Cumplimiento de la normativa PCI en Nueva Zelanda: requisitos, consideraciones y prácticas recomendadas

Connect
Connect

Las plataformas y los marketplaces más exitosos del mundo, entre ellos Shopify y DoorDash, utilizan Stripe Connect para integrar pagos en sus productos.

Más información 
  1. Introducción
  2. Conclusiones clave
  3. Qué es el cumplimiento de la normativa PCI en Nueva Zelanda
  4. ¿Por qué es importante el cumplimiento de la normativa PCI para las empresas de Nueva Zelanda?
  5. Cómo funciona el cumplimiento de la normativa PCI
  6. ¿Cuáles son los requisitos de cumplimiento de la normativa PCI para las empresas de Nueva Zelanda?
    1. 1. Construir y mantener una red segura
    2. 2. Proteger los datos de la cuenta
    3. 3. Mantener un programa de gestión de vulnerabilidades
    4. 4. Implementar medidas sólidas de control de acceso
    5. 5. Monitorear y probar las redes
    6. 6. Mantener una política de seguridad de la información
  7. A qué problemas se enfrentan las empresas de Nueva Zelanda en relación con el cumplimiento de la normativa PCI
    1. Un alcance mayor de lo esperado
    2. Infraestructura heredada
    3. Falta de comprensión sobre lo que abarca la tercerización
    4. Rotación de personal y deficiencias en la capacitación
    5. El problema de la selección de los SAQ
  8. Cómo pueden las empresas de Nueva Zelanda asegurar el cumplimiento de la normativa PCI
    1. Usa un proveedor de servicios de pago que mantenga los datos de las tarjetas fuera de tus sistemas
    2. Mapea primero tus flujos de datos
    3. Consigue el SAQ correcto
    4. Tómate en serio las pruebas de penetración
    5. Asigna un responsable interno claro
    6. Integra la recopilación de evidencia en tus operaciones
  9. Cómo puede ayudar Stripe Connect

Las pérdidas por estafas y fraude con tarjetas alcanzaron un total de $194 millones de dólares neozelandeses (NZD) en 2024 y siguen aumentando de forma acelerada. Aunque la legislación neozelandesa no lo exige, se espera que las empresas del país que aceptan pagos con tarjetas cumplan con el Estándar de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Las redes de tarjeta exigen el cumplimiento de la normativa a través de los acuerdos con los comerciantes. Su incumplimiento puede derivar en multas, un aumento de los costos de transacción o incluso la pérdida de la capacidad de aceptar pagos con tarjeta.

A continuación, abordaremos los requisitos del PCI DSS, los problemas más habituales en materia de cumplimiento de la normativa a los que se enfrentan las empresas de Nueva Zelanda y cómo lograr cumplir la normativa con éxito.

Conclusiones clave

  • El cumplimiento de la normativa PCI DSS se exige a través de acuerdos de comerciantes con las redes de tarjeta y los bancos adquirentes, no mediante la ley de Nueva Zelanda. Sin embargo, las consecuencias financieras y operativas del incumplimiento de la normativa son considerables.

  • El alcance de tus obligaciones de cumplimiento de la normativa depende de la cantidad de datos del titular de tarjeta que gestionen tus sistemas. Puedes simplificar el proceso de cumplimiento de la normativa reduciendo tu exposición.

  • La elección del cuestionario de autoevaluación (SAQ) correcto y la asignación clara de un responsable interno son dos de las decisiones más importantes que repercuten en el éxito del cumplimiento de la normativa de una empresa neozelandesa.

Qué es el cumplimiento de la normativa PCI en Nueva Zelanda

El cumplimiento de la normativa PCI significa cumplir los requisitos globales del PCI DSS en torno a una red segura, a los datos del titular de tarjeta, así como al control de acceso y la seguridad de la información. Todas las empresas que gestionan datos de titulares de tarjetas deben cumplir con estas medidas, desde una cafetería que acepta pagos sin contacto hasta una empresa de software que factura a sus suscriptores a nivel global.

