Introducción a PCI DSS

La normativa PCI DSS es de carácter internacional y hace referencia a la  seguridad para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjeta o datos sensibles de autentificación.

Esta normativa establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Por tanto, se aplica a toda organización que acepte o procese tarjetas de pago.

El cumplimiento de la normativa PCI implica 3 aspectos importantes:

1. Manejar la recepción de los datos de tarjetas de crédito de los consumidores, es decir, reunir y transmitir los datos sensibles de las tarjetas de manera segura
2. Guardar los datos de manera segura, según se describe en los dominios de seguridad de la normativa PCI, por ejemplo, mediante cifrado, vigilancia continua y verificación de la seguridad del acceso a los datos de tarjeta
3. Validar anualmente que funcionen los controles de seguridad necesarios, lo que puede implicar formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros.

Foco en el manejo de los datos de tarjeta

Algunos modelos comerciales exigen el manejo directo de los datos sensibles de tarjetas de crédito al aceptar los pagos, mientras que otros no. Es posible que a las empresas que sí necesitan manejar los datos (p. ej., porque aceptan números de cuentas primarias sin un token en una página de pago) se les solicite que cumplan cada uno de los más de 300 controles de seguridad estipulados en la normativa PCI. Aun cuando los datos de las tarjetas pasen por su servidor brevemente, la empresa deberá comprar, instalar y mantener software y hardware de seguridad.

Si una empresa no necesita manejar los datos sensibles de tarjetas de crédito, no debe hacerlo. Hay soluciones de terceros (p. ej., Stripe Elements) que aceptan y almacenan los datos de manera segura, con lo que se evitan todas las complicaciones, los costes y los riesgos. Debido a que los datos de las tarjetas nunca entran en contacto con sus servidores, estas empresas solo necesitan confirmar 22 controles de seguridad, la mayoría de los cuales son muy simples como, por ejemplo, el uso de una contraseña segura.

Es clave mantener un almacenamiento seguro de los datos

Si una organización maneja o almacena datos de tarjetas de crédito, debe definir el alcance del entorno de datos del titular de la tarjeta (CDE). La normativa PCI define el CDE como las personas, los procesos y las tecnologías que sirven para almacenar, procesar o transmitir datos de tarjetas de crédito, o cualquier sistema relacionado con esto. Debido a que al CDE se le aplican todos los requisitos de seguridad de la normativa PCI, que son más de 300, es importante segmentar bien el entorno de pago del resto de la empresa para limitar el alcance de la validación conforme a esta normativa. Si una organización no puede contener el alcance del CDE con una segmentación pormenorizada, los controles de seguridad conforme a la normativa PCI deben aplicarse a todo sistema, ordenador portátil o dispositivo que esté en su red corporativa. ¡Impresionante!

Una Validación anual para mantener la certificación.

Independientemente de cómo se acepten los datos de tarjeta, las organizaciones deben completar un formulario de validación conforme a la normativa PCI todos los años. La forma como se valide el cumplimiento de la normativa PCI depende de varios factores, que se describen abajo. A continuación, se presentan 3 casos por los que se le podría pedir a una organización que demuestre que cumple con la normativa PCI:

Los procesadores de pagos pueden solicitarlo como parte de su proceso obligatorio de notificación a las marcas de tarjetas de pago.
Los socios comerciales pueden solicitarlo como un requisito previo a la firma de un acuerdo comercial.
En caso de empresas que usan una plataforma (aquellas cuya tecnología facilita las transacciones en línea de varios subconjuntos de usuarios), los clientes pueden solicitarlo para demostrarle a su clientela que manejan los datos de manera segura.

El último conjunto de normas de seguridad, PCI DSS versión 3.2.1, incluye 12 requisitos principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.

Un poco de contexto

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.

Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas1​ Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.

Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).