El otro día un integrador de tecnología me preguntaba muy preocupado que cuándo se le vencía el plazo para certificarse en PCI para poder seguir vendiendo productos de TI a entidades financieras. Me quedé consternada, pensando en que probablemente no hay suficiente claridad respecto al objetivo del estándar PCI y respecto a quiénes son sujetos de su cumplimiento. Valió la pena platicarle que los plazos ya han vencido, y ahora más bien se trata de un cumplimiento permanente con revisiones periódicas. El cumplimiento lo exigen las entidades emisoras de las tarjetas de crédito (VISA, Master Card, AMEX), y no el Consejo de PCI (PCI Council).
Así que pensé que sería un buen ejercicio condensar los fundamentos de PCI. Comencemos con un poco de historia:
En 2006, un grupo de cinco entidades financieras, preocupado por el alto índice de fraudes con tarjetas, se reunió para crear un programa de seguridad de datos y fundaron un consejo denominado PCI Security Standards Council. Este grupo está conformado por American Express, Discover Financial Services, JCB International, MasterCard y VISA aunque posteriormente muchas otras organizaciones se han sumado a los esfuerzos para mejorar los estándares y vigilar su cumplimiento.
Así nació el estándar PCI-DSS que significa Payment Card Industry – Data Security Standard y consiste de una serie de normas de seguridad que exigen 12 requerimientos de seguridad agrupados en 6 categorías.
¿Cuáles son los principios que busca proteger?:
- Construir y mantener redes seguras.
- Proteger la información del tarjetahabiente.
- Contar con programas de pruebas de vulnerabilidades
- Implementar controles de acceso robustos.
- Monitorear y probar acceso a la red regularmente.
- Mantener políticas de seguridad de la información.
¿A quiénes se les aplica?
El criterio para determinar si el establecimiento (“merchant”) debe cumplir con PCI es muy sencillo: Deberán hacerlo siempre que transmitan, procesen o almacenen datos de tarjetas de crédito. Por lo general, estos establecimientos caen en comercios minoristas, bancos, e-commerce y proveedores de servicio de estos mismos.
EJEMPLO 1: ¿Esto significa que aunque yo no sea un banco pero sí proceso datos de tarjetas porque doy servicios en outsourcing a un banco, debo cumplir? La respuesta es afirmativa; la única diferencia es que la revisión para determinar el cumplimiento de un tercero (outsourcing) se realizará como parte de la evaluación integral a tu cliente (Banco).
EJEMPLO 2: ¿Si soy un establecimiento pequeño con un volumen bajo, puedo estar exento? No, ya que cualquier entidad que procese datos de tarjetas de crédito debe cumplir. Para facilitar el cumplimiento a estas entidades pequeñas, existe la posibilidad de hacer una auto-evaluación (Self-Assessment).
EJEMPLO 3: ¿Esto significa que si le vendo infraestructura de TI a un establecimiento debo cumplir con PCI? No, mientras no proceses información de tarjetas de crédito. Si la infraestructura que le vendiste al establecimiento se usa para procesar tarjetas, tu cliente es el responsable de pasar por el proceso de cumplimiento de dicha infraestructura.
¿Quién es quién?
Un punto importante que no se debe perder de vista y que habíamos mencionado previamente es que quien exige el cumplimiento de PCI a los establecimientos afiliados a tarjetas de crédito es la entidad financiera (ej. VISA), y no el PCI Council, que es sólo un organismo regulador.
Para facilidad en la vigilancia y apoyo en el cumplimiento del estándar, el PCI Council creó diferentes figuras de manera que los establecimientos obtengan la ayuda adecuada de los expertos en seguridad que les orienten y evalúen el cumplimiento, como sigue:
QSA (Qualified Security Assessor).- Este tipo de entidad es un externo que está calificado por el PCI Council para realizar evaluaciones de cumplimiento del estándar. Para ello pasa a su vez por un proceso de certificación.
ASV (Approved Scanning Vendor).- Este tipo de entidad es un externo que está calificado para validar el apego al estándar PCI DSS realizando escaneos de vulnerabilidades de ambientes de cara a Internet, de establecimientos y proveedores de servicios (como parte del Requisito 11, ver sección de requisitos).
