El pago por tarjeta de crédito cada vez es más popular. Sin embargo, esto también requiere medidas de seguridad rigurosas en cuanto a los datos de las tarjetas de crédito y las transacciones para reforzar la confianza de los consumidores en este método de pago. Por tanto, los expertos en seguridad de las empresas de tarjetas de crédito se reunieron y desarrollaron una solución común. Cualquier empresa que procese transmisiones o que almacene datos de tarjetas de crédito debe cumplir una serie de directrices de seguridad para garantizar la seguridad de los datos. El objetivo es que todos los comerciantes que aceptan tarjetas de crédito de estas empresas cumplan estrictamente la norma "Industria de tarjeta de pago - Estándar de seguridad de datos" (PCI), anteriormente conocida como "Programa de seguridad de información de los titulares de tarjetas" (CISP, del inglés Cardholder Information Security Program).

La versión actual de la norma se ha desarrollado durante un periodo de tan sólo unos pocos años. VISA puso en marcha el Programa de seguridad de información de los titulares de tarjetas (CISP) en 2001. Fue el primer programa de este tipo y exigió de los comerciantes y proveedores de servicios que siguieran una serie de normas específicas para la seguridad de los datos. Pocos años más tarde, VISA, MasterCard, American Express, Discover, Diners Club y JCB alinearon sus políticas individuales e introdujeron la norma "Industria de tarjeta de pago - Estándar de seguridad de datos" (PCI-DSS), una versión actualizada y más exhaustiva de la norma, que pasó a ser obligatoria para todos los comerciantes y proveedores de servicios en junio de 2005. Actualizada de nuevo en septiembre de 2006, actualmente la norma incluye unos 160 requisitos, que se convirtieron en vinculantes antes de finales de junio de 2007. El acuerdo no es nada insignificante: sólo en 2006, VISA presentó demandas por un importe total de 4,6 millones de dólares contra comerciantes que no cumplieron las normas. Supone un aumento del 35% en comparación con el año anterior.

La norma PCI actual incluye regulaciones estrictas sobre el procesamiento y almacenamiento de datos de tarjetas de crédito. Los comerciantes deben seguir estas regulaciones para poder conservar su categoría de socios de la empresa de tarjetas de crédito y evitar elevadas sanciones. Puede que su banco se haya puesto en contacto con usted durante los pasados meses con información acerca de PCI y su importancia para prevenir el fraude de tarjetas de crédito.

A principios de este año, las organizaciones de tarjetas de crédito VISA y MasterCard acordaron una serie de normas comunes para alcanzar un curso de acción coherente para la aplicación de requisitos de seguridad. Estas normas de "Industria de tarjeta de pago (PCI) - Estándar de seguridad de datos" son válidas para toda la industria de pagos con tarjeta de crédito.

Las regulaciones de PCI especifican 12 requisitos de conformidad que deben cumplir todos los comerciantes que acepten tarjetas VISA y los proveedores de servicios:

Crear y mantener una red segura
1. Instale y mantenga una configuración de servidor de seguridad para proteger los datos de los titulares de las tarjetas.
2. No utilice valores predeterminados suministrados por el proveedor para contraseñas del sistema y otros parámetros de seguridad.

Proteger los datos de los titulares de las tarjetas
3. Proteja los datos almacenados de los titulares de las tarjetas. No almacene datos de transacciones o tarjetas innecesarios como el número de tarjeta completo, los datos de la banda magnética, el código de verificación de la tarjeta (CVV2) o el PIN.
4. Cifre la transmisión de datos de titulares de las tarjetas y la información confidencial por redes públicas y abiertas.

Mantener un programa de gestión de vulnerabilidades
5. Utilice y actualice con regularidad el software antivirus.
6. Desarrolle y mantenga aplicaciones y sistemas seguros.

Implementar medidas rigurosas de control de acceso
7. Restrinja el acceso a los datos de los titulares de las tarjetas por necesidad empresarial.
8. Asigne un identificador único a cada persona con acceso informático.
9. Restrinja el acceso físico a los datos de los titulares de las tarjetas.

Supervisar y probar redes con regularidad
10. Realice un seguimiento y supervise todo el acceso a los recursos de red y los datos de los titulares de las tarjetas.
11. Pruebe los procesos y sistemas de seguridad periódicamente.

Mantener una política de seguridad de la información
12. Mantenga un política que se encargue de la seguridad de la información.

Aquí puede ver explicaciones detalladas de los 12 requisitos.

Uno de los elementos más importantes del programa de seguridad de datos de PCI de 12 puntos es la prohibición de almacenar datos completos de tarjetas de crédito y CVV en cualquier formato tras realizar correctamente la autorización. Se trata de un requisito fundamental ya que el acceso a estos datos extremadamente confidenciales facilita la falsificación de tarjetas de crédito.

Si una auditoría descubre que usted, como comerciante, está almacenando datos de tarjetas de crédito en el TPV (caja registradora), en el PMS (Property Management System, sistema de gestión de propiedades) (sistema de recepción) o en las oficinas de su empresa, existe una mayor probabilidad de que VISA imponga una sanción a su banco y éste le transfiera la sanción por incumplimiento de la norma. VISA está al tanto de que determinados productos de TPV y PMS almacenan datos de tarjetas de crédito.

Es indiscutible que todos los proveedores de IT del conjunto de la industria se ven afectados, así como su proveedor de servicios de transacciones. Haga que su proveedor de servicios de transacciones confirme su conformidad con PCI.

Se espera que los comerciantes y proveedores de servicios cumplan las "normas de seguridad de datos de PCI" al procesar datos de transacciones y tarjetas de crédito. Esto implica someterse a un proceso de certificación realizado por un agente autorizado de VISA y MasterCard.

