PCI DSS

PCI DSS


El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.
Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas. Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.
Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).

Requisitos

La versión actual de la normatividad (3.2)​ especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas "objetivos de control."
Los objetivos de control y sus requisitos son los siguientes:
  • Desarrollar y Mantener una Red Segura
    • Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
    • Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
  • Proteger los Datos de los propietarios de tarjetas.
    • Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
    • Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
  • Mantener un Programa de Gestión de Vulnerabilidades
    • Requisito 5: Usar y actualizar regularmente un software antivirus.
    • Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
  • Implementar Medidas sólidas de control de acceso
    • Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
    • Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.
    • Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.
  • Monitorizar y probar regularmente las redes
    • Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
    • Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
  • Mantener una Política de Seguridad de la Información
    • Requisito 12: Mantener una política que contemple la seguridad de la información.

Quiénes deben cumplir el estándar PCI-DSS?

En el mercado existe una creencia errónea en relación al cumplimiento de este estándar; se piensa que si la compañía es pequeña o realiza pocas ventas con tarjetas, no está en la obligación de cumplirlo. El consorcio PCI define claramente que no importa si la organización es grande o pequeña: independientemente de si vende productos o servicios, o si es una organización con o sin fines de lucro, mientras utilice este tipo de datos debe cumplir con el estándar. Hay información específica para pequeños comerciantes disponible.
Lo que sí cambiará dependiendo de la cantidad de transacciones anuales que la organización realice, es el modo en que su cumplimiento será auditado. Las compañías de tarjetas de pago han establecido cuatro niveles, cuyas definiciones varían levemente entre una y otra compañía. Pero en lo que todas coinciden es que aquellas organizaciones que procesen más de seis millones de transacciones anuales (Nivel 1 de la clasificación), deben ser auditadas por una empresa auditora habilitada por el consorcio PCI.
Estas empresas son conocidas como QSA (Qualified Security Assessors). Usualmente dentro del grupo de las empresas Nivel 1 encontramos supermercados, líneas aéreas, tiendas de retail y grandes tiendas de ventas online. Para conocer más precisiones sobre las definiciones de los distintos niveles, pueden visitar estos enlaces de VISA y de MASTERCARD con sus propias clasificaciones.
Sin embargo, la mayoría de las organizaciones, entre las cuales posiblemente se encuentre la suya, están alcanzadas por los Niveles 2, 3 y 4. La ventaja en estos casos es que éstas no son auditadas por un QSA, sino mediante un cuestionario de autoevaluación denominado SAC (Self-Assessment Questionaire). Este cuestionario contiene los 12 requerimientos y los subrequerimientos del estándar PCI para que la organización complete si cumple o no con cada uno de ellos.
De más está decir que debe responderse en función del nivel de cumplimiento real, ya que el SAC funciona como una Declaración Jurada de cara a las empresas de tarjetas de pago. Debe ser completado por la organización, firmado por el responsable de su cumplimiento y enviado a las empresas de tarjetas de pago. Este proceso suele hacerse anual o bi-anualmente dependiendo de la organización y del nivel al que pertenece.
Eventualmente las empresas de tarjetas pueden pedir evidencias de cumplimiento de los requerimientos, y en caso de que alguno de ellos no se cumpla, también pueden pedir que se proponga un plan para implementar la o las medidas de seguridad que le den cumplimiento. Incluso cuando por las características del negocio no es posible cumplir con un requerimiento PCI específico, es totalmente válido mitigar el riesgo asociado implementando controles compensatorios.
Un punto importante es que los requerimientos planteados en el estándar están alineados con otros Frameworks de Seguridad, como por ejemplo ISO 27001. Y al igual que en el caso de ISO 27001, el cumplimiento del estándar no depende solamente de las áreas de sistemas y tecnología, sino de toda la organización, especialmente de los máximos directivos. Las áreas de IT o sistemas tienen la responsabilidad de implementar y mantener las medidas o controles de seguridad.
Además, no dejan de ser en muchos casos, implementaciones tecnológicas del sentido común. Probablemente usted no dejaría anotado en un papel sobre un escritorio, los datos de las tarjetas de pago de sus clientes. Almacenar esos mismos datos en una aplicación o archivo excel sin el nivel de seguridad adecuado, es el equivalente tecnológico a dejar el papel en el escritorio.
Lo que vale la pena remarcar en estos casos es que las organizaciones no necesariamente deben incurrir en altos costos para cumplir con el estándar. No es mandatorio que las empresas contraten una consultora externa para dar cumplimiento al estándar, aunque a veces se gana en salud mental y al final termina siendo más rápido y económico. Con perseverancia, conocimiento de la organización, análisis y trabajo, la propia organización puede avanzar por su cuenta y cumplir con los requerimientos.
Referencia.
pci hispano. (2016). https://www.pcihispano.com/pci-hispano-publica-las-versiones-en-excel-de-pci-dss-v3-2-en-ingles-y-espanol/. 2019, de pci hispano Sitio web: https://www.pcihispano.com/pci-hispano-publica-las-versiones-en-excel-de-pci-dss-v3-2-en-ingles-y-espanol/

