PCI

PCI DSS Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS, es un estándar internacional desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council).

Sirve como guía para la implementación de políticas y controles de seguridad con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.

A las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta).

Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas, ​ Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.

No necesariamente, la certificación es exigida a compañías que tengan ciertas características, como montos de transacciones mensuales, si almacenan datos de tarjeta habientes, entre otras. Por otra parte, si bien es cierto que no necesariamente todas las organizaciones deben certificarsen de tener alguna relación comercial con un proveedor o cliente que es certificado PCI, deberán cumplir ciertos controles aplicables según la categorización de su comercio.

Cada una de las marcas de pago asociadas al PCI SSC (Visa, MasterCard, American Express, Discover y JCB) catalogan a sus comercios (merchants) y proveedores de servicio (service providers) de acuerdo con la cantidad de transacciones anuales procesadas con sus tarjetas. Para ello, se han definido 4 niveles de cumplimiento (Nivel 1 hasta Nivel 4), en donde cada marca de pago establece específicamente el umbral de transacciones en cada nivel, pudiendo variar dependiendo de la región geográfica en donde opere la organización.

La norma maneja aproximadamente 369 controles, agrupados en 12 apéndices, dependiendo de las características de la organización aplican ciertos controles, dichos controles se ven reflejados en los SAQs o cuestionario de Auto-evaluación o SAQ (Self-Assessment Questionnaire). Este documento no es más que un subconjunto de controles de PCI DSS aplicados a un escenario específico.

Desarrollar y Mantener una Red Segura

Requisito 1: Instalar y mantener una configuración de firewalls para proteger los datos de los propietarios de tarjetas.

Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.

Proteger los Datos de los propietarios de tarjetas.

Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.

Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.

Mantener un Programa de Gestión de Vulnerabilidades

Requisito 5: Usar y actualizar regularmente un software antivirus.

Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

Implementar Medidas sólidas de control de acceso

Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.

Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.

Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.

Monitorizar y probar regularmente las redes

Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.

Requisito 11: Probar regularmente los sistemas y procesos de seguridad.

Mantener una Política de Seguridad de la Información

Requisito 12: Mantener una política que contemple la seguridad de la información

los SAQs o cuestionario de Auto-evaluación o SAQ (Self-Assessment Questionnaire). Es un documento con  un subconjunto de controles de PCI DSS aplicados a un escenario específico.

El SAQ está compuesto por dos documentos principales:

1. Un formulario con los controles que aplican al entorno.
2. Una declaración de cumplimiento que contiene una serie de preguntas en donde se justifica la elección del SAQ rellenado, se describe el entorno de cumplimiento y se certifica la ejecución de la autoevaluación.

Existen 9 tipos de SAQ:

SAQ A: El SAQ A ha sido desarrollado para gestionar los requerimientos aplicables a comercios que han delegado todas las funciones relacionadas con tarjetas de pago en un tercero validado en PCI DSS, de tal forma que el comercio en mención únicamente almacena reportes o recibos en papel con datos de tarjetas.

SAQ A-EP: ha sido desarrollado para gestionar los requerimientos aplicables a organizaciones que utilizan comercio electrónico como canal de pagos y cuyo sitio web no recibe datos de tarjetas de pago, pero puede afectar la seguridad de la transacción y/o de la integridad de la página que acepta los datos de tarjeta de pago provenientes del cliente.

El SAQ A-EP aplica a aquellos comercios que han delegado de forma parcial su canal de pago vía comercio electrónico a un tercero certificado en PCI DSS y que no almacena de forma electrónica, procesa o transmite ningún dato de tarjeta de pago en sus sistemas o instalaciones.

SAQ B: El SAQ B ha sido desarrollado para gestionar los requerimientos aplicables a comercios que procesan datos tarjetas de pago únicamente por medio de máquinas impresoras o terminales independientes con discado externo. Pueden ser comercios que procesen transacciones presenciales o pagos por teléfono o correo (tarjeta no presente) y que no almacenan datos de tarjetas de pago en ningún sistema informático.

SAQ B-IP: ha sido desarrollado para gestionar los requerimientos aplicables a comercios que procesan datos tarjetas de pago únicamente por medio de dispositivos de punto de interacción (point-of-interaction (POI)) aprobados por PCI PTS y con una conexión IP a un procesador de pagos. Pueden ser comercios que procesen transacciones presenciales o pagos por teléfono o correo (tarjeta no presente) y que no almacenan datos de tarjetas de pago en ningún sistema informático.

SAQ C: El SAQ C ha sido desarrollado para gestionar los requerimientos aplicables a comercios cuya aplicación de pago (por ejemplo, un sistema de punto de venta) está conectada a Internet (por ejemplo, a través de DSL, cable módem, etc).

SAQ C-VT: El SAQ C-VT ha sido desarrollado para gestionar los requerimientos aplicables a comercios quienes procesan datos de tarjetas de pago únicamente a través de una terminal de pago virtual aislada en un ordenador personal conectado a Internet. Aquellos comercios que reporten su cumplimiento a través de este SAQ deben ingresar manualmente una transacción a la vez empleando un teclado y una terminal virtual de pago conectada a Internet. Pueden ser comercios que procesen transacciones presenciales o pagos por teléfono o correo (tarjeta no presente) y que no almacenan datos de tarjetas de pago en ningún sistema informático.

 SAQ D – Merchant: EL SAQ D para comercios (merchant) aplica a todos aquellos comercios elegibles que no concuerdan con ninguno de los criterios de elección descritos en los anteriores tipos de SAQ. Algunos ejemplos de entornos de comercios que pueden utilizar el SAQ D son: Empresas que usan canales de comercio electrónico que aceptan datos de tarjetas de pago en su propio sitio web, Comercios que almacenan de forma electrónica datos de tarjetas de pago.

SAQ D – Service Provider: El SAQ D para proveedores de servicio aplica a todos aquellos proveedores de servicio definidos por las marcas de pago como elegibles para reportar su cumplimiento empleando un SAQ.

SAQ P2PE-HW: El SAQ P2PE HW aplica a todos aquellos comercios que están empleando terminales de pago de hardware incluidas y gestionadas por un proveedor certificado P2PE, sin almacenamiento electrónico de datos de tarjetas de pago.

Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).normas pensadas en facilitar a las organizaciones la protección proactiva y competente de los datos de sus clientes, básicamente estas normas muestran los requisitos, políticas, procedimientos y arquitectura de redes, entre otras, como protección de datos, gestionar las vulnerabilidades, implementar medidas solidas de seguridad y otras que facilitan la comprensión fundamental de las medidas de protección.

Algunas empresas con el objetivo de ganar clientes en masa, ofrecen acceso a una plataforma web, Con la cual indican dar cumplimiento  a PCI, realmente estas herramientas, lo que buscan es que el comercio pueda identificar claramente el autocuestionario y adicionar una capa donde se otorga escaneos asv trimestrales durante un año.

Hack-Inn.com a diferencia analiza los resultados del diligenciamiento del cuestionario, con el objetivo de entregar recomendaciones puntuales para dar cumplimiento a las no conformidades, bien sea por buenas prácticas o en busca de certificación, apoyando de ser el caso el proceso continuo desde la construcción, revisión o implementación de políticas y controles hasta el acompañamiento el dia de la auditoría, ofreciendo además en su portafolio de servicios las pruebas técnicas necesarias como son: Pruebas de ethical Hacking, Análisis de Código, pruebas de segmentación, Capacitaciones en desarrollo seguro de software, Capacitaciones en seguridad de la información, entre otras.