PCI DSS

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 31 de marzo de 2020; las comprobaciones requieren 16 ediciones .

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) (del inglés "pago estándar de seguridad de la industria de tarjetas") es un estándar de seguridad de datos de tarjetas de pago establecido por los sistemas de pago internacionales Visa , MasterCard , American Express , JCB y Discover . [1] Los estándares de seguridad PCI están diseñados para proteger los datos de pago a lo largo del ciclo de vida de un pago y para proporcionar soluciones tecnológicas que devalúan esos datos y, por lo tanto, disuaden a los delincuentes de robarlos. [2]

Acerca del estándar de seguridad de datos de la industria de tarjetas de pago

El cumplimiento de los requisitos de PCI DSS implica un enfoque integral para garantizar la seguridad de la información de los datos de las tarjetas de pago. [3] Los operadores de sistemas de pago establecen la necesidad de cumplir con PCI DSS como parte de sus propios programas de seguridad.

Por ejemplo:

• MasterCard tiene  protección de datos del sitio ( SDP );
• Visa en los EE . UU  . tiene seguridad de la información del titular de la tarjeta ( CISP );
• Visa en Europa tiene  seguridad de la información de la cuenta ( AIS ).

Todas las organizaciones que almacenan, transfieren o procesan datos de tarjetas de estos sistemas de pago deben cumplir con los requisitos de PCI DSS. Además, los sistemas de pago establecen reglas para confirmar el cumplimiento de PCI DSS. [3]

Los sistemas de pago nacionales (locales) también pueden especificar el requisito de cumplimiento de PCI DSS en sus programas de seguridad y establecer requisitos para el esquema de confirmación de cumplimiento. Por ejemplo, en el sistema de pago " Mir ", la necesidad de cumplir con PCI DSS se define en el Estándar del PS "Mir" "Programa de seguridad". [4] El programa también define los niveles organizativos y los requisitos de presentación de informes.

Desde septiembre de 2006, el estándar ha sido introducido por el sistema de pago internacional Visa en la región CEMEA ( Europa Central y Oriental , Medio Oriente y África ) como obligatorio, respectivamente, su efecto también se aplica a Rusia . Por lo tanto, los proveedores de servicios ( centros de procesamiento , pasarelas de pago , proveedores de Internet ) que trabajan directamente con VisaNet deben someterse a un procedimiento de auditoría para el cumplimiento de los requisitos de la norma.

Desde 2012, la certificación es obligatoria para todas las organizaciones que trabajan con tarjetas bancarias. [5]

Declaración de cumplimiento de PCI DSS

Los diferentes sistemas de pago internacionales tienen diferentes requisitos para el proceso de verificación del cumplimiento de los requisitos de PCI DSS.

Por lo general, los esquemas de confirmación varían para las organizaciones según la cantidad de transacciones con tarjeta que se procesen. A cada organización se le asigna un cierto nivel con un conjunto correspondiente de requisitos que deben cumplir. Como parte de los requisitos de los sistemas de pago, se proporcionan auditorías anuales de las organizaciones para el cumplimiento de PCI DSS o autoevaluación.

Los siguientes métodos están disponibles para verificar el cumplimiento de los requisitos de PCI DSS:

• auditoría QSA externa ( ing. ) realizada por una empresa PCI QSA en las instalaciones de la organización auditada;
• autoevaluación realizada por la propia organización con la cumplimentación de una hoja de autoevaluación ( SAQ ).

El método de verificación de conformidad, o la combinación de métodos, se selecciona según el nivel del comerciante o proveedor de servicios.

Niveles de comercio y empresas de servicios

Una empresa de comercio y servicios (TSE) es una organización que acepta tarjetas de pago como pago por bienes o servicios vendidos. Ejemplos de empresas comerciales y de servicios son tiendas, restaurantes, hoteles y tiendas en línea.

Según la clasificación de Visa:

Nivel 1:

• Comerciantes que procesan más de 6 millones de transacciones al año.

Requisitos para la evaluación de la conformidad:

• una auditoría anual realizada por el auditor QSA en las instalaciones de la organización;
• escaneo ASV trimestral.

Nivel 2:

• Comerciantes que procesan de 1 a 6 millones de transacciones por año.

Requisitos para la evaluación de la conformidad:

• autoevaluación anual con la cumplimentación de un cuestionario (SAQ);
• escaneo ASV trimestral.

Nivel 3:

• Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año utilizando herramientas de comercio electrónico .

Requisitos para la evaluación de la conformidad:

• autoevaluación anual con la cumplimentación de un cuestionario (SAQ);
• escaneo ASV trimestral.

