Narrative, SAT, UC, Scholarship, Descriptive essay examples

Reglas, regulaciones y leyes de procesamiento de tarjetas de crédito en 2020

Reglas, regulaciones y leyes de procesamiento de tarjetas de crédito en 2020
13 enero, 2021
Author:

Por Rob Binns | Escritor senior | 27 marzo, 2020

Leamos juntos la letra pequeña …

Aceptar pagos con tarjeta de crédito en su negocio abre muchas puertas. Al hacerlo, podrá beneficiarse de pagos más rápidos y seguros, un proceso de ventas más ágil y un mejor servicio al cliente. Incluso atraerá a toda una nueva generación de clientes cada vez más fóbicos al efectivo.

Así que prepárese para familiarizarse con las leyes de tarjetas de crédito que su empresa necesita conocer. Ya sea que sea nuevo en aceptar pagos con tarjeta de crédito o un veterano que solo busque repasar los conceptos básicos, nuestra guía es una ruta libre de estrés y sin jerga para completar el cumplimiento de las tarjetas de crédito . Desplácese para comenzar o sumérjase en la lista a continuación para ir directamente a una sección específica.

Lo que necesitas saber:

  • PCI DSS: protege los datos del titular de la tarjeta cuando se realiza un pago en línea
  • La Enmienda Durbin: cambió las tarifas que los comerciantes deben pagar en una transacción en línea
  • Mandato del IRS (Sección 6050W): Exige el informe de las ventas realizadas con una tarjeta de crédito o débito al IRS
  • PA-DSS: garantiza que los sistemas POS (punto de venta) del comerciante cumplan

Cumplimiento de PCI

Si ya ha pasado un poco de tiempo investigando diferentes proveedores de servicios comerciales, habrá visto aparecer muchas estas tres letras . ¿Pero, qué quieren decir?

PCI: los fundamentos

PCI es la abreviatura de ‘Industria de tarjetas de pago’. La PCI es responsable de administrar un conjunto estricto de reglas, conocidas como PCI DSS (Normas de seguridad de datos de la industria de tarjetas de pago) . Es un grupo de pautas de toda la industria dedicadas a prevenir el fraude.

PCI DSS fue creado por el Data Security Council, un organismo compuesto por las grandes marcas de tarjetas de crédito, incluidas Mastercard, Visa, American Express y Discover.

Las leyes de procesamiento de tarjetas de crédito PCI DSS ayudan a proteger los datos del titular de la tarjeta cuando se realiza una transacción, y todos los comerciantes, instituciones financieras, procesadores de pagos y proveedores de servicios comerciales son responsables de mantenerlos .

Esto se conoce como cumplimiento de PCI.

Sin embargo, el cumplimiento de PCI no solo protege a sus clientes, sino que también protegerá a su empresa de las violaciones de datos y lo ayudará a desviar el costo paralizante de las transacciones fraudulentas. Además, no cumplir con los estándares de PCI conlleva grandes multas, lo que significa que es mejor conocerlos lo antes posible.

Entonces, ¿cómo logra el cumplimiento?

Las multas por incumplimiento de PCI podrían costarle a su empresa hasta $ 100,000 por mes, y alrededor del 80% de las organizaciones aún no las cumplen. ¡No seas uno de ellos!

¿Cómo puede asegurarse de que su empresa cumpla con PCI?

La forma en que seguirá cumpliendo con PCI depende en gran medida del tipo de empresa que haya elegido para procesar sus pagos con tarjeta de crédito.

Las cuentas de comerciantes dedicadas (o tradicionales) establecidas con un banco o una empresa independiente pueden requerir que tome el cumplimiento de PCI en sus propias manos. Esto implica validar sus estándares de seguridad de datos actuales al completar un Cuestionario de autoevaluación ( SAQ ) .

El PCI tiene nueve formas diferentes. Cuál debe completar se basa en el volumen de transacciones y el método que utiliza para aceptar pagos con tarjeta de crédito. Es su trabajo averiguar (o contratar a alguien para averiguar) qué formulario es relevante para usted y asegurarse de que se complete anualmente.

Según la cantidad que esté procesando, se lo clasificará en uno de los cuatro ‘niveles’ de cumplimiento. Vamos a ver:

Los cuatro niveles de cumplimiento de PCI

PCI nivel 1

  • Para empresas que procesan más de seis millones de pagos al año
  • Más caro
  • Viene con costos de hardware y software, más las tarifas involucradas con la capacitación de un auditor interno

Requisitos de validación

  • Informe anual sobre cumplimiento (ROC) por un asesor de seguridad calificado (QSA) o auditor interno
  • Escaneo de red trimestral por un ASV
  • Formulario de atestación de cumplimiento

PCI nivel 2

  • Para empresas que procesan entre un millón y seis millones de pagos al año.

Requisitos de validación

  • Cuestionario de autoevaluación anual (SAQ)
  • Escaneo de red trimestral por ASV
  • Formulario de atestación de cumplimiento

PCI nivel 3

  • Para empresas que realizan entre 20.000 y un millón de pagos de comercio electrónico al año.