En MICROS-Fidelio nos tomamos muy en serio esta iniciativa. Cuando se anunciaron las nuevas directrices de la asociación, que prohibían la práctica generalizada de almacenar datos de tarjetas de crédito, implementamos cambios en todas nuestras aplicaciones de software para cumplir las nuevas regulaciones.

Desde entonces hemos añadido una serie de cambios adicionales para cumplir completamente la norma PCI en todo lo posible. Estamos ofreciendo a nuestros clientes las versiones conformes a PCI de nuestros productos de MICROS-Fidelio como actualizaciones. El soporte de MICROS-Fidelio se encarga de las actualizaciones o parches de menor envergadura. Consulte con nuestro departamento de soporte si se puede desarrollar un parche para su producto.

Desde 2006 MICROS-Fidelio es un fabricante de software certificado de aplicaciones de pago que cumplen las normas de seguridad. En el sitio Web estadounidense oficial de VISA, o haciendo clic aquí, puede ver una lista de todos los proveedores de software certificados y sus aplicaciones.

Le recomendamos no sólo que compruebe si la versión de su producto es conforme a PCI, sino que también se asegure de que todas las opciones de configuración necesarias para respetar el cumplimiento se han configurado correctamente. Puede ver una lista de todos los sistemas con certificación PCI aquí.

Nuestros departamentos de soporte estarán encantados de ayudarle con las opciones de configuración. Puede ponerse en contacto con nosotros durante nuestro horario laboral normal de soporte con las opciones habituales de contacto con soporte. Si necesita una actualización de software, le ayudaremos con la planificación y la programación.

Para ponerse en contacto con su centro de soporte local en EAME de MICROS-Fidelio, haga clic aquí para ver los detalles de las ubicaciones locales.

Ni MICROS-Fidelio ni su proveedor de servicios será responsable por los daños que se produzcan en relación con el uso de productos que no cumplen la norma.

Lamentamos que el mercado esté ejerciendo tanta presión sobre los bancos y los comerciantes que aceptan tarjetas de crédito. Sin embargo, creemos que es nuestro deber mantenerle informado del asunto.

Estaremos encantados de ayudarle en todo lo que podamos.

PCI-DSS (Payment Card Industry - Data Security Standard, Industria de tarjeta de pago - Estándar de seguridad de datos) afecta a todos los comerciantes/negocios que aceptan pagos con tarjeta de crédito y almacenan datos de tarjetas de crédito.

Para cumplir la norma PCI, es necesaria una versión de software conforme a la misma. Consulte nuestra lista de compatibilidad para ver la lista actual de versiones conformes.

Si gestiona y almacena datos de tarjetas de crédito, las versiones de software más antiguas se pueden actualizar para que cumplan la norma.

El alcance de la actualización que puede necesitar dependerá de la versión del software que tenga ahora. Nuestros departamentos de ventas y soporte estarán encantados de ayudarle.

Preste también atención a la seguridad de redes y asegúrese de que no existen copias de seguridad ni sistemas de formación desprotegidos/sin cifrado en su red.

Le pedimos que sea tan amable de realizar dichos cambios únicamente cuando se lo indique el departamento de soporte. Le ayudaremos a averiguar si es necesario realizar algún cambio en la instalación o en la configuración.

El número de versión se suele mostrar en pantalla al iniciar o ejecutar el software. Si tiene problemas para encontrar el número de versión, solicite ayuda a soporte.

Si dispone de un contrato de soporte activo, las actualizaciones son gratuitas.

En muchos casos, en función del producto, el departamento de soporte a cargo puede realizar una actualización remotamente.

En caso de que la versión que ejecuta actualmente sea muy antigua, puede que sea necesario realizar la actualización en las instalaciones, operación que supone un coste adicional. En función del alcance de la actualización, puede que se apliquen otros cargos, p. ej. hardware nuevo.

Para cumplir los requisitos de seguridad no debe almacenar/introducir ningún dato de tarjetas de crédito y debe actualizar su sistema a una versión de software conforme a PCI.

Póngase en contacto con su departamento de gestión de IT central para coordinar las actualizaciones.

No se pueden emitir certificados individuales. Todos los proveedores de software con productos certificados se enumeran en el sitio Web oficial de VISA (Lista de proveedores de software certificados) junto con las versiones de software correspondientes. Las empresas que no aparecen en la lista no disponen de una certificación oficial y no cumplen los estrictos requisitos de PCI. VISA actualiza periódicamente la lista.

La respuesta depende de la versión de software. Nuestro equipo de soporte puede proporcionarle información detallada sobre el estado de la versión que utiliza. Además, se pueden añadir campos individuales y específicos del negocio a su base de datos/interfaz de usuario por petición suya; dichos campos se pueden rellenar manualmente.

Si no introduce ni almacena ningún dato de tarjetas de crédito en ninguna parte de su sistema o red, cumple la norma PCI. En este caso, no es necesario realizar ninguna actualización de software ni cambios en la configuración.
Hemos adquirido nuestro terminal de tarjeta de crédito a través de MICROS-Fidelio; ¿cumple la norma PCI?
MICROS-Fidelio no vende terminales de tarjeta de crédito. Póngase en contacto con su proveedor de servicios de transacciones (p. ej. Concardis o Elavon) para obtener más información.

MICROS-Fidelio no vende terminales de tarjeta de crédito. Póngase en contacto con su proveedor de servicios de transacciones (p. ej. Concardis o Elavon) para obtener más información.

Cumple la norma siempre que no se introduzcan manualmente datos de tarjetas de crédito en el sistema de recepción. Consulte también la documentación oficial de PCI-DSS para ver más detalles.