Nivel 4:

• Comerciantes que procesan hasta 20 000 transacciones por año utilizando herramientas de comercio electrónico, así como otros comerciantes que procesan hasta 1 millón de transacciones por año.

Requisitos para la evaluación de la conformidad:

• se recomienda una autoevaluación anual del cumplimiento de la cumplimentación de un cuestionario;
• se recomienda una exploración ASV trimestral;
• Los requisitos son determinados por el banco adquirente.

Según la clasificación de MasterCard:

Nivel 1:

• Comerciantes que procesan más de 6 millones de transacciones al año.
• Comerciantes a través de cuyos sistemas se comprometieron los datos del titular de la tarjeta;
• Comerciantes clasificados por el sistema de pago internacional Visa como Nivel 1;
• Comerciantes clasificados directamente por el sistema de pago internacional MasterCard como Nivel 1.

Requisitos para la evaluación de la conformidad:

• una auditoría anual realizada por el auditor QSA en las instalaciones de la organización;
• escaneo ASV trimestral.

Nivel 2:

• Comerciantes que procesan de 1 a 6 millones de transacciones por año;
• Comerciantes clasificados por el sistema de pago internacional Visa al 2do nivel.

Requisitos para la evaluación de la conformidad:

• una auditoría anual realizada por el auditor QSA en las instalaciones de la organización;
• escaneo ASV trimestral.

Nivel 3:

• Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año utilizando herramientas de comercio electrónico.
• Comerciantes clasificados por el sistema de pago internacional Visa al 3er nivel.

Requisitos para la evaluación de la conformidad:

• autoevaluación anual con la cumplimentación de un cuestionario (SAQ);
• escaneo ASV trimestral.

Nivel 4:

• Todos los demás TSP

Requisitos para la evaluación de la conformidad:

• se recomienda una autoevaluación anual del cumplimiento de la cumplimentación de un cuestionario;
• se recomienda una exploración ASV trimestral;
• Los requisitos son determinados por el banco adquirente.

Niveles de proveedores de servicios

Los proveedores de servicios son organizaciones que brindan diversos servicios, principalmente en el campo de la tecnología de la información , a comerciantes, bancos adquirentes y emisores, y directamente a los sistemas de pago internacionales. Al mismo tiempo, la organización, el proveedor de servicios, obtiene acceso a los datos sobre los titulares de tarjetas. Ejemplos de proveedores de servicios son los centros de procesamiento , las pasarelas de pago, los centros de datos, la tokenización y los proveedores de servicios de cifrado punto a punto ( P2PE ).

Según la clasificación de Visa:

Nivel 1:

• Todos los centros de procesamiento conectados a VisaNet;
• Proveedores de servicios que procesan, almacenan o transmiten más de 300.000 transacciones al año.

Requisitos para la evaluación de la conformidad:

• una auditoría anual realizada por el auditor QSA en las instalaciones de la organización;
• escaneo ASV trimestral.

Nivel 2:

• Proveedores de servicios que procesan, almacenan o transmiten menos de 300.000 transacciones al año.

Requisitos para la evaluación de la conformidad:

• autoevaluación anual con la cumplimentación de un cuestionario (SAQ);
• escaneo ASV trimestral.

Según la clasificación de MasterCard:

Nivel 1:

• Todos los centros de procesamiento
• Proveedores de servicios que procesan, almacenan o transmiten más de 300.000 transacciones al año.
• Todos los centros de procesamiento y proveedores de servicios a través de cuyos sistemas se comprometieron los datos del titular de la tarjeta.

Requisitos de certificación:

• una auditoría anual realizada por el auditor QSA en las instalaciones de la organización;
• escaneo ASV trimestral.

Nivel 2:

• Proveedores de servicios que procesan, almacenan o transmiten menos de 300.000 transacciones al año.

Requisitos para la evaluación de la conformidad:

• autoevaluación anual con la cumplimentación de un cuestionario (SAQ);
• escaneo ASV trimestral.

Empresas auditoras PCI QSA

Como se desprende de la clasificación, la certificación en los niveles más altos debe ser realizada por una empresa auditora con estatus de Qualified Security Assessor (PCI QSA). Para otros niveles, la participación de QSA no es un requisito obligatorio. Sin embargo, QSA puede proporcionar servicios de consultoría para cualquier nivel de evaluación de la conformidad. .

