Todo lo que necesita saber sobre PCI (Payment Card Industry Security Standards) y no se atrevía a preguntar

El otro día un integrador de tecnología me preguntaba muy preocupado que cuándo se le vencía el plazo para certificarse en PCI para poder seguir vendiendo productos de TI a entidades financieras. Me quedé consternada, pensando en que probablemente no hay suficiente claridad respecto al objetivo del estándar PCI y respecto a quiénes son sujetos de su cumplimiento. Valió la pena platicarle que los plazos ya han vencido, y ahora más bien se trata de un cumplimiento permanente con revisiones periódicas. El cumplimiento lo exigen las entidades emisoras de las tarjetas de crédito (VISA, Master Card, AMEX), y no el Consejo de PCI (PCI Council).

Así que pensé que sería un buen ejercicio condensar los fundamentos de PCI. Comencemos con un poco de historia:

En 2006, un grupo de cinco entidades financieras, preocupado por el alto índice de fraudes con tarjetas, se reunió para crear un programa de seguridad de datos y fundaron un consejo denominado PCI Security Standards Council. Este grupo está conformado por American Express, Discover Financial Services, JCB International, MasterCard y VISA aunque posteriormente muchas otras organizaciones se han sumado a los esfuerzos para mejorar los estándares y vigilar su cumplimiento.

Así nació el estándar PCI-DSS que significa Payment Card Industry – Data Security Standard y consiste de una serie de normas de seguridad que exigen 12 requerimientos de seguridad agrupados en 6 categorías.

¿Cuáles son los principios que busca proteger?:

Construir y mantener redes seguras.
Proteger la información del tarjetahabiente.
Contar con programas de pruebas de vulnerabilidades
Implementar controles de acceso robustos.
Monitorear y probar acceso a la red regularmente.
Mantener políticas de seguridad de la información.

¿A quiénes se les aplica?

El criterio para determinar si el establecimiento (“merchant”) debe cumplir con PCI es muy sencillo: Deberán hacerlo siempre que transmitan, procesen o almacenen datos de tarjetas de crédito. Por lo general, estos establecimientos caen en comercios minoristas, bancos, e-commerce y proveedores de servicio de estos mismos.

EJEMPLO 1: ¿Esto significa que aunque yo no sea un banco pero sí proceso datos de tarjetas porque doy servicios en outsourcing a un banco, debo cumplir? La respuesta es afirmativa; la única diferencia es que la revisión para determinar el cumplimiento de un tercero (outsourcing) se realizará como parte de la evaluación integral a tu cliente (Banco).

EJEMPLO 2: ¿Si soy un establecimiento pequeño con un volumen bajo, puedo estar exento? No, ya que cualquier entidad que procese datos de tarjetas de crédito debe cumplir. Para facilitar el cumplimiento a estas entidades pequeñas, existe la posibilidad de hacer una auto-evaluación (Self-Assessment).

EJEMPLO 3: ¿Esto significa que si le vendo infraestructura de TI a un establecimiento debo cumplir con PCI? No, mientras no proceses información de tarjetas de crédito. Si la infraestructura que le vendiste al establecimiento se usa para procesar tarjetas, tu cliente es el responsable de pasar por el proceso de cumplimiento de dicha infraestructura.

¿Quién es quién?

Un punto importante que no se debe perder de vista y que habíamos mencionado previamente es que quien exige el cumplimiento de PCI a los establecimientos afiliados a tarjetas de crédito es la entidad financiera (ej. VISA), y no el PCI Council, que es sólo un organismo regulador.

Para facilidad en la vigilancia y apoyo en el cumplimiento del estándar, el PCI Council creó diferentes figuras de manera que los establecimientos obtengan la ayuda adecuada de los expertos en seguridad que les orienten y evalúen el cumplimiento, como sigue:

QSA (Qualified Security Assessor).- Este tipo de entidad es un externo que está calificado por el PCI Council para realizar evaluaciones de cumplimiento del estándar. Para ello pasa a su vez por un proceso de certificación.

ASV (Approved Scanning Vendor).- Este tipo de entidad es un externo que está calificado para validar el apego al estándar PCI DSS realizando escaneos de vulnerabilidades de ambientes de cara a Internet, de establecimientos y proveedores de servicios (como parte del Requisito 11, ver sección de requisitos).

PA-QSA (Payment Application-Qualified Security Assessor).- El estándar PA-DSS aplica a los fabricantes de software y otros componentes que desarrollan aplicaciones que almacenen, procesen o transmitan datos del tarjetahabiente o de la tarjeta. El PA-QSA es el tipo de entidad externo que está calificado para certificar el cumplimiento del fabricante del PA-DSS.

¿Qué servicios existen alrededor de PCI?

Como proveedor de seguridad de la información, existen varios caminos para apoyar a la industria en el cumplimiento del estándar PCI:

Certificarse en alguna de las figuras mencionadas, con un foco especial.
Proporcionar servicios relacionados con los controles que solicita el estándar.

En cualquiera de estos esquemas, el valor que un proveedor de SI puede ofrecer es su experiencia y visión en la mitigación de riesgos y en la protección de datos sensibles.

¿Cuáles son los requisitos específicos que se deben cumplir para PCI?