PA-QSA (Payment Application-Qualified Security Assessor).- El estándar PA-DSS aplica a los fabricantes de software y otros componentes que desarrollan aplicaciones que almacenen, procesen o transmitan datos del tarjetahabiente o de la tarjeta. El PA-QSA es el tipo de entidad externo que está calificado para certificar el cumplimiento del fabricante del PA-DSS.
¿Qué servicios existen alrededor de PCI?
Como proveedor de seguridad de la información, existen varios caminos para apoyar a la industria en el cumplimiento del estándar PCI:
- Certificarse en alguna de las figuras mencionadas, con un foco especial.
- Proporcionar servicios relacionados con los controles que solicita el estándar.
En cualquiera de estos esquemas, el valor que un proveedor de SI puede ofrecer es su experiencia y visión en la mitigación de riesgos y en la protección de datos sensibles.
¿Cuáles son los requisitos específicos que se deben cumplir para PCI?
A continuación se listan brevemente los requisitos:
- Instalar y mantener una configuración de firewall para proteger los datos de las tarjetas.
- No usar contraseñas y otros parámetros de seguridad como vienen de fábrica (valores por omisión).
- Proteger los datos del titular de la tarjeta que fueron almacenados.
- Cifrar la transmisión de los datos de las tarjetas a través de redes públicas.
- Utilizar un software antivirus y actualizarlo regularmente.
- Desarrollar y mantener sistemas y aplicaciones seguras.
- Restringir el acceso a los datos de las tarjetas conforme a la necesidad de la empresa (need-to-know).
- Asignar nombres de usuario únicos a cada persona que tenga acceso al sistema.
- Limitar el acceso físico a los lugares donde se almacenen datos de las tarjetas.
- Rastrear y supervisar los accesos a los recursos de red y los datos de los titulares de las tarjetas.
- Probar los sistemas y procesos de seguridad regularmente.
- Mantener una política que aborde la seguridad de la información.
Para cada uno de estos requisitos, existe una gama de servicios e infraestructura de apoyo al establecimiento, orientados a la seguridad de su operación sensible, y por ende al cumplimiento del estándar.
Se recomienda consultar la página oficial de PCI y en particular el FAQ. El Council recibe preguntas en el sitio, relacionadas con situaciones particulares de un establecimiento y que el criterio general no lo haya resuelto y que no se encuentren en el FAQ: https://www.pcisecuritystandards.org/
A pesar del tiempo en el que fue publicado, el resumen que nos diste Priscila es vigente aún. La verdad mejor no se pudo haber resumido.
La pregunta ahora es…. ¿PCI no se certifica verdad? Por lo que entendí solo se es o no compliant dependiendo del resultado que el QSA determine luego del assessment. Es decir, uno será PCI compliant una vez tenga CERO no conformidades.
Agradezco sus comentarios y felicitaciones por el articulo!
Estimado Kenneth,
qué gusto que el artículo sea de tu interés. En efecto, tu apreciación es correcta, una empresa es o no compliant, sin embargo no es como tal una certificación.
Seguimos pendiente de los comentarios y Saludos,
Hola Priscila, buenas tardes, me podrías orientar en cómo cumplir con PCI, hemos desarrollado una aplicación móvil para poder hacer pagos con tarjetas de crédito y débito usando un lector de tarjetas conectado al móvil, nosotros transmitiremos los datos de la tarjeta para que un banco realicé el cargo.
Según entiendo seriamos una parte más a evaluar por parte del banco para que cumpla con el PCI.
Podríamos ayudarme a aclarar el tema por favor?
Agradezco de antemano tu apoyo y atención.
Saludos.
Qué tal Carlos
Efectivamente, tu negocio es una parte en la cadena de uso de la tarjeta de crédito de clientes finales, por lo tanto les aplica el cumplimiento de PCI.
