X
Ir directamente al contenido
Español
Contacta con nosotros
  • No hay sugerencias porque el campo de búsqueda está vacío.

¿Es obligatorio por ley cumplir con la normativa PCI?

TL;DR

El cumplimiento de la normativa PCI no es técnicamente una ley, pero sí es un requisito legal a través de tu acuerdo comercial con las empresas de tarjetas de crédito y los procesadores de pagos. En otras palabras, si tu empresa acepta tarjetas de crédito, estás contractualmente obligado a cumplir con la norma PCI DSS. El incumplimiento puede dar como resultado multas, responsabilidades legales y daños a la reputación.

Comprender el cumplimiento de PCI

PCI DSS son las siglas de Payment Card Industry Data Security Standard, o simplemente PCI. Se trata de un conjunto de reglas y requisitos diseñados para proteger la información de las tarjetas de crédito durante las transacciones. En términos simples, PCI DSS es un marco de seguridad que las empresas que manejan datos de tarjetas de pago deben seguir para proteger la información confidencial contra piratas informáticos y el acceso no autorizado de los empleados.

Importante: Seguir la normativa PCI DSS ayuda a prevenir filtraciones de datos, proteger a tus clientes y mantener seguros tus sistemas de pago.

El propósito del cumplimiento de la normativa PCI es proteger los datos de los titulares de las tarjetas y reducir el riesgo de fraude y robo de identidad. Demuestra que tu empresa toma en serio la protección de datos, ayudándote a mantener la confianza de tus clientes y a evitar las repercusiones financieras y legales de una violación de seguridad.

¿El cumplimiento de la normativa PCI es un requisito legal?

Técnicamente, ninguna ley federal ni estatal de Estados Unidos exige explícitamente el cumplimiento de la normativa PCI. Sin embargo, Visa, Mastercard, American Express, Discover y JCB lo requieren contractualmente a través de sus acuerdos con los bancos adquirentes y procesadores de pagos.

Esto significa que, cuando aceptas pagos con tarjeta de crédito, estás legalmente obligado por contrato a cumplir con la normativa PCI DSS. 

En la práctica, el incumplimiento puede tener graves consecuencias legales, ya que infringe tu acuerdo comercial y te expone a responsabilidades en caso de que ocurra una filtración de datos.

Implicaciones regulatorias del incumplimiento

Aunque PCI DSS en sí misma no es una legislación, muchas leyes estadounidenses de protección de datos y privacidad del consumidor, como la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés), la Ley SHIELD de Nueva York y varias leyes estatales de notificación de violaciones de seguridad, exigen que las empresas tomen medidas razonables para proteger la información personal.

El incumplimiento de las normas PCI DSS podría considerarse negligencia o incumplimiento de los estándares del sector, lo que puede aumentar tu exposición legal en caso de una violación de datos.

Consecuencias del incumplimiento

1. Posibles sanciones y multas

Las redes de tarjetas pueden imponer multas que van desde 5,000 hasta 100,000 dólares mensuales a los bancos adquirentes por los comerciantes que no cumplan con la normativa. Estos costos suelen trasladarse al comerciante.

En casos graves, también podrías enfrentar comisiones por transacción más elevadas, la suspensión de la cuenta o incluso la terminación de tu capacidad de procesar pagos con tarjeta.

2. Impacto en la reputación empresarial

Una sola filtración de datos puede tener consecuencias devastadoras para la reputación de tu empresa. Los consumidores pueden perder la confianza, las ventas pueden disminuir y la recuperación del incidente puede tardar años, especialmente para las pequeñas empresas que no cuentan con equipos de seguridad especializados.

3. Acciones legales y demandas

Si se produce una infracción debido al incumplimiento de la normativa PCI, puedes ser considerado responsable de cargos fraudulentos, enfrentar demandas de los clientes afectados y ser responsable de los costos de auditorías forenses y notificación, según las leyes estatales sobre filtración de datos. El impacto legal y financiero puede superar fácilmente el costo de mantener el cumplimiento.

Pasos para lograr el cumplimiento de la normativa PCI

Para cumplir con la normativa PCI, las empresas deben satisfacer 12 requisitos fundamentales que se agrupan en seis objetivos principales:

  • Construir y mantener una red segura.
  • Proteger los datos de los titulares de tarjetas. 
  • Mantener un programa de gestión de vulnerabilidades. 
  • Aplicar medidas sólidas de control de acceso.
  • Supervisar y probar las redes regularmente. 
  • Mantener una política de seguridad de la información.

Is pci compliance legally required SP