¿Por qué es importante el cumplimiento de la normativa PCI para las empresas de Nueva Zelanda?

Las pérdidas por fraude con tarjeta en Nueva Zelanda ascienden a cientos de millones de dólares al año. El cumplimiento de la normativa ayuda a proteger los datos del titular de tarjeta y a reducir el riesgo de fraude.

Las consecuencias del incumplimiento de la normativa se dividen en unas pocas categorías:

  • Multas: Las redes de pago y los bancos adquirentes pueden imponer multas. Estas pueden oscilar entre cientos y cientos de miles de dólares, según la gravedad de la infracción.

  • Aumento de los costos de transacción: Los bancos adquirentes pueden cambiar a las empresas que incumplen la normativa a niveles de intercambio más altos.

  • Responsabilidad por pérdidas por fraude: Si se produce una filtración y no cumplías la normativa en ese momento, tu seguro y tu banco adquirente podrían hacerte responsable del costo de las transacciones fraudulentas, el reemplazo de la tarjeta y la investigación forense.

  • Cancelación de la aceptación de tarjetas: En casos graves, los bancos adquirentes o los procesadores pueden revocar tu capacidad de aceptar pagos con tarjeta.

También hay daño reputacional. La Ley de Privacidad de 2020 de Nueva Zelanda exige a las empresas notificar a las personas afectadas y al Comisionado de Privacidad después de una filtración de privacidad que cause daños graves.

Cómo funciona el cumplimiento de la normativa PCI

El PCI DSS organiza sus requisitos en torno al entorno de datos del titular de tarjeta (CDE), que incluye los sistemas, las personas y los procesos que almacenan, procesan o transmiten los datos de los titulares de las tarjetas. El alcance de tus obligaciones de cumplimiento de la normativa depende en gran medida del tamaño y la forma de tu CDE.

El estándar actual es la normativa PCI DSS 4.x, que el Consejo de Normas de Seguridad emitió en marzo de 2022 con un plazo de transición que la convirtió en la única versión activa a partir de marzo de 2024. La versión 4.0 introdujo cambios importantes que ofrecen más flexibilidad en la forma en que las empresas pueden cumplir ciertos requisitos. Desde entonces, se publicaron actualizaciones menores, pero los principios principales siguen siendo los mismos. El cumplimiento de la normativa se valida a través de los SAQ o de auditorías formales por parte de un asesor de seguridad calificado (QSA). También depende de tu volumen de transacciones y de cómo gestiones los datos de las tarjetas:

  • SAQ A: suele ser el camino más sencillo, y se aplica a las empresas que subcontrataron por completo el procesamiento de tarjetas y no tocan los datos de los titulares de tarjetas.

  • SAQ A-EP: por lo general, se aplica si utilizas una página de pagos de un tercero pero tu propio sitio web se encarga de la redirección.

  • SAQ D: la vía más completa, el SAQ D se aplica a las empresas que almacenan datos del titular de tarjeta o los procesan de maneras que no encajan en una categoría más simple.

  • Comerciantes de Nivel 1: los comerciantes de Nivel 1, como aquellos que procesan más de 6 millones de transacciones anuales de Visa o Mastercard, deben presentar un informe de cumplimiento (ROC) elaborado por un QSA.

Muchas pequeñas y medianas empresas de Nueva Zelanda reunirán los requisitos para acceder a una de las vías de los SAQ. Cuál de ellas dependerá, en gran medida, de tu modelo de integración de pagos.

¿Cuáles son los requisitos de cumplimiento de la normativa PCI para las empresas de Nueva Zelanda?

El estándar PCI DSS contiene 12 requisitos básicos. Estos requisitos se agrupan en seis objetivos de control:

1. Construir y mantener una red segura

Instala y mantén controles de seguridad de la red. Esta es la base para lograr el cumplimiento de la normativa.