Es posible que en algún momento los bancos o VISA o Mastercard, te solicitarán una evaluación para valorar el nivel de cumplimiento de los 12 controles de seguridad. Hasta donde entiendo, en México no existe un calendario, simplemente hay que estar preparados.
Lo que les recomiendo es entrar a la página de PCI, y accesar a la sección de Autoevaluación/Self Assessment, para que por lo pronto ustedes mismos evalúen qué tan lejos estarían. Derivado de los resultados, habría que valorar en qué tienen que implementar mejoras.
https://www.pcisecuritystandards.org/
Quedamos a tus órdenes
Saludos
Priscila valiosa información que en un breve extracto llama a la comprensión, por favor acláreme unas dudas respecto a PCI DSS en «comercios». Existe una tabla que clasifica en uno de los 4 niveles a los comercios según el número de transacciones y dichas tablas las publican Visa y Mastercard, no he encontrado información de los otros miembros de PCIS SSC, ¿o utilizan las mismas tablas?
Adicional en el caso de las entidades bancarias que en su mayoría son adquirientes, emisores y operadores, ¿el proceso de certificación contempla tareas por separado por cada categoría?, ¿cómo se suele manejar el proceso de certificación en estos casos?
Agradezco su importante respuesta y atención
Hola Nelly
Gracias por tu interés.
Las tablas de clasificación de los comercios son una referencia, y dado que Visa y Mastercard son entidades pilares del estándar, los miembros y todos los sujetos del estándar se adhieren a estas referencias.
Respecto a la segunda pregunta, el proceso de certificación no tiene diferentes actividades por cada categoría, aún en entidades bancarias, sólo que dependiendo de la complejidad de las operaciones y la magnitud de la infraestructura/aplicativos que soporten las tarjetas de crédito, se realizan pruebas con una mayor profundidad y alcance para poder determinar dónde harían falta controles.
Estamos a tus órdenes.
Buenas tardes,
Muchas gracias por su resumen , me ha resultado de mucha utilidad. Tengo una duda al respecto, si yo dispongo de un sitio web donde si almaceno datos de número de tarjeta pero no los utilizo para nada. ¿Aplica en este caso? Los almaceno por requerimientos del banco.
Saludos y gracias.
Hola Eugene, que bueno que fue de utilidad.
Respecto a tu pregunta, te comento que de acuerdo con la regulación, esos datos que almacenas si son susceptibles de protección a través de los controles que indica PCI. Ahora, de manera practica te comento que si ya no los utilizas sin duda el camino mas seguro es su eliminación.
Espero esta respuesta te sea útil
Saludos
Hola Piriscila
De mucha utilidad su post se le agradece mucho. Actualmente tengo Ecommerce utilizando TPV proporcionada por los mismos Bancos que son Visa y Master Card, la captura de la tarjeta, el proceso de la transacción ocurre en el portal de los bancos y me devuelven una confirmación ya sea exitosa o no.
¿En este caso soy susceptible a PCI?
Saludos
Estimado José Luis,
Qué bueno que ha sido de utilidad el artículo.
Por lo que entiendo, los clientes capturan los datos de su tarjeta de crédito en el portal, y el banco le envía a ustedes la autorización de pago. ¿Correcto? Siendo así, no son susceptibles de protección bajo el estándar PCI, ya que ustedes nunca ven, ni procesan, ni almacenan información de tarjeta de crédito.
Si es otro el contexto, le agradezco más información para precisar la respuesta.
Saludos!!
Buenos días Priscila
Le agradezco mucho el tiempo que se toma para poder responderme, como menciona la captura de datos de la tarjeta ocurre en el portal de los bancos y también el proceso de autorización; estos a su vez me envían un código de autorización. Ese número de autorización sí lo almacenamos en mi base de datos.
¿Cómo puedo demostrar o probar que la estructura que tengo no es susceptible a PCI?, para que mis clientes estén tranquilos.
Saludos Cordiales
José Luis
Estimado José Luis
El enunciado de PCI es muy claro en su alcance, aplica a quienes «ven» los datos de TDC y tu infraestructura nunca ve los datos, solo la autorización. Si algún cliente te solicita una explicación, considero que con un diagrama donde muestres el portal del banco y cómo viaja únicamente la autorización hacia tu punto de venta o a tu app, será suficiente, muy gráfico.
