dispositivo aprobado por PCI, ¿importa si mi POS es compatible con PCI si simplemente pasa información a la puerta de enlace y no almacena los datos de la tarjeta cifrada?

En el sitio web de estándares de seguridad PCI al que hizo referencia, puede encontrar este video que resume Point Para el cifrado de puntos (P2PE) para pequeñas empresas (suponiendo que usted sea una pequeña empresa).

Lo esencial del video es que debido a que P2PE cifra los datos confidenciales de la tarjeta y usted como comerciante no tiene acceso a ellos, sus sistemas están excluidos de los requisitos de protección de datos de la tarjeta durante una auditoría PCI-DSS. Más bien, la responsabilidad de proteger específicamente los datos del titular de la tarjeta pasa al proveedor de servicios P2PE. Depende del proveedor de servicios obtener su propia certificación de la solución P2PE que le proporcionan. Aparentemente, esto abstrae el costo y el esfuerzo de proteger los datos si usted es un comerciante.

Es tentador pensar que esto lo exime del cumplimiento de PCI-DSS, pero el video termina con la advertencia de que usted, como comerciante, todavía está sujeto a PCI-DSS. Esto se debe a que PCI-DSS es algo más que proteger solo los datos confidenciales de la tarjeta. También debe proteger el entorno en el que se lleva a cabo la transacción. Por ejemplo, es probable que vaya a fallar una auditoría de PCI-DSS si no usa contraseñas en sus sistemas de POS, ya que entonces cualquiera podría venir y subvertir la solución P2PE. O abra conexiones de red no seguras. O simplemente rompa la implementación de P2PE para denegar transacciones legítimas (un ataque DoS que también contraviene a PCI-DSS).

Tener una solución P2PE implementada en su POS significa que es más probable que usted, como comerciante, esté certificado como compatible con PCI-DSS porque estará exento de proteger los datos del titular de la tarjeta. Pero PCI-DSS no se trata solo de proteger los datos, se trata de proteger la transacción en sí misma y de todas las partes en la transacción.