Requisitos de validación

  • SAQ anual
  • Escaneo de red trimestral por ASV
  • Formulario de atestación de cumplimiento

PCI nivel 4

  • Para empresas que procesan hasta 20.000 pagos al año a través del comercio electrónico …
  • … o hasta un millón de pagos a través de otros canales

Requisitos de validación

  • Se recomienda SAQ anual
  • Escaneo de red trimestral por ASV, si corresponde
  • Requisitos de validación de cumplimiento establecidos por el banco mercantil

PCI: el proceso de 3 pasos

También hay un montón de cosas más relacionadas con seguir cumpliendo.

La PCI tiene una lista de 12 estándares , desde el mapeo de sus flujos de datos y la implementación de firewalls, hasta el cifrado (y tokenización ) de la transmisión de información confidencial del titular de la tarjeta .

También es importante tener en cuenta que el cumplimiento de PCI es un proceso continuo; El cumplimiento no es algo que se realiza una sola vez, sino un ciclo constante de evaluación e informes .

El ‘Proceso de 3 pasos’ de PCI sirve como una buena guía para comenzar:

REMEDIAR: Corregir vulnerabilidades y eliminar el almacenamiento de datos de titulares de tarjetas a menos que sea absolutamente necesario.

INFORME: Recopilación y envío de informes requeridos al banco adquirente y las marcas de tarjetas correspondientes.

Básicamente, todo es muy complicado, especialmente para las pequeñas empresas que recién comienzan. Además, aunque PCI DSS establece estándares importantes para los comerciantes, no es necesariamente suficiente , es decir, no proporcionará la protección adecuada para todos los entornos de pago. hay una manera mas facil?

Sí hay. Es por eso que recomendamos optar por un proveedor de servicios de pago que sea completamente compatible con PCI .

Proveedores como Square, iZettle y Heartland Payment Systems le brindan una infraestructura de pagos que ya cumple con los estrictos estándares de PCI , lo que ayuda a aliviar la carga del cumplimiento. Claro, algunos proveedores de cuentas comerciales pueden cobrar por el privilegio de una solución compatible con PCI, pero confíe en nosotros, a la larga, vale la pena. ¡Y es mejor que una multa considerable!

Como dice el experto en PCI Mike Dahn de Stripe:

“Este enfoque proporciona a las empresas ágiles una forma de mitigar una posible filtración de datos y evitar el enfoque histórico emocional, lento y costoso de la validación de PCI”.

¿La línea de fondo? Asegúrese de comprender exactamente cuáles son sus obligaciones antes de firmar un contrato con un proveedor de servicios comerciales. Su proveedor de servicios de pago siempre debe poder explicarle qué elementos del cumplimiento de PCI manejan y qué (si es que necesita algo) usted debe hacer por su parte.

¿Cómo siguen las marcas de procesamiento de tarjetas de crédito en conformidad con PCI?

Antes de seleccionar una empresa de procesamiento de tarjetas de crédito, primero debe asegurarse de comprender exactamente qué responsabilidades de cumplimiento de PCI se le exigirán y qué maneja el proveedor.

Eche un vistazo a cómo tres proveedores de pagos en línea abordan el cumplimiento de PCI a continuación.

Cuadrado

Los lectores de tarjetas de Square están equipados con encriptación de extremo a extremo, mientras que Square maneja el cumplimiento de PCI para todo su software de manera continua. Square también se ocupa de los bancos y las instituciones de procesamiento de tarjetas de crédito en su nombre y defiende su negocio en caso de disputas. Lo que es más importante, las redes, las políticas y los procesos de Square se adhieren a las regulaciones PCI, lo que significa que las transacciones de su empresa siempre están cubiertas y sin costo adicional para usted.

Pago de salvia

Sage Pay tiene el nivel más alto de cumplimiento de PCI (Nivel 1). Si bien esto puede reducir sus propios requisitos de cumplimiento, eso no significa que Sage Pay se encargará de PCI por usted. Más bien, Sage Pay le recomienda que hable con su proveedor de cuenta de comerciante (también conocido como adquirente) para que lo refiera a un QSA. Como mínimo, deberá completar un SAQ para evaluar los requisitos de PCI de su propia empresa.

Helcim

Al igual que Square, la plataforma de Helcim es completamente compatible con PCI. No pagará tarifas de PCI y tampoco pagará nada por incumplimiento. Mejor aún, Helcim le permite generar su propio certificado de cumplimiento de PCI sin costo, ayudándolo a permanecer seguro y protegido a los ojos de la ley (procesamiento de tarjetas de crédito).

La Enmienda Durbin

La Enmienda Durbin , parte de la ley Dodd-Frank de 2010, redujo drásticamente la cantidad que las asociaciones de tarjetas podían cobrar legalmente por las tarifas de intercambio en las transacciones con tarjetas de débito.

La idea era reducir los costos del minorista y, en última instancia, reducir los costos también para el consumidor.

Las tarifas de intercambio, que promediaron alrededor de $ 0.44 por transacción , se redujeron más o menos a la mitad, con un tope de $ 0.22 + 5% por venta. Impresionante, ¿verdad?

