PCI DSS y la tercerización, qué deben verificar los compradores de EE. UU.

Si un proceso toca datos de tarjetahabientes, aplica PCI DSS, y tercerizarlo no quita la obligación de su plato. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago fija los requisitos para manejar datos de tarjeta, y cualquier socio que los procese, almacene o transmita en su nombre tiene que cumplirlos. Esto es lo que conviene verificar antes de firmar.

Este artículo es orientación general, no asesoría legal ni de cumplimiento. Confirme sus obligaciones específicas con un evaluador calificado.

Qué cubre PCI DSS

PCI DSS es el estándar de seguridad que aplica a las organizaciones que manejan datos de tarjetas de pago. Cubre cómo se almacenan, procesan y transmiten los datos de tarjeta, cómo se controla el acceso a ellos, y cómo se aseguran y monitorean los sistemas que los tocan. Cuando terceriza trabajo que involucra datos de tarjeta, el estándar alcanza al socio que hace ese trabajo.

La responsabilidad no se transfiere

Este es el punto que más se les escapa a los compradores. Tercerizar el trabajo no terceriza la responsabilidad. Si su socio maneja mal los datos de tarjeta, la exposición sigue siendo suya. Por eso el estándar espera que gestione a sus proveedores de servicio, no solo que confíe en ellos. Usted sigue siendo responsable de los datos aun cuando otro los esté manejando.

Qué verificar antes de firmar

Pida a cualquier socio potencial evidencia, no garantías. Confirme el alcance de su cumplimiento de PCI DSS y que cubre el trabajo que le va a entregar. Pida documentación actual de su estado de cumplimiento. Entienda exactamente de qué requisitos se hacen responsables ellos y cuáles quedan en usted, porque la línea entre ambos tiene que ser explícita y acordada.

Pregunte cómo controlan el acceso a los datos de tarjeta, cómo segmentan y aseguran los sistemas que los tocan, y cómo le notificarían un incidente. Un socio listo para este trabajo responderá con claridad y producirá la documentación. Un socio que desestima las preguntas le está diciendo algo.

Responsabilidad compartida, por escrito

En cualquier acuerdo tercerizado, algunos requisitos de PCI DSS recaen en usted, algunos en el socio, y el reparto tiene que estar documentado. Una matriz de responsabilidades clara, acordada por escrito, evita la brecha peligrosa donde cada parte asume que la otra tiene un control cubierto. Ponga esto en papel antes de que empiece el trabajo, no después de un incidente.

Manténgalo vigente

El cumplimiento de PCI DSS no es un certificado de una sola vez. Tiene que mantenerse, y el estándar mismo evoluciona. Incorpore una revisión periódica a la relación para que el cumplimiento del socio siga vigente y su documentación refleje cómo corre el trabajo de verdad hoy.

Manejado bien, tercerizar trabajo cercano a los pagos es rutinario. El error es tratar el cumplimiento como problema solo del socio. Verifíquelo por adelantado, ponga por escrito quién es responsable de qué, y manténgalo vigente, y conserva la protección que el estándar existe para dar.