Existen diversos requisitos para cumplir con PCI y estos dependen del tipo de comercio y de la forma en que manejan las tarjetas de crédito. Para ello es necesario identificar en dónde existen datos de tarjeta de crédito en su organización, quién los maneja, cómo se transmiten, y de llegar a almacenarlos habrá que tener en claro en dónde y con qué fin. Con este primer ejercicio, usted podrá visualizar como transitan los datos de tarjeta de crédito y qué puntos se pueden eliminar en el proceso.
Estas son algunas de las preguntas que lo ayudarán a determinar su alcance: ¿Quién recibe los datos de tarjeta? ¿Son cargos de tarjeta presente? ¿Qué proceso se lleva a cabo en casos de tarjeta no presente? ¿Cómo se reciben las tarjetas de crédito (correo, chat, teléfono)? ¿Se lo recibirá por teléfono? ¿Quién efectúa los cargos? ¿Cómo se efectúan los cargos a la tarjeta? ¿Por medio de un terminal del banco? ¿La información se transmite de forma segura? A lo largo de la definición del alcance, usted contará con soporte telefónico en español (5 días a la semana, en un horario de 9:00am a 5:00pm)
Una vez definido su alcance, o de forma paralela usted debe de contestar el SAQ (Self-Assessment Questionnaire), el SAQ es una evaluación de cómo se gestionan los datos de tarjeta de crédito. Existen nueve distintos SAQ, cada uno de ellos es un subconjunto de controles que aplican a distintos escenarios. Para que usted sepa con certeza que SAQ corresponde a su negocio, nosotros le proporcionamos un asistente que le ayudará a identificar el SAQ correcto, además hemos tenido la precaución de que cada uno de los requerimientos enlistados en el SAQ tengan una descripción clara sobre lo que se solicita, de tal forma que no se generen dudas y todavía existe la posibilidad de preguntar al soporte telefónico o revisar los foros que ponemos a su disposición. Al llenar el SAQ, el mismo sistema le informará a usted que consideraciones se deben tomar para obtener la certificación.
Como parte del servicio que le proporcionamos, usted podrá calendarizar el análisis de vulnerabilidades de su infraestructura, una vez ejecutado dicho análisis se le hace entrega del reporte de resultados, con ello su personal técnico o su proveedor de servicios podrá efectuar los ajustes correspondientes. Cabe destacar que la norma PCI requiere que los análisis de vulnerabilidades se lleven a cabo por una entidad certificada (https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors), en nuestro caso podrá identificarnos en la lista como Trustwave Holdings. Los análisis de vulnerabilidades se deben hacer trimestralmente, por tal motivo dentro de nuestro servicio usted encontrara la posibilidad de hacer 16 análisis (3 de test y cuatro definitivos).
Una vez ejecutado dicho análisis se le entregará un reporte de los resultados, con ello su personal técnico o su proveedor de servicios podrá efectuar los ajustes correspondientes.
Una vez completada la integración de los requerimientos del SAQ y aprobado el análisis de vulnerabilidades, usted obtiene el certificado PCI y el sello Trustcomerce de Trustwave junto con la certificación usted obtiene una protección de brecha de $50,000 usd., este monto aplica en caso de que su comercio sea víctima del robo de datos de tarjeta de crédito y tenga implementado de manera correcta la norma PCI, los recursos de la protección de brecha se usan para cubrir los gastos de los consultores que hacen la investigación del caso.