se logra a través de un proceso integral mediante el cual se lleva a cabo una auditoría a gran escala para garantizar que la empresa esté siguiendo los procedimientos adecuados para proteger los datos. La evaluación es muy similar a la realizada en la autoevaluación, sin embargo, para alcanzar la certificación PCI, la auditoría debe ser realizada por un asesor de seguridad calificado de confianza (QSA) de terceros. La QSA revisará y validará todos los aspectos de la empresa que tocan los datos del titular de la tarjeta.
Lograr la certificación PCI es un proceso intensivo, que dura hasta seis meses y examina y autentica cientos de aspectos de las empresas, incluyendo:
- Cómo se desarrolló el software
- Cómo se forma a los desarrolladores
- Controles técnicos y de procedimiento
Garantizar que su empresa no solo cumpla con PCI, sino que también esté certificada por PCI, añade una capa adicional de confianza para sus clientes. La inversión muestra no solo su dedicación y compromiso para proteger a sus clientes, sino que también muestra cuánto los valora y es una forma de devolverles su confianza en su organización.
Lo que nos lleva a la pregunta, ¿son necesarios los dos?
Si bien los requisitos para el cuestionario de autoevaluación involucrado en el cumplimiento de PCI y la auditoría realizada para lograr la certificación PCI son esencialmente los mismos, el proceso de verificación para la certificación debe hacerse a través de un tercero, QSA de confianza. La autoevaluación para lograr el cumplimiento de PCI es una buena práctica, pero es aún mejor que un profesional realice una auditoría.
Esencialmente, el cumplimiento de PCI es una afirmación, mientras que la certificación PCI es una prueba de que una empresa está haciendo todo lo que está a su alcance para proteger datos valiosos. Si quieres hacer un esfuerzo adicional, asegúrate de no solo ser compatible con PCI, sino también con la certificación PCI. Al lograr la certificación PCI, está asegurando a sus clientes que ha tomado mayores precauciones para protegerlos a ellos y su información personal, inculcando así un mayor sentido de confianza.
La certificación PCI, como dice tan acertadamente el refrán, realmente es la guinda del pastel.
Para obtener más información sobre el cumplimiento de PCI, la certificación PCI y otras leyes y regulaciones que se dedican a la protección de los datos del titular de la tarjeta, descargue nuestra Guía definitiva para el cumplimiento de PCI Parte II: Hoteles.