Empresas Auditoras PCI PA-QSA

Existe un estándar de seguridad PCI DSS relacionado para las aplicaciones de pago - Aplicación de pago de la industria de tarjetas de pago - Estándar de seguridad de datos (PCI PA-DSS). Los fabricantes de software involucrados en el procesamiento de transacciones de pago deben certificar las aplicaciones según el estándar PA-DSS. De acuerdo con los requisitos de los sistemas de pago internacionales Visa y MasterCard, todos los comerciantes y proveedores de servicios, a partir del 1 de julio  de 2012, deben utilizar únicamente aplicaciones de pago certificadas según el estándar PA-DSS. El control del cumplimiento de este requisito se asigna a los bancos adquirentes. La certificación de aplicaciones de pago bajo el estándar PA-DSS puede ser realizada por empresas con estatus PCI PA-QSA .

Requisitos PCI DSS

PCI DSS define las siguientes seis áreas de control y 12 requisitos básicos de seguridad.

Construcción y mantenimiento de una red segura

• Requisito 1: instalar y mantener firewalls para proteger los datos del titular de la tarjeta.
• Requisito 2: no uso de contraseñas del sistema predeterminadas por el fabricante y otras configuraciones de seguridad.

Protección de los datos del titular de la tarjeta

• Requisito 3: Garantizar que los datos del titular de la tarjeta estén protegidos durante el almacenamiento.
• Requisito 4: Cifrado de datos de titulares de tarjetas en tránsito a través de redes públicas.

Apoyo al programa de gestión de vulnerabilidades

• Requisito 5: Usar y actualizar regularmente el software antivirus .
• Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros.

Implementación de medidas estrictas de control de acceso

• Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según sea necesario.
• Requisito 8: Asignar un identificador único a cada persona que tenga acceso a la infraestructura de información.
• Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.

Supervisión y pruebas periódicas de la red

• Requisito 10: Controlar y rastrear todos los accesos a los recursos de la red y los datos del titular de la tarjeta.
• Requisito 11: Pruebas periódicas de los sistemas y procesos de seguridad.

Soporte de políticas de seguridad de la información

• Requisito 12: Desarrollar, mantener y hacer cumplir una política de seguridad de la información.

Versiones del estándar PCI DSS

El PCI SSC Council sigue un ciclo de actualización estándar de tres años. El primer año es la introducción del estándar en la industria, el segundo año es la recopilación de opiniones en forma de comentarios y deseos de los participantes en la industria de las tarjetas de pago, el tercer año es la preparación de una nueva versión del estándar . Las conferencias PCI SSC Community Meeting se llevan a cabo entre las etapas, que consisten en sesiones americanas y europeas. Durante las conferencias, las organizaciones participantes, los sistemas de pago internacionales, los consultores y los QSA, así como los comerciantes y los proveedores de servicios debaten sobre el futuro de la norma y los documentos relacionados.

Historial de cambios estándar:

• 1.0 es la versión original del estándar.
• 1.1 - adoptado en septiembre de 2006 .
• 1.2 - adoptado en octubre de 2008 .
• 1.2.1, edición menor - adoptada en julio de 2009 ; contiene cambios técnicos menores.
• 2.0 - adoptada en octubre de 2010 .
• 3.0 - adoptada en noviembre de 2013 .
• 3.1 - adoptado en abril de 2015 .
• 3.2 - adoptado en abril de 2016. Derogado el 31 de diciembre de 2018.
• 3.2.1 - adoptado en 2018.
• 4.0 - adoptada en marzo de 2022. [6] La versión actual de PCI DSS, v3.2.1 será válida hasta el 31 de marzo de 2024.

Notas

1. ↑ ¿Qué es PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago)? - Definición de WhatIs.com  (inglés) . BuscarSeguridad . Fecha de acceso: 16 de septiembre de 2022.
2. ↑ Estándares  _  _ . Consejo de Normas de Seguridad PCI . Fecha de acceso: 16 de septiembre de 2022.  (indefinido)
3. ↑ 1 2 ¿ Preguntas   frecuentes ? . Consejo de Normas de Seguridad PCI . Fecha de acceso: 16 de septiembre de 2022.  (indefinido)
4. ↑ Programa de seguridad . (Ruso)
5. ↑ Estándar PCI DSS: qué es, requisitos, cómo obtener un certificado . itglobal.com . Fecha de acceso: 16 de septiembre de 2022. (Ruso)
6. ↑ Asegurar el futuro de los pagos: PCI SSC publica PCI Data Security Standard   v4.0 ? . Consejo de Normas de Seguridad PCI . Fecha de acceso: 16 de septiembre de 2022.  (indefinido)

Enlaces

• Consejo  de Normas de Seguridad PCI .
• Comunidad profesional PCI DSS .
• Capacitación trimestral de PCI DSS .