¿Qué son los estándares de la industria de tarjetas de pago?
Los estándares de la industria de tarjetas de pago son los estándares que guían cómo las compañías de tarjetas de crédito y los comerciantes con los que hacen negocios manejan los datos de las tarjetas de crédito y procesan los pagos. Básicamente, cualquier estándar o mejor práctica que se siga ampliamente en la industria de las tarjetas de crédito podría llamarse estándares de la industria de tarjetas de pago. Sin embargo, la frase se usa con mayor frecuencia en relación con el Estándar universal de seguridad de datos de la industria de tarjetas de pago, también conocido como PCI DSS. El PCI DSS es un documento promovido por cinco grandes compañías de tarjetas de crédito que brinda orientación sobre cómo almacenar números y recibos de tarjetas de crédito, cómo proteger las redes de computadoras comerciales y cómo manejar el procesamiento de pagos externos, entre otras cosas. El cumplimiento de los estándares de la industria de tarjetas de pago establecidos en el PCI DSS es técnicamente voluntario, pero el incumplimiento a menudo tiene consecuencias negativas para las empresas y los propietarios de tiendas.
Las tarjetas de crédito se usan con frecuencia para pagar todo, desde compras grandes y únicas hasta necesidades cotidianas, como comestibles y gasolina. Cuando un cliente pasa una tarjeta de crédito, un sistema informático propiedad del comerciante lee la información de la tarjeta de crédito, luego transmite esa información a través de una conexión a Internet a la computadora central de la compañía de la tarjeta de crédito para la autenticación. Aunque esta transacción por lo general solo demora unos segundos, involucra mucha información altamente confidencial. Si esa información no está protegida adecuadamente, puede abrir tanto a los propietarios de tarjetas como a los comerciantes hasta el fraude. Los principales estándares de la industria de tarjetas de pago están diseñados para prevenir, o al menos reducir la probabilidad de ese fraude.
Aunque algunos países establecen estándares uniformes de seguridad de datos para las transacciones financieras, no todos lo hacen. Incluso las leyes que existen generalmente regulan ampliamente la industria financiera, un estándar mínimo que no se adapta a las necesidades de la industria de las tarjetas de crédito. Las amplias regulaciones de la industria de tarjetas de pago simplemente no existen. Si se adopta suficientemente, los estándares de la industria de tarjetas de pago pueden llenar este vacío.
Uno de los principales beneficios de los estándares de la industria de tarjetas de pago es que son creados para y por las compañías que más usan y tratan con tarjetas de crédito. Por su propia definición, las normas son voluntarias y ninguna ley obliga a las empresas a adoptarlas. Sin embargo, cuando suficientes empresas comienzan a implementar estándares de tarjetas de pago acordados, los estándares suelen ser universalmente esperados. Los estándares como el PCI DSS tienen como objetivo unificar las medidas de seguridad de las tarjetas de crédito en todo el mundo.
El PCI DSS fue redactado originalmente por un grupo conocido como PCI Security Standards Council. Ese consejo está compuesto por representantes de cinco de las compañías de tarjetas de crédito más grandes del mundo: American Express®, Discover®, JCB®, MasterCard® y Visa®. Junto con la redacción y actualización de los estándares, el consejo se esfuerza por mejorar los estándares generales de la industria de tarjetas de crédito y las regulaciones de la industria. El consejo educa a los sectores de privacidad y seguridad sobre la seguridad de los datos de las tarjetas de crédito en cumplimiento de este objetivo. También ofrece programas de capacitación y patrocina patrocinadores con el objetivo de ayudar a las empresas a cumplir.
Cada una de las compañías de tarjetas de crédito que tienen una participación en el PCI Security Standards Council requiere que los proveedores que aceptan sus tarjetas cumplan con los estándares de la industria de tarjetas de pago del consejo. Esto significa que los proveedores deben adoptar y monitorear cómo sus sistemas implementan las especificaciones de la industria de tarjetas de pago establecidas en los estándares si desean continuar aceptando tarjetas de crédito como pago. Las compañías de tarjetas de crédito generalmente auditan anualmente el cumplimiento de las grandes compañías. Las pequeñas empresas generalmente pueden autoinformar su cumplimiento. Si se descubre que un comerciante no cumple, las multas pueden variar desde multas hasta la revocación completa del servicio de la tarjeta de pago, dependiendo de la gravedad de la violación.