Con las recientes violaciones de datos que ponen en peligro la información personal de tarjetas de crédito y otras, los consumidores están comprensiblemente preocupados por la forma en que las empresas manejan sus datos confidenciales.
Aquí hay seis mejores prácticas que tu empresa puede seguir para manejar adecuadamente la información de la tarjeta de crédito del cliente.
1. Comprende la responsabilidad de la información
Como propietario de un negocio, si tienes una cuenta de comerciante para procesar transacciones con tarjeta de crédito, estás obligado contractualmente a proteger la tarjeta de crédito y la información de tus clientes. ¡Es de suma importancia!
Los datos de las tarjetas de crédito siguen ciertas lógicas. Por un lado, están los datos que se relacionan con la seguridad de la línea de crédito y los otros son las que identifican los productos. Entre los de identificación están, el nombre del titular, la fecha de vencimiento, el banco o la entidad emisora y la empresa que hace posible la aceptación. Los datos de seguridad están, la banda magnética que al igual que el chip contienen el resguardo de la información de la línea de crédito, el número de tarjeta, la firma y el CVV.
Así es, si observas la letra pequeña del contrato que firmaste, es probable que indique que tu negocio debe ser “Compatible con PCI“. Una parte clave del cumplimiento de PCI es proteger la información de la cuenta; incluida la forma en que almacenas la información, así como los equipos y proveedores de servicios que utilizas.
Cuando utilizas un software de terceros (como PaySimple) para procesar pagos; el producto debe proteger toda la información de la tarjeta de crédito de los clientes.
2. Utiliza solo equipos y software aprobados
Ya sea que utilices un terminal para transacciones de punto de venta o un deslizador conectado a una computadora o teléfono móvil que ejecute software de procesamiento de pagos, debes asegurarte de que todo tu hardware y software sea compatible con PCI.
Desafortunadamente, no todos los equipos que están disponibles para la venta están bien para usar. Hay muchas aplicaciones y lectores de tarjetas que tienen agujeros de seguridad y vulnerabilidades que los hacen menos que ideales. Los proveedores de hardware y software de buena reputación se someten a rigurosas pruebas para garantizar la integridad de sus productos. Para proteger a tus clientes y tu negocio, asegúrate de usar solo soluciones probadas y aprobadas.
3. Utiliza solo proveedores de servicios aprobados
Si no deseas instalar y ejecutar el software de procesamiento de tarjetas de crédito tú mismo, puedes usar un proveedor de servicios para administrar el procesamiento de tarjetas de crédito y el almacenamiento de cuentas de tarjetas de crédito.
Los proveedores de servicios incluyen proveedores de SaaS (Software as a Service) basados en la web; servicios telefónicos IVR e incluso compañías a las que subcontrata todas las funciones de procesamiento de pagos.
Estos proveedores de servicios deben someterse a pruebas exhaustivas para asegurarse de que se merece la confianza que deposita en ellos. Las pruebas son realizadas por un QSA (Qualified Security Assessor) externo que realiza una auditoría integral de las políticas, procedimientos y sistemas de la empresa. Si una empresa pasa, se designa como “Entidad validada por PCI DSS”. Como parte de su cumplimiento de PCI, debes utilizar solo proveedores de servicios validados por PCI DSS.
4. Nunca almacenes datos de seguimiento electrónico
Si bien puedes tener una razón comercial para almacenar información de tarjetas de crédito, las regulaciones de procesamiento prohíben específicamente el almacenamiento del código de seguridad de una tarjeta o cualquier “dato de seguimiento” contenido en la banda magnética en la parte posterior de una tarjeta de crédito.
El número de seguridad de la tarjeta, llamado por muchos acrónimos, incluidos CVV2, CID y CSC, es el número de tres dígitos en la parte posterior de las tarjetas Visa / MasterCard / Discover, o el número de 4 dígitos en la parte frontal de las tarjetas American Express.
Está diseñado para proporcionar una forma para que los comerciantes sepan si un cliente que autoriza una transacción por teléfono o a través de Internet realmente tiene la tarjeta en tu poder.
