Los propietarios de pequeñas y medianas empresas hacen tantos malabares que los delitos informáticos y cumplir con las normas PCI es la última de sus preocupaciones. Después de todo, usted no tiene un gran volumen de información confidencial de tarjetas de crédito, ¿a que no? Con tantos peces gordos en el mar, ¿por qué un ladrón cibernético iba a molestar en robar datos de tarjetas de crédito de un pececito?

Por eso, cumplir las PCI DSS no está entre sus prioridades más altas, ¿no?

Está equivocado.

Es fácil que las PYMES se dejen llevar por la complacencia cuando se trata de cumplir con las PCI. Y por esa razón, muchas lo hacen.

PYMES: el objetivo preferido de los ataques cibernéticos

Precisamente por esa actitud relajada hacia la seguridad de la información, las PYMES son los objetivos preferidos para el robo de datos. De acuerdo con Trustwave (en inglés), el 71 % de los ataques cibernéticos los sufren negocios de menos de 100 empleados.

El 80 % de esas empresas tiene que cerrar en 18 meses a causa de las repercusiones de esos ataques.

Esas estadísticas nefastas son una de las muchas razones por las que el PCI Council ha establecido los requisitos de la PCI-DSS, para todos y cada uno de los comerciantes que aceptan o procesan pagos con tarjeta.

Según el PCI Council, las PYMES tienen que mantener un entorno seguro con arreglo a las estipulaciones del nivel 4: “Cualquier comerciante que procese menos de 20 000 transacciones de Visa e-commerce al año y todos los demás comerciantes, independientemente del canal de acogida, que procesen hasta un millón de transacciones con Visa al año”. No importa si su negocio va a procesar 20 000 pagos con tarjeta al año o uno solo, se va a considerar que tiene tanta responsabilidad como cualquier gran corporación.

El riesgo de filtrado es mucho mayor de lo que piensa

Cumplir con las normas PCI, y mantenerlo, puede resultar un proceso confuso y bastante abrumador. Esa es otra de las razones por las que muchos pequeños comercios prefieren sostener que no lo necesitan. Algunos, tras evaluar la ratio coste/beneficio de la conformidad, optan por asumir el riesto, especialmente los que tienen un bajo volumen de operaciones con tarjeta.

Pero el riesgo de un filtrado es muy alto, sin mencionar los costes y las repercusiones. Si sufre una filtracion de datos, no será el único afectado:

• Su banco adquiriente se enfrentará a multas del PCI de su marca de tarjetas. ¿Sabe quién va a pagar por todo, junto con las tarifas extraordinarias? Usted.

• Tendrá que contratar a un investigador forense para analizar con exactitud cómo y qué se ha filtrado.

• Lo más probable es que pierda a los clientes cuyos datos hayan sido robados.

• Puede enfrentarse a procesos legales de los clientes afectados.

• Tendrá que gastar tiempo y dinero en intentar recuperar su buen nombre: y eso pasará por cumplir con las normas PCI.

• También puede ocurrir que vea suspendida la aceptación de cobro con tarjeta.

Esperamos que en este punto usted ya se haya dado cuenta de que nadie puede ser tan cauteloso. Y aunque haya muchas bolas en su juego de malabares, esta no va a ser una de ellas.

Lea nuestro siguiente artículo, en el que ofrecemos unas directrices para cumplir con las normas PCI.