Comentarios

Publicar un comentario

Entradas más populares de este blog

ITAF

Imagen
por Palomino Flores Uriel Funciones El Marco de Garantía de la Tecnología de la Información (ITAF, por sus siglas en inglés), publicado por ISACA, es un modelo integral y de establecimiento de buenas prácticas que: Proporciona orientación sobre el diseño, la realización y la presentación de informes de las tareas de auditoría y aseguramiento de TI Define términos y conceptos específicos para el aseguramiento de TI; Establece estándares que abordan las funciones y responsabilidades profesionales de auditoría y aseguramiento de TI; conocimientos y habilidades; y diligencia, conducta y requisitos de información. ITAF proporciona una fuente única a través de la cual los profesionales de auditoria y aseguramiento de TI pueden buscar orientación, investigar políticas y procedimientos, obtener programas de auditoria y aseguramiento y desarrollar informes efectivos. Si bien ITAF incorpora los estándares y la guía de ISACA existentes, se ha diseñado para ser un documento vivo....
Leer más

MOF

Imagen
Definición El Manual de Organización y Funciones (MOF) es un documento técnico normativo de gestión institucional donde se describe y establece la función básica, las funciones específicas, las relaciones de autoridad, dependencia y coordinación, así cómo los requisitos de los cargos o puestos de trabajo.  Utilidad   Determina las funciones específicas de los cargos o puestos de trabajo, cuyo cumplimiento contribuye a lograr que se cumplan los objetivos funcionales de las unidades orgánicas de cada dependencia, así como las responsabilidades y obligaciones asignadas al cargo o puesto de trabajo, en concordancia con el marco legal y normativo correspondiente.   Proporciona información a los directivos y personal sobre sus funciones y ubicación en la estructura orgánica de la entidad.   Ayuda a la simplificación administrativa, proporcionando información sobre las funciones que les corresponde desempeñar al personal, al ocupar los cargos o puestos de tr...
Leer más

SABSA

Imagen
SABSA es un marco de seguridad impulsado por el negocio para empresas que se basa en el riesgo y las oportunidades asociadas con él. SABSA no ofrece ningún control específico y se basa en otros, como la Organización Internacional para la Estandarización (ISO) o los procesos COBIT. Es puramente una metodología para asegurar la alineación del negocio y un marco de "vida útil": se aplica a lo largo de todo el ciclo de vida, desde la ingeniería de requisitos empresariales hasta la gestión de las soluciones entregadas. La metodología SABSA tiene seis capas (cinco horizontales y una vertical). Cada capa tiene un propósito y vista diferente. La capa contextual está en la parte superior e incluye los requisitos y objetivos del negocio. La segunda capa es la capa conceptual, que es la vista de arquitectura. La figura 1 muestra las seis capas de este marco. SABSA se compone de una serie de marcos, modelos, métodos y procesos integrados, que se utilizan de forma ...
Leer más