Cuando el estándar PCI DSS (Payment Card Industry Data Security Standard) se puso en marcha allá por 2006 tenía una misión clara: unificar los requisitos que las entidades financieras solicitaban a las empresas para el uso de tarjetas de crédito y débito como medios de pago. De esa manera, compañías como Visa, MasterCard, American Express, Discover y JCB unieron sus esfuerzos para crear un estándar por el que la industria se podría regir en adelante.
Sin duda, supuso una buena noticia para muchos negocios que utilizaban el pago con diferentes tipos de tarjeta, dado que solo deberían atender a unos parámetros comunes para cumplir con las medidas de seguridad que cada compañía les exigía.
Las sanciones de las entidades financieras
No cabe duda de que el uso de tarjetas de pago conlleva un riesgo –como cualquier otra transacción económica–. Son muchos los delincuentes que esperan el más mínimo fallo para atacar y llevarse un buen botín, especialmente cuando las operaciones se hacen vía online. Por esa razón, las entidades financieras dedicadas a la emisión de tarjetas pueden penalizar a aquellas empresas que no cumplen con el estándar de seguridad, es decir, con PCI DSS. De hecho, en ocasiones las multas llegan a suponer elevadas cantidades de miles de euros. En este sentido, debes saber que, aunque todas las compañías se rigen por PCI DSS, cada una tiene su propia tabla de sanciones, las cuales conviene echar un vistazo cuando se utilizan sus tarjetas como medios de pago.
Consecuencias de no cumplir con PCI DSS
Expuesto todo lo anterior, si en tu negocio permites el uso de tarjetas de crédito y débito como métodos de pago, debes cumplir con los requisitos del estándar PCI DSS. Para ello deberás obtener la certificación, ya que eso supondrá que has tomado las medidas de seguridad necesarias para evitar los posibles ataques.
Sin embargo, hay empresas que deciden no obtener el certificado. Las razones para tomar esta decisión pueden ser de lo más variopintas, pero las consecuencias en caso de que se produzca un incidente de seguridad son muy claras:
- Sanciones económicas. Como acabamos de apuntar, las multas por no haber cumplido con PCI DSS y haber sufrido un ataque –con la consiguiente pérdida económica y de datos críticos– oscilan dependiendo de la magnitud del incidente. El importe mínimo suele ser de 5.000 euros y puede llegar incluso al millón de euros en algún caso extremo –las multas son progresivas si no se soluciona el problema–. Sin duda, esto trastoca la economía de cualquier empresa pudiendo llegar a causar su incluso su cierre.
- Sanciones no económicas. Además de las multas monetarias, las entidades financieras tienen la capacidad de llevar a cabo otras acciones como la cancelación del contrato o la retirada de los terminales punto de venta (TPV). Estas medidas dejan al negocio sin un método de pago clave, especialmente para los e-commerce.
- Mala reputación y pérdida de clientes. Sufrir un ataque por no contar con las medidas de seguridad estipuladas conlleva una pésima imagen para el negocio. Esto se traducirá en la pérdida de clientes, ya sea por incapacidad para realizar sus compras utilizando tarjetas de pago, ya sea por miedo a sufrir un ataque.
- Vulneración de la ley. Cuando se produce un ataque, los datos de los clientes quedan expuestos, es decir, se produce una vulneración del Reglamento General de Protección de Datos (RGPD). Por lo tanto, pueden emprender acciones legales contra la empresa.
PCI DSS y la protección de datos
Con respecto a esta última consecuencia, hay que señalar que el cumplimiento de PCI DSS está muy relacionado con la protección de los datos personales y, por ende, con el RGPD y con la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Ten en cuenta que la información de las tarjetas de crédito y débito incluye los datos personales de sus titulares. Así que, si se produce una vulneración de los mismos, el negocio no solo se expondrá a una demanda individual por parte del cliente, sino que además podrá ser sancionado por incumplir la LOPDGDD.
En este caso, las sanciones dependerán de su nivel de gravedad: leves (hasta 40.000 euros), graves (de 40.001 a 300.000) y muy graves (de 300.001 a 20.000.000 o el 4% de la facturación anual).En definitiva, cumplir con los requisitos que demandan las entidades financieras y certificarse en PCI DSS no es una opción y mejora la seguridad de las transacciones económicas que se realizan con tarjetas de pago evitando posibles sanciones que pueden acabar con tu empresa.
Si tienes cualquier duda al respecto o deseas saber más sobre el proceso de certificación en PCI DSS, no dudes en ponerte en contacto con nosotros. En BOTECH resolveremos tus dudas y te ayudaremos en cada uno de los pasos que debas dar para que la seguridad de tu negocio ofrezca las mayores garantías.
