En 2024 las pérdidas por fraude en pagos con tarjeta y estafas ascendieron a un total de 194 millones de dólares neozelandeses (NZD) y continúan aumentando. Aunque la legislación de Nueva Zelanda no lo exige de forma explícita, se espera que las empresas que aceptan pagos con tarjeta en el país cumplan con la Norma de seguridad de datos para el sector de las tarjetas de pago (PCI DSS). Las redes de tarjetas imponen el cumplimiento de la normativa por medio de los acuerdos con los comerciantes. Su incumplimiento puede derivar en multas, la imposición de tarifas más altas para las transacciones o, incluso, que no se permita que la empresa en cuestión acepte tarjetas de pago.
A continuación, abordaremos los requisitos de PCI DSS, las dificultades relativas al cumplimiento de la normativa más habituales a las que se enfrentan las empresas de Nueva Zelanda y cómo lograr cumplir la normativa de manera satisfactoria.
Conclusiones principales
El cumplimiento de la normativa de la PCI DSS se aplica por medio de acuerdos con los comerciantes con bancos adquirentes y las redes de tarjetas en lugar de acogerse a la legislación neozelandesa. No obstante, sus posibles consecuencias financieras y operativas por la falta de cumplimiento de esta normativa son muy perjudiciales.
El alcance de tus obligaciones de cumplimiento de la normativa depende de la cantidad de datos del titular de la tarjeta que gestionen tus sistemas. Puedes simplificar el proceso de cumplimiento de la normativa reduciendo la exposición de tu empresa a dichos datos.
Para elegir correctamente el cuestionario de autoevaluación (SAQ) y asignar claramente un propietario interno, es necesario tomar dos de las decisiones más importantes de cara a determinar si una empresa neozelandesa podrá cumplir o no la normativa de una manera satisfactoria.
¿Qué es el cumplimiento de la normativa PCI en Nueva Zelanda?
El cumplimiento de la normativa PCI significa cumplir los requisitos globales de PCI DSS en torno a una red segura, datos del titular de la tarjeta y control de acceso y seguridad de la información. Todas las empresas que procesan datos del titular de la tarjeta, desde una cafetería que acepta pagos sin contacto hasta una empresa de software que factura a sus suscriptores en todo el mundo, deben aplicar dichas medidas.
¿Por qué es importante el cumplimiento de la normativa PCI para las empresas de Nueva Zelanda?
Las pérdidas por fraude con tarjeta en Nueva Zelanda ascienden a cientos de millones de dólares al año. El cumplimiento de la normativa ayuda a proteger los datos del titular de la tarjeta y a reducir el riesgo de fraude.
Las consecuencias del incumplimiento se dividen en varias categorías:
Multas: las redes de pago y los bancos adquirentes pueden imponer multas. Pueden oscilar entre cientos y cientos de miles de dólares en función de la gravedad de la infracción.
Aumento de los costes de las transacciones: los bancos adquirentes pueden pasar a las empresas que incumplen la normativa a niveles de intercambio más altos.
Responsabilidad por pérdidas por fraude: si se produce una vulneración y no cumples la normativa en ese momento, tu seguro y tu banco adquirente podrían exigirte responsabilidades por el coste de las transacciones fraudulentas, la sustitución de la tarjeta y la investigación pericial.
Rescisión de la aceptación de tarjetas: en casos graves, los bancos adquirentes o procesadores pueden revocar tu capacidad de aceptar pagos con tarjeta.
También hay daños en la reputación. La Privacy Act 2020 de Nueva Zelanda exige a las empresas que notifiquen a las personas afectadas y al Privacy Commissioner tras una vulneración de la privacidad que cause daños graves.
¿Cómo funciona el cumplimiento de la normativa PCI?
PCI DSS organiza sus requisitos en torno al entorno de datos del titular de la tarjeta (CDE), es decir, los sistemas, las personas y los procesos que almacenan, procesan o transmiten los datos del titular de la tarjeta. El alcance de tus obligaciones de cumplimiento de la normativa depende en gran medida del tamaño y la forma de tu CDE.
La norma actual es la PCI DSS 4.x, que el Consejo de Normas de Seguridad publicó en marzo de 2022 con un plazo de transición que la convirtió en la única versión activa en marzo de 2024. En la versión 4.0 se han introducido cambios de gran calado que brindan más flexibilidad respecto de cómo las empresas pueden satisfacer determinados requisitos. Desde entonces se han publicado actualizaciones menores, pero los principios básicos siguen siendo los mismos. El cumplimiento de la normativa se valida por medio de SAQ o auditorías formales por parte de un asesor de seguridad calificado (QSA). También depende de tu volumen de transacciones y de cómo gestiones los datos de las tarjetas:
SAQ A: Por regla general, este es el proceso más sencillo, aplicable a aquellas empresas que han externalizado el procesamiento de las tarjetas y que no interactúan de forma directa con los datos del titular de la tarjeta.