Lo que si debes tener en cuenta es que si tienes otros datos de tus clientes como nombre, domicilio, correo, etcétera, debes cumplir con la LFPDPPP y debes tener el aviso de privacidad a la vista en tu portal y establecimiento, asegurándote que proteges sus datos, ya sea cifrando o con otros controles.
Espero te sea útil, y estamos a tus órdenes.
Estimada Priscila, me permito consultarte con la finalidad de que me compartas por lo menos 3 empresas que tu recomiendes, que me puedan ofrecer los Software’s de Punto de Venta y Web Service para aplicar pagos en línea sin tener que dejar datos del tarjeta habiente en nuestras bases de datos, únicamente usar los datos para realizar el pago.
Quedo en espera de tus comentarios y te felicito por tu Blog.
Hola Priscila,
Felicidades por el Blog.
Tengo dos dudas que quizás me puedas resolver:
– Somos una empresa que estamos desarrollando una pasarela de pago/TPV virtual…Si se almacena solamente el BIN (los 6 primeros dígitos del número de la tarjeta, no el PAN completo) y el nombre del titular, ¿es necesario pasar PCI DSS?
– Para certificar un TPV contactless, ¿cuál es el procedimiento para lograr la certificación PCI PTS como dispositivo validado?
Muchas gracias por su atención.
¡Saludos!
Jesús
Estimado Jesús:
Gracias por escribirnos y por tu interés en el tema.
Respecto a tu primer pregunta, estrictamente por almacenamiento tu sistema no sería sujeto de cumplimiento PCI, sin embargo, supongo que en algún punto del proceso tienes acceso a los datos completos, es ahí donde habría que revisar los controles. Te recomendamos bajar el Self assessment questionnarie, donde tocarás estos puntos para identificar si debes estar en cumplimiento.
Aquí la liga:
https://es.pcisecuritystandards.org/security_standards/documents.php?category=saqs
Respecto a tu segunda pregunta, en el sitio de PCI publican los dispositivos que ya están aprobados. Son más de 500 marcas/modelos, ahí puedes verificar el que tengas si es que compraste un producto comercial.
https://es.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php
Pero si lo que buscas es certificar un dispositivo propietario, el proceso viene en la guía:
https://www.pcisecuritystandards.org/documents/PTS_Program_Guide_v1-4_March_2014.pdf
Esperamos esta información te sea de utilidad.
Hola, ¿Qué empresas recomiendas que certifiquen en el estándar PCI DSS? Gracias.
Hola Priscila,
Me dedica a la venta de cajeros automáticos, y un cliente me pregunta si cumplo con la certificación PCI-DSS y PCI- PTS, ¿no sé a que se refiere o que es lo que debo de hacer?
Estimada Priscila,
Ha sido muy interesante tu post, no hay mucha info con tal detalle acerca de PCI, gracias.
Nuestro caso es el de una mobile app en la que datos de TC del cliente pretender ser almacenados de forma «distribuida», es decir, dos de los tres datos de TC que nos solicita la institución bancaria para realizar un cobro automático estarían en una base de datos central y el tercero en el dispositivo del usuario, de manera que siempre que se intente hacer un compra a través de la app, el dispositivo móvil envía el tercer dato para realizar la transacción, para después desecharlo, ¿en éste caso estamos a cumplir con PCI?.
De antemano, gracias,
Hola,
Muchas gracias por tu interés.
El estándar PCI fue creado por 5 empresas de tarjetas de crédito que definieron Normas de seguridad de la industria de tarjetas de pago para proteger los datos de las tarjetas de crédito. Le aplica a cualquier establecimiento que en cualquier punto de su proceso de cobro (adquisición de datos, transferencia, almacenamiento, procesamiento, etc.) tenga acceso a los datos de una tarjeta de crédito.
