PCI, DSS y CISP son las nuevas siglas a las que se debe prestar atención: si acepta pagos con tarjeta de crédito, es mejor que aprenda acerca de ellas.
Estas siglas, creadas por AMEX, MasterCard y VISA, representan un conjunto de normas que que deben cumplir los propietarios de negocios, ya sean estos en línea o no, si almacenan, procesan o transmiten datos de tarjetas de crédito. De lo contrario, se arriesgan a recibir multas grandes.
El solo hecho de leer las normas es suficiente para tener un ataque cardíaco. La buena noticia es que el software de comercio electrónico de ShopFactory facilita el cumplimiento de dichas normas.
Normas de seguridad PCI y CISP
Para aceptar tarjetas de crédito debe cumplir con las normas PCI/CISP si usted o el software que utiliza almacenan, procesan o transmiten números de tarjetas de crédito. Esto se aplica para quienes aceptan tarjetas en un mostrador, por teléfono o a través de Internet.
Los proveedores de tarjetas de crédito establecieron esas normas para reducir los robos de los números de las tarjetas de crédito, tanto en línea como por otros medios.
(PCI: https://www.pcisecuritystandards.org/ CISP: http://usa.visa.com/merchants/risk_management/cisp_merchants.html)
Esas normas son ciertamente atemorizantes y describen cómo se deben proteger los datos de las tarjetas de crédito contra posibles robos. Se aplican al software que usted utilice, a sus servidores y al ámbito de su oficina.
Entonces, ¿qué debe hacer?
Software de carrito de compra
La manera más sencilla de cumplir con las normas PCI es seleccionar un software de carrito de compra que no procese, transmita ni almacene números de tarjetas de crédito, como ShopFactory.
Lamentablemente, la mayoría de los tipos de software de carrito de compra que hay en el mercado realizan alguna de las tres acciones, como transmitir números de tarjetas de crédito a un proveedor de servicios de pagos para su aprobación. Muchas soluciones de software de carrito de compra de fuente abierta son culpables de eso.
Si ese es su caso, deberá alojar su tienda en un servidor que cumpla con las normas PCI/CISP y con todas las pautas de seguridad requeridas por las normas. , lo cual es un gran esfuerzo para los negocios pequeños.
Transacciones manuales con tarjetas de crédito
Si desea aceptar y aprobar tarjetas de crédito usted mismo, utilice un proveedor de servicios que acepte los datos de las tarjetas por usted y los almacene en línea en un entorno que cumpla con las normas PCI, como GlobeCharge.
De esta manera, usted no tiene que procesar ni transmitir tarjetas de crédito, omitiendo así la necesidad de tener que cumplir con las normas.
Transacciones con servicios de pagos en tiempo real
Sin embargo, la opción más segura es el uso de un proveedor de servicios de pagos en tiempo real que acepte y apruebe los pagos con tarjeta de crédito en el servidor de dicho proveedor; o un portal de gestión de pedidos como GlobeCharge. En este caso usted tampoco procesa, transmite ni almacena los datos de las tarjetas de crédito, lo que significa que no debe preocuparse por el cumplimiento de las normas PCI.
Si usted recibe muchos pedidos, el uso de un servicio de pago en tiempo real también puede ayudarle a mejorar la fluidez de sus operaciones. La mayoría de esos servicios también utilizan métodos sofisticados de detección de fraudes con tarjetas de crédito, lo que ayuda a protegerle contra el fraude, y ellos son quienes deben ocuparse de cumplir con las normas PCI.
Sin embargo, tenga cuidado: si usted se conecta con el portal de pago en tiempo real en segundo plano y el cliente introduce los datos del pago en su sitio web, usted sí debe cumplir con las normas PCI.
También recuerde tener cuidado con el paquete de software de carrito de compra que utilice. A diferencia de ShopFactory, muchas soluciones de comercio electrónico aceptan los datos de las tarjetas de crédito en el servidor que tiene usted y después los transmiten al proveedor del servicio de pago. En ese caso, es usted quien debe cumplir con todas las normas PCI y CISP en su servidor y en el ámbito de su oficina.
Falsas creencias
Hay muchas falsas creencias acerca del cumplimiento de las normas PCI. La mayor falsa creencia es que usted solo debe cumplir con las normas PCI si almacena los números de las tarjetas de crédito.
Esto es incorrecto. Muchos paquetes de software de carrito de compra aceptan los datos de las tarjetas de crédito de los clientes y después los reenvían al portal de pagos. Esto entra en la categoría de transmisión. Si su software trabaja de ese modo, no sólo su servidor debe cumplir con las normas PCI, sino también su proveedor de hosting.
Otra falsa creencia es la que indica que los servidores que pasan las examinaciones de seguridad de un servicio de seguridad aprobado son aprobados automáticamente en cuanto a las normas PCI.
Esto también es incorrecto. La examinación de seguridad es solo una parte de la aprobación de PCI. Si su proveedor de hosting no cumple con las normas PCI, usted tampoco, independientemente del resultado de las examinaciones de seguridad. Además, usted debe cumplir efectivamente con los requisitos del cuestionario de autoevaluación de PCI/CISP. Muchos de ellos no se resuelven con solo aprobar una examinación.
Resumen
Si utiliza un software de carrito de compra como ShopFactory combinado con un servicio de pago en tiempo real que acepta los datos de las tarjetas en el servidor de dicho servicio, o un portal de gestión de pedidos como GlobeCharge para aceptar tarjetas de crédito, usted no procesa, transmite ni almacena los números de las tarjetas de crédito. Esto facilita su cumplimiento de las normas.
Español
English 
Italiano
Français
Nederlands
Deutsch