Bueno no exactamente. Si bien redujo las tarifas, la Enmienda Durbin tuvo consecuencias no deseadas para las pequeñas empresas. Porque, mientras que la tasa de intercambio se redujo a la mitad, la tarifa de transacción fue más del doble . ¿El resultado? Los comerciantes con ventas promedio de $ 15 o menos en realidad terminaron pagando más tarifas de las que pagaban antes de que entrara en vigor la Enmienda Durbin.

Básicamente, lo que la Enmienda Durbin significa para los comerciantes es que realmente podrá ahorrar dinero si procesa muchas transacciones con tarjeta, o negocia principalmente con ventas de mayor valor. Para las empresas con un valor de transacción de tarjeta de débito promedio más bajo, puede terminar costándole más.

Lo que es bueno, sin embargo, es que la enmienda de Durbin no afectó a los bancos más pequeños y cooperativas de crédito , las cuales llegaron a eludir la pérdida de ingresos que se enfrentan los grandes bancos. Esto permitió a los bancos más pequeños mantener las tarifas bajas, ideal para nuevos comerciantes que buscan impulsar su negocio con bajas tasas de procesamiento de tarjetas de crédito.

Mandato del IRS (Sección 6050W)

No podríamos leer un artículo sobre reglas y regulaciones sin mencionar al IRS (Servicio de Impuestos Internos), ¿verdad?

No Y aquí es donde entra la Sección 6050W. Según el IRS …

En términos sencillos, esto significa que los comerciantes deben informar sus transacciones brutas anuales procesadas con una tarjeta de crédito, débito o de marca compartida a su proveedor de servicios comerciales.

Esto luego se transmite al IRS. Es como una declaración de impuestos, pero para comerciantes que aceptan pagos con tarjeta de crédito.

PA-DSS

Las PA-DSS (Normas de seguridad de datos de aplicaciones de pago) es otra ley de procesamiento de tarjetas de crédito que querrá conocer.

Es una regla que exige que cualquier equipo o terminal POS (punto de venta) debe cumplir con el conjunto de estándares de PCI.

Hay dos razones por las que las PA-DSS son una buena noticia para los comerciantes. En primer lugar, el equipo POS compatible con PA-DSS le ayuda a seguir cumpliendo con PCI . ¿Segundo? El cumplimiento de los estándares PA-DSS es responsabilidad exclusiva del proveedor de tecnología del sistema POS, no del comerciante.

Próximos pasos

Como muchas de las mejores cosas de la vida, el procesamiento de tarjetas de crédito viene con reglas, regulaciones y leyes. Pero no debería verlos como barreras para su negocio o como restricciones que lo arrastran hacia abajo. Más bien, están ahí para mantener su negocio y sus clientes seguros, para prevenir fraudes, tranquilizar a sus clientes y ayudarlo a evitar grandes multas.

También es importante recordar que las regulaciones y reglas de procesamiento de tarjetas de crédito no son solo una casilla para marcar, entonces ya está. No, los estafadores evolucionan constantemente, por lo que las leyes también deben hacerlo . Eso significa que deberá examinar sus propias prácticas de datos de titulares de tarjetas de forma continua, para asegurarse de que sus clientes lo están haciendo bien.

Hable con su proveedor de servicios de pago sobre los requisitos de PCI, si los hay, que se encuentran dentro del alcance de las responsabilidades de su empresa. Y nuevamente, si está en el proceso de elegir un proveedor de servicios comerciales, asegúrese de saber exactamente cómo se maneja el cumplimiento de PCI y cuáles serán los costos involucrados.

Jerga Buster

De acuerdo, nuestra guía no estaba completamente libre de jerga. No importa: encontrará todos los acrónimos más importantes (¡y más desconcertantes!) De la industria a continuación.

ASV (Proveedor de escaneo aprobado): una organización que valida los requisitos de DSS.

PA-QSA (Asesor de seguridad calificado de aplicación de pago): organizaciones calificadas por el Consejo para que sus empleados evalúen el cumplimiento.

PCI (Estándar de seguridad de datos de la industria de tarjetas de pago): ¡Mejor empezar de nuevo!

PFI (PCI Forensic Investigator): establece y luego mantiene reglas y requisitos relacionados con la elegibilidad de PCI.

QIR (Integradores y revendedores calificados): brindan la oportunidad a los profesionales elegibles de organizaciones calificadas de recibir capacitación y calificaciones sobre seguridad de instalación segura.

QSA (Qualified Security Assessor): empleados de una organización calificada por el Consejo.

SAQ (Cuestionario de autoevaluación): una lista de verificación proporcionada por el PCI Security Standards Council para validar su propio cumplimiento de los requisitos de PCI.

Rob escribe principalmente sobre la industria de pagos, pero también aporta conocimientos específicos de la industria sobre software CRM, monitoreo de redes sociales y financiamiento de facturas. Cuando no exaspera a su editor con malos juegos de palabras, se le puede encontrar relajándose en un rincón soleado, con una cerveza y una copia maltratada de Dostoievski.