2. Proteger los datos de la cuenta

Usa criptografía sólida para proteger los datos del titular de tarjeta almacenados. Nunca almacenes el código de verificación de la tarjeta después de la autorización y asegúrate de que la transmisión de los datos del titular de tarjeta esté encriptada a través de redes públicas y abiertas.

3. Mantener un programa de gestión de vulnerabilidades

Protege los sistemas contra el software malicioso y desarrolla sistemas y software seguros. Esto incluye cronogramas de instalación de parches, escaneo de vulnerabilidades y pruebas de seguridad de las aplicaciones.

4. Implementar medidas sólidas de control de acceso

Los datos del titular de tarjeta deben estar restringidos al personal que deba conocerlos. Identifica y autentica a cada usuario con credenciales únicas y restringe físicamente el acceso a los sistemas que almacenan o procesan los datos del titular de tarjeta.

5. Monitorear y probar las redes

Monitorea y registra todo acceso a los recursos de la red y a los datos del titular de tarjeta. Prueba los sistemas y procesos de seguridad con regularidad. Realiza escaneos de vulnerabilidades y pruebas de penetración en muchos entornos.

6. Mantener una política de seguridad de la información

Mantén una política que abarque la seguridad de la información para todo el personal y que incluya capacitación y una clara rendición de cuentas.

Algunos de estos requisitos pueden convertirse en responsabilidad del proveedor, siempre que la empresa de Nueva Zelanda haya integrado correctamente su solución de pago en línea o en persona.

A qué problemas se enfrentan las empresas de Nueva Zelanda en relación con el cumplimiento de la normativa PCI

Cumplir la normativa PCI puede acarrear problemas previsibles a las empresas de Nueva Zelanda. Una vez que se tiene visibilidad sobre los aspectos que pueden fallar, el cumplimiento de la normativa resulta más manejable.

Un alcance mayor de lo esperado

Un problema común de cumplimiento de la normativa es subestimar el alcance del CDE. Cualquier sistema conectado a tu CDE —lo sepas o no— está sujeto a los requisitos del PCI DSS. Puede que las empresas descubran que su CDE es mucho mayor de lo que pensaban cuando empiezan a mapear los flujos de datos.

Infraestructura heredada

Es posible que muchas empresas de Nueva Zelanda utilicen hardware de sistemas de puntos de venta (POS) y software local antiguos que no se diseñaron para el PCI DSS 4.0. Actualizarlos puede ser costoso y problemático. Mantener el cumplimiento de la normativa con sistemas heredados puede suponer una mayor complejidad.

Falta de comprensión sobre lo que abarca la tercerización

Tener un proveedor de pagos que cumple con la normativa PCI no significa que tu empresa la cumpla de forma automática. Por ejemplo, tu sitio web puede tener una vulnerabilidad que le permita a un atacante interceptar los datos de la tarjeta antes de que lleguen al formulario de pago del proveedor, y esa filtración se convierte en tu problema. El límite entre tu responsabilidad y la de tu proveedor debe estar claramente definido.

Rotación de personal y deficiencias en la capacitación

El PCI DSS exige que todo el personal que interactúe con los datos de titulares de tarjetas reciba capacitación sobre seguridad. En los sectores con una alta rotación de personal, puede resultar difícil mantener la capacitación al día.

El problema de la selección de los SAQ

Asegúrate de elegir el SAQ correcto. Una empresa que crea reunir los requisitos para el SAQ A, pero que en realidad mantuvo cierta participación en el procesamiento de los datos de los titulares de tarjetas, podría estar subestimando en gran medida sus obligaciones de cumplimiento de la normativa.

Cómo pueden las empresas de Nueva Zelanda asegurar el cumplimiento de la normativa PCI

Una buena manera de reducir la carga de cumplimiento es limitar el entorno de datos del titular de tarjeta.

