Si sus sistemas tienen visibilidad de los datos confidenciales de la cuenta, su negligencia podría ser responsable de cualquier incumplimiento o fraude. Entonces, simplemente recolectando los datos, usted se expone a estos riesgos.
Estos riesgos se magnifican si los datos confidenciales se almacenan de forma duradera "en reposo" bajo su custodia, ya sea en los servidores que usted controla o en un proveedor con el que contrata, en lugar de simplemente pasar por sus sistemas "en tránsito".
Hay muchos servicios que almacenarán datos para usted, pero no asumirán ninguna responsabilidad de custodia, especialmente en la forma intensificada que implica el almacenamiento de datos confidenciales. La custodia permanece contigo.
Entonces, debido a que sus sistemas tienen visibilidad, el riesgo permanece con usted y no puede esperar transferir ese riesgo a otro proveedor. Por lo tanto, no habrá servicios que funcionen exactamente de la manera deseada en el espacio de ACH.
Los servicios, como Stripe, recopilan la información de pago del cliente y luego la utilizan para solicitar transferencias de dinero de las cuentas del cliente a su cuenta. Puede utilizar estos servicios de forma segura con un riesgo mínimo porque nunca ve los datos confidenciales de la cuenta. La raya asume el riesgo, a cambio de tomar un recorte del 2-3%.
Las reglas en este ámbito son mucho más claras en el dominio de las tarjetas de crédito, donde PCI ha desarrollado a lo largo de los años un grado de sofisticación relativamente alto para clasificar a las organizaciones participantes, desarrollar roles y estándares, crear un ecosistema de auditoría y cumplimiento, y gestionar el cumplimiento. . No es perfecto, y el fraude con las tarjetas de crédito ocurre todos los días, pero se administra y los requisitos y consecuencias son mucho más claros.
El sistema ACH, cuya contraparte de PCI es NACHA, es mucho más antiguo y posiblemente menos organizado que el sistema de tarjetas de crédito. La maquinaria es mucho menos madura. Los riesgos que surgen de la falta de madurez se compensan con el ritmo con el que funciona el sistema ACH, en el que el tiempo mínimo de transacción es en días en lugar de los segundos que se pueden lograr en el sistema de tarjetas de crédito. Pero NACHA aún espera que los facturadores que utilizan ACH deben tener pruebas claras tanto de la identidad del cliente que inicia el pago como de su consentimiento para cualquier transacción en particular. Estas responsabilidades comienzan con las partes que recopilan esta información.