Por tanto, los cajeros automáticos caen en esta categoría, ya que en algún punto tienen acceso a los datos.Es decir, los cajeros que vendes deben cumplir con una serie de controles de seguridad, para seguridad de las entidades bancarias y de los clientes, que vienen recomendados en esta guía:
https://es.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php
Además, existe una lista de dispositivos comerciales que ya de fábrica cumplen con estos controles. Sería bueno que buscaras tu marca en esta lista para ver si tu proveedor ya implementó estos controles (o los que le apliquen) a los cajeros o bien consultar con tu proveedor para saber si han cumplido ya con el estándar PCI.
https://es.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php
Quedamos a tus órdenes
Estimado Joel
Gracias por tu interés en el tema.
A reserva de entender un poco más a detalle la arquitectura de la aplicación, nuestro entendimiento es que en algún momento del procesamiento la aplicación tiene acceso a los tres datos. Siendo así, se deben proteger bajo los estándares de PCI.
Habría también que ver si es una aplicación comercial, y si ya se encuentra listada en las aplicaciones que han implementado los controles de seguridad de PCI :
https://es.pcisecuritystandards.org/approved_companies_providers/validated_payment_applications.php?agree=true
Si es un desarrollo propietario, también podrías verificar en alguna de las aplicaciones validadas, alguna arquitectura similar, que viene descrita al final de cada fabricante. Por ejemplo, Description Provided by Vendor: E-Payment Integrator is middleware for other payment applications. Its purpose is to receive transactions from another payment ap-plication, format the transaction details in a manner required by the supported payment processor, and then communicate the transaction to the processor.
Pero en definitiva y en resumen, cualquier establecimiento que tenga acceso a los datos de tarjeta de crédito debe contar con controles de seguridad definidos por PCI.
Esperamos la respuesta sea de utilidad
Estimada Priscila,
Gracias por los detalles publicados, en mi negocio estamos desarrollando una aplicación de pago de servicios, capturaremos los datos del cliente nombre completo, numero de documento personal, numero de tarjeta (encriptado), fecha vencimiento de la tarjeta y estos quedaran almacenados en una base de datos, unicamente el numero de tarjeta estara encriptado, y desde el sistema se solicitará el cargo al banco. Deseo saber si mi aplicacion esta sujeta a PCI DSS.
Gracias.
Qué tal Carlos,
Gracias por tu interés en el artículo.
Tu aplicación sí es susceptible de los estándares de PCI, ya que aplica a todo establecimiento que en algún punto del proceso tenga acceso de lectura, captura, modificación, procesamiento, almacenamiento, transmisión o desecho de los datos de la tarjeta. De hecho, por lo que nos explicas, ya cuentas con un control que es el cifrado del número de tarjeta. Si revisas los controles recomendados, probablemente encontrarás que tu aplicación ya cumple con algunos de estos. Será cuestión de reforzar el resto.
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf
Quedamos a tus órdenes,
Saludos
Buenas tardes…
¿Y cuáles son las multas o sanciones por incumplimiento que las marcas ejecutan a los emisores o proveedores de servicios?
Buenas.
¿En qué caso se aplica esto que mencionas?
«EJEMPLO 3: ¿Esto significa que si le vendo infraestructura de TI a un establecimiento debo cumplir con PCI? No, mientras no proceses información de tarjetas de crédito. Si la infraestructura que le vendiste al establecimiento se usa para procesar tarjetas, tu cliente es el responsable de pasar por el proceso de cumplimiento de dicha infraestructura.»
Me explico..
En caso que «YO» le desarrolle y venda la aplicación a «X» persona (hasta acá termina mi parte) que compra los terminalPOS y les instala la aplicación para comercializarlos con un Banco.
¿En este caso quien tendría que cumplir con el proceso de certificación? Yo como desarrollador, X como vendedor o Banco como procesador de tarjetas.
Saludos y gracias por su excelente página.
Estimado Wavy:
Gracias por tu interés en el tema.
En el caso de los desarrolladores de software para POS y otros dispositivos, en efecto, tú como empresa no tienes que cumplir con PCI. Sin embargo, si en algún momento llegaras a realizar pruebas de datos con una copia de la información real de tarjetas de crédito de tus clientes (lo cual es por supuesto innecesario y poco seguro), sí tendrías que cumplir con el estándar.