SAQ A-EP: Suele aplicarse cuando utilizas una página de pagos externa pero es tu propio sitio web quien procesa la redirección.
SAQ D: El proceso más exhaustivo; SAQ D se aplica a aquellas empresas que guardan o procesan los datos del titular de la tarjeta de un modo que no encaja en una categoría más sencilla.
Comerciantes de nivel 1: Los comerciantes de nivel 1, como los que procesan más de 6 millones de transacciones de Visa o Mastercard al año, deben enviar un Informe de cumplimiento (ROC) firmado por un asesor de seguridad calificado (QSA).
Un gran número de empresas neozelandesas medianas y pequeñas reunirán los requisitos necesarios para poder acogerse a un SAQ. Aquel que utilices dependerá en gran medida de tu modelo de integración de pagos.
¿Cuáles son los requisitos de cumplimiento de la normativa PCI para las empresas de Nueva Zelanda?
PCI DSS contiene 12 requisitos básicos. Estos requisitos se agrupan en seis objetivos de control:
1. Crear y mantener una red segura
Instala y mantén controles de seguridad de la red. Esta es la base para lograr el cumplimiento de la normativa.
2. Proteger los datos de la cuenta
Usa una criptografía segura para proteger los datos del titular de la tarjeta almacenada. No almacenes nunca el código de verificación de la tarjeta tras la autorización y asegúrate de que la transmisión de los datos del titular de la tarjeta esté cifrada en las redes públicas y abiertas.
3. Mantener un programa de gestión de vulnerabilidades
Protege los sistemas frente a malware y desarrolla sistemas y software seguros. Esto incluye calendarios de aplicación de parches, análisis de vulnerabilidades y pruebas de seguridad de las solicitudes de acceso.
4. Implementar medidas de control de acceso sólidas
El acceso a los datos del titular de la tarjeta debe estar restringido al mínimo imprescindible. Debes identificar y autenticar a cada usuario con credenciales exclusivas, y restringir físicamente el acceso a los sistemas que almacenan o procesan datos del titular de la tarjeta.
5. Monitorizar y probar las redes
Supervisa y registra todos los accesos a los recursos de la red y a los datos del titular de la tarjeta. Prueba los sistemas y los procesos de seguridad de forma periódica. Realiza análisis de vulnerabilidades y pruebas de penetración en varios entornos.
6. Mantener una política de seguridad de la información
Mantén una política que abarque la seguridad de la información para todo el personal, y que incluya formación y una clara responsabilidad.
Algunos de estos requisitos pueden pasar a ser responsabilidad del proveedor, siempre que la empresa de Nueva Zelanda haya integrado correctamente su solución de pago en persona u online.
¿A qué desafíos de cumplimiento de la normativa PCI se enfrentan las empresas de Nueva Zelanda?
Pasar a cumplir la normativa PCI puede obstaculizar la actividad de las empresas neozelandesas de formas previsibles. Una vez que tengas visibilidad sobre dónde van mal las cosas, el cumplimiento de la normativa pasa a ser gestionable.
Alcance mayor de lo previsto
Un problema de cumplimiento de la normativa frecuente es subestimar el alcance del CDE. Todo sistema conectado a tu CDE, seas o no consciente de ello, está sujeto a los requisitos de la PCI DSS. Las empresas podrían descubrir que su CDE es mucho mayor de lo que daban por hecho cuando empiezan a asignar flujos de datos.
Infraestructura heredada
Muchas empresas de Nueva Zelanda podrían estar usando hardware de sistemas de punto de venta (POS) antiguos y software a nivel local que no se ha diseñado para PCI DSS 4.0. Actualizarlo puede salir caro y alterar el funcionamiento. Seguir cumpliendo la normativa con sistemas heredados podría acarrear una mayor complejidad.
Entender erróneamente lo que cubre la externalización
El mero uso de un proveedor de pagos compatible con PCI no hace automáticamente que tu empresa también cumpla la normativa. Por ejemplo, tu sitio web podría tener una vulnerabilidad que permita a un atacante interceptar datos de la tarjeta antes de que lleguen al formulario de pago del proveedor, y ese incidente de seguridad se convierte en tu problema. El límite entre tu responsabilidad y la de tu proveedor se tiene que delimitar claramente.
Rotación del personal y carencias en materia de formación
La norma PCI DSS exige formación en la toma de consciencia sobre la seguridad para todo el personal que interactúa con los datos del titular de la tarjeta. Puede resultar difícil mantener al personal debidamente formado en sectores con un índice de rotación alto.