A continuación se listan brevemente los requisitos:

Instalar y mantener una configuración de firewall para proteger los datos de las tarjetas.
No usar contraseñas y otros parámetros de seguridad como vienen de fábrica (valores por omisión).
Proteger los datos del titular de la tarjeta que fueron almacenados.
Cifrar la transmisión de los datos de las tarjetas a través de redes públicas.
Utilizar un software antivirus y actualizarlo regularmente.
Desarrollar y mantener sistemas y aplicaciones seguras.
Restringir el acceso a los datos de las tarjetas conforme a la necesidad de la empresa (need-to-know).
Asignar nombres de usuario únicos a cada persona que tenga acceso al sistema.
Limitar el acceso físico a los lugares donde se almacenen datos de las tarjetas.
Rastrear y supervisar los accesos a los recursos de red y los datos de los titulares de las tarjetas.
Probar los sistemas y procesos de seguridad regularmente.
Mantener una política que aborde la seguridad de la información.

Para cada uno de estos requisitos, existe una gama de servicios e infraestructura de apoyo al establecimiento, orientados a la seguridad de su operación sensible, y por ende al cumplimiento del estándar.

Se recomienda consultar la página oficial de PCI y en particular el FAQ. El Council recibe preguntas en el sitio, relacionadas con situaciones particulares de un establecimiento y que el criterio general no lo haya resuelto y que no se encuentren en el FAQ: https://www.pcisecuritystandards.org/

[email protected]

Por Priscila Balcazar. CISA, CISSP y CGEIT|2019-02-18T08:35:25-06:00julio 8th, 2010|Categorías: 0-5, Opinión, Opinión 0-5|Etiquetas: administración de riesgos, ASV, estándares, PA-QSA, PCI, pruebas de penetración, QSA, vulnerabilidades|

57 Comentarios

8 consejos para mejorar la seguridad en tu tienda online 23/08/2018 en 3:11 AM

[…] titulares de las tarjetas. Por eso, todas las tiendas online deben cumplir con la norma PCI DSS (Payment Card Industry – Data Security Standards) de forma […]
Edmundo Gonzalez 22/03/2021 en 6:58 PM

Buenas tardes, tengo una duda, si yo en donde trabajo me encargo de hacer el fondeo de las tarjetas Corporativas de caja chica y el pago de las tarjetas de AMEX, ¿el proceso de certificación aplica cuando estan enviando dinero a esas tarjetas o bien pagando el los consumos en el caso de las AMEX? Aclaro, yo no estoy cobrando. Estoy enviando recursos a esas tarjetas.
Héctor Acevedo Juárez. CISSP, CISA, CGEIT, ITIL y MCSE 23/03/2021 en 7:19 PM

Hola Edmundo

Antes que nada, muchas gracias por escribirnos.

Si entiendo bien, te refieres al proceso para hacer el pago mensual o total de lo consumido en las tarjetas de tu empresa, vía un portal bancario o pagando directamente con efectivo ¿Cierto? Si es así, efectivamente NO es necesario que tu empresa obtenga la certificación PCI.

Saludos
Carpe Diem
Hector 08/07/2021 en 9:10 AM

Buenos días Héctor,

Tengo una duda, si mi negocio esta certificado para PCI y cada año evalúan a mis proveedores ya que si hay un convenio directo porque involucran DTH, pero tengo un proveedor que utiliza una app de uno de sus proveedores para la cobranza y al final solo me manda la referencia de pago para que lo aplique en mi sistema, ¿este proveedor estaría dentro de mi alcance?
Héctor Acevedo Juárez. CISSP, CISA, CGEIT, ITIL y MCSE 13/07/2021 en 10:47 AM

Buenos días tocayo.

Andrea Sierra, colaboradora nuestra nos ayuda con esta respuesta a tu pregunta:

Para poder identificar si el proveedor de la aplicación de cobranza entra en el alcance de PCI, primero necesitas investigar qué tipo de información utiliza (PAN, nombre del titular de la tarjeta, fecha de vencimiento, código de servicio, contenido completo de la pista, CAV2/CVC2/CVV2/CID o PIN/bloqueo de PIN) y si dicha información es transmitida, procesada o almacenada en la aplicación.

Posteriormente necesitas identificar en qué parte del flujo transaccional de tu servicio participa y cómo interactúa con los servicios, sistemas o aplicaciones que te ofrece el proveedor directo dentro del alcance de PCI. De identificarse que la aplicación almacena, procesa o transmite datos del titular de la tarjeta o datos confidenciales de autenticación, tu proveedor directo es responsable de evaluar y proporcionarte un servicio con cumplimiento PCI. Es él quien debería de asegurarte que su servicio y proveedores cumplen con PCI, y debe encontrarse declarado en su AOC, ROC o SAQ.

En resumen, cualquier proveedor directo tuyo que subcontrate servicios con un tercero para interactuar con tus aplicaciones, es responsable del cumplimiento de PCI, ya que tú estás contratando un servicio integral.

Saludos
Carpe diem
Carlos Cano 26/10/2021 en 12:22 PM

Hola Héctor, excelente día. antes que nada felicidades por tu excelente explicación. Podrías ayudarme con las siguientes preguntas por favor.

Me interesa certificarme como QSA pero desconozco:
¿Requisitos para la certificación?
¿Tiempos para su obtención y preparación?
¿Proveedores acreditados por el PCI? Para mediante ellos obtener mi certificación como QSA
¿Costos aproximados?
Héctor Acevedo Juárez. CISSP, CISA, CGEIT, ITIL y MCSE 26/10/2021 en 8:44 PM

Buenas noches Carlos.

Me alegro que te haya servido el artículo. Para resolver tus dudas, creo que lo mejor es que te remitas a la página oficial del tema, que está en https://www.pcisecuritystandards.org/program_training_and_qualification/qsa_certification

Saludos
Carpe diem

Deja tu comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.