Considera los siguientes enfoques:

Usa un proveedor de servicios de pago que mantenga los datos de las tarjetas fuera de tus sistemas

Los proveedores de pagos como Stripe, que utilizan la tokenización y los campos de pago alojados, recopilan los datos de las tarjetas directamente en su entorno para que tus servidores no reciban los números de tarjeta sin procesar. En combinación con la certificación de proveedor de servicios PCI de nivel 1, esto puede simplificar el camino hacia el cumplimiento de la normativa para muchas empresas.

Mapea primero tus flujos de datos

No se puede establecer el alcance de una evaluación de PCI sin saber hacia dónde se dirigen los datos del titular de tarjeta. Traza rigurosamente el mapa de todos los sistemas que podrían tener contacto con los datos de las tarjetas. Luego, cada vez que agregues una nueva integración, actualices tu flujo de compra o cambies tu sistema de gestión de relaciones con los clientes (CRM), actualiza el mapa también.

Consigue el SAQ correcto

Habla con tu banco adquirente o con un QSA antes de seleccionar tu SAQ. Las redes de tarjeta publican los criterios de elegibilidad para los SAQ, y la decisión correcta no siempre es obvia. Si te equivocas desde el principio, cada decisión posterior en materia de cumplimiento de la normativa empeora el error.

Tómate en serio las pruebas de penetración

Las pruebas de penetración tienen un impacto sustancial en tu éxito de cumplimiento de la normativa. Una prueba genuina de tu entorno de datos del titular de tarjeta (CDE), incluidas las páginas de pago, los mecanismos de autenticación y la segmentación de la red interna, puede sacar a la luz vulnerabilidades que el escaneo automatizado pasa por alto.

Asigna un responsable interno claro

El cumplimiento de la normativa PCI puede quedar en el olvido si se asume que alguien se está encargando, como el departamento de TI, el director financiero o quien configuró originalmente el sistema de pago. Cada requisito debe asignarse a una persona designada.

Integra la recopilación de evidencia en tus operaciones

Los evaluadores exigen evidencia. Es necesario que existan y se puedan recuperar los escaneos de vulnerabilidad, los registros de acceso, los registros de finalización de capacitaciones y el historial de los parches. Incorporar esa documentación en tus operaciones habituales es mucho menos doloroso que reconstruirla antes de una evaluación.

Cómo puede ayudar Stripe Connect

Stripe Connect organiza el movimiento de dinero de varias partes para plataformas de software y Marketplace. Ofrece onboarding rápido, componentes integrados, pagos globales y más.

Connect puede ayudarte a hacer lo siguiente:

  • Lanzar en semanas: utiliza funcionalidades alojadas o integradas en Stripe con el fin de pasar a modo activo más rápido y evitar los costos iniciales, además del tiempo de desarrollo que en general se requiere para facilitar los pagos.

  • Gestionar pagos a escala: utiliza herramientas y servicios de Stripe para no tener que dedicar recursos adicionales a informes de márgenes, formularios fiscales, riesgos, métodos de pago globales o cumplimiento de la normativa del onboarding.

  • Crecer a nivel internacional: ayuda a tus usuarios a llegar a más clientes en todo el mundo con métodos de pago locales y la habilidad de calcular fácilmente el impuesto sobre las ventas, el IVA y el GST.

  • Desarrollar nuevas líneas de ingresos: optimiza los ingresos por pagos cobrando comisiones por cada transacción. Monetiza las funcionalidades de Stripe con los pagos presenciales, las transferencias instantáneas, el cobro del impuesto sobre las ventas, la financiación, las tarjetas de gastos menores para empleados y mucho más, todo desde tu plataforma.

Obtén más información sobre Stripe Connect o empieza hoy.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

  • Hubo un problema. Vuelve a intentarlo o comunícate con soporte.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Connect

Connect

Pasa a modo activo en semanas en vez de meses, construye una empresa de pagos rentable y crece con facilidad.

Documentación de Connect

Descubre cómo enrutar pagos entre varias partes.