El problema para seleccionar un SAQ
Asegúrate de que eliges el SAQ adecuado. Es posible que una empresa que considera reunir las condiciones de SAQ A, pero que ha conservado parte de la implicación en el procesamiento de los datos del titular de la tarjeta, esté reportando en gran medida de manera incompleta sus obligaciones relativas al cumplimiento de la normativa.
¿Cómo pueden las empresas neozelandesas garantizar el cumplimiento de la normativa PCI?
Una buena forma de reducir tu carga de cumplimiento de la normativa es reducir el entorno de los datos del titular de la tarjeta.
Considera los enfoques siguientes:
Usar un proveedor de pagos que mantenga los datos de las tarjetas fuera de tus sistemas
Los proveedores de pagos como Stripe que usan tokenización y campos de pago alojados recopilan los datos de las tarjetas directamente en su entorno para que tus servidores no reciban números de tarjeta sin procesar. Si a esto se añade la certificación PCI Service Provider Level 1, el proceso hacia el cumplimiento de la normativa puede ser más sencillo para muchas empresas.
Asigna primero tus flujos de datos
No puedes determinar el alcance de una evaluación de PCI sin saber adónde van a parar los datos del titular de la tarjeta. Asigna de forma rigurosa todos los sistemas que puedan estar en contacto con los datos de las tarjetas. A continuación, cada vez que añadas una nueva integración, actualices tu flujo del proceso de compra o cambies tu sistema de gestión de las relaciones con los clientes (CRM), actualiza también la asignación.
Consigue el cuestionario de autoevaluación adecuado
Habla con tu banco adquirente o un asesor de seguridad calificado (QSA) antes de seleccionar el SAQ. Las redes de tarjetas publican criterios de idoneidad para el SAQ y la decisión correcta no siempre es obvia. Si tomas la decisión incorrecta desde un primer momento, todas las decisiones de cumplimiento de la normativa que tomes con posterioridad agravarán el error.
Tómate las pruebas de penetración en serio
Las pruebas de penetración repercuten significativamente en el éxito de tu cumplimiento de la normativa. Una verdadera prueba de tu entorno de datos del titular de la tarjeta (CDE), como tus páginas de pago, mecanismos de autenticación y segmentación de red interna, puede sacar a la luz puntos vulnerables que el escaneo automatizado pasa por alto.
Asignar claramente la propiedad interna
El cumplimiento de la normativa PCI puede quedar en el olvido cuando se asume que alguien lo está gestionando, como el departamento de TI, tu director financiero o el encargado de configurar originalmente el sistema de pagos. Todos los requisitos se deben asignar a una persona designada.
Integrar la recopilación de pruebas en tus operaciones
Los asesores exigen pruebas. Es preciso contar con análisis de vulnerabilidad, registros de acceso, registros de cumplimiento en materia de formación y un historial de parches y poder recuperarlos. Incluir esa documentación en tus operaciones habituales es mucho menos doloroso que reconstruirla antes de una evaluación.
Cómo puede ayudarte Stripe Connect
Stripe Connect coordina el movimiento de dinero entre varias partes en plataformas de software y marketplaces. Además, ofrece procesos de activación rápidos, componentes integrados, pagos globales y mucho más.
Cómo puede ayudarte Connect:
Agilizar tu próximo lanzamiento: utiliza funciones alojadas por Stripe o perfectamente integradas para pasar a modo activo más rápido, evitar costes iniciales y minimizar y el tiempo de desarrollo que suele requerir la facilitación de pagos.
Gestionar pagos a gran escala: utiliza herramientas y servicios de Stripe para no tener que dedicar más recursos a generar informes de riesgo, de márgenes y formularios fiscales, integrar métodos de pago internacionales o garantizar el cumplimiento de la normativa en tus procesos de activación.
Crecer internacionalmente: ayuda a que tus usuarios lleguen a más clientes de todo el mundo con métodos de pago locales y herramientas para calcular fácilmente el IVA, el impuesto sobre las ventas y el impuesto sobre bienes y servicios.
Generar nuevas fuentes de ingresos: optimiza los ingresos que recibes por la facilitación de los pagos al aplicar una pequeña comisión a transacción. Monetiza las funcionalidades de Stripe haciendo posible que tus usuarios acepten pagos presenciales, realicen transferencias instantáneas, recauden automáticamente los impuestos sobre las ventas y puedan acceder a financiación, tarjetas de empresa y mucho más desde tu plataforma.
Obtén más información sobre Stripe Connect o empieza hoy mismo.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.