Y por otro lado, lo que PCI recomienda para empresas como la tuya, es una guía con las normas de seguridad para los aplicativos. Por cierto este documento fue publicado posterior al artículo de la revista. Qué bueno que nos preguntas ahora para mantenerte actualizado. Lo puedes bajar de manera gratuita en esta liga:
https://es.pcisecuritystandards.org/minisite/en/pa-dss-v3-0.php
Seguimos con gusto a tus órdenes
Hola Priscila!
Mi empresa brinda servicios con diversas plataformas para procesar, autenticar y controlar de forma segura transacciones de pago de e-commerce en un entorno 3D-Secure, y ya contamos con una certificación PCI-DSS, debemos también contar con una PA-DSS? Estuve leyendo respecto a esta última y no me queda claro si deberíamos aplicar a la PA-DSS? Agradezco de antemano tu respuesta y el contenido de tu blog!, saludos desde Perú.
Hola Mark
Gracias por tu interés.
El PA-DSS aplica para los desarrolladores de software, de manera que implementen los controles de seguridad de PCI, en sus aplicaciones.
Si ustedes desarrollaron y mantienen su aplicación de e-commerce, entonces sí deberían certificarse. En caso contrario, tu proveedor de la aplicación debe estar certificado en PA-DSS.
Espero esta información te sea útil.
Saludos
Estimada Priscila,
Gracias por compartirnos la información para darnos mundo sobre el tema. Sinceramente a mi no me ha quedado muy clara, te comentare mi caso.
Un cliente nos está pidiendo la certificación ya que estaremos resguardando tarjetas, nosotros nos encontramos en la Ciudad de México y por lo que he leído no es como tal una certificación si no cumplir con la norma.
¿A quién debo de acudir para que me evalué o me del crédito de que cumplimos con todo lo que pide la norma?
Ya ingresé a la página https://es.pcisecuritystandards.org y descargue la norma y un cuestionario de autoevaluación, ¿que procede?
Espero me puedas ayudar u orientar en el tema ¡Gracias!
Estimado lector, gracias por tu interés en el tema.
En efecto, un primer paso es la autoevaluación para que ustedes mismos tengan claridad de su acercamiento al cumplimiento de la norma y puedan implementar los controles que hagan falta.
Sin embargo, para tranquilidad del cliente y de nuevos clientes y aliados, una muy buena opción es la validación de un tercero, que emite un certificado de cumplimiento.
En la misma página del estándar PCI viene la lista internacional de QSAs (Qualified Security Assessor) donde puedes encontrar un asesor.
https://es.pcisecuritystandards.org/approved_companies_providers/payment_application_qsas.php
Esperamos esta información te sea de utilidad.
Saludos
Buenas tardes Priscila, me gustaría tener una asesoría para yo poder certificar ciertos aparatos que utilizan tarjetas de débito y credito, habría la manera de que me puedas contactar? mi correo es [email protected]
Espero ansiosa tu respuesta.
Gracias!!!
Hola Priscila, buenas tardes.
Creo que este es un excelente artículo, en el cual, simplificas todo los conceptos generales en cuanto al cumplimiento de PCI en México. Solo me queda una pregunta, ya encontré en los sitios de Visa y American Express, los criterios y posibles sanciones en cuanto al incumplimiento de la norma, sin embargo, sigo sin encontrar al respecto por parte de Mastercard. ¿Podrías ayudarme?
Gracias y saludos!
Hola,
ustedes pueden ayudarme a obtener la Certificación PCI DSS??
Estoy en México DF
Hola David
Lamentablemente no podemos ayudarte, pues en Magazcitum no nos dedicamos a dar servicios de consultoría.
Saludos
Carpe diem
Hola Priscila, tengo una fabrica de tarjetas Plasticas de pvc que son monederos electrónicos en tiendas departamentales , ósea que un cliente compra en dicha tienda y le abonan un porcentaje de su compra en la tarjeta que tiene un codigo de barras, para que el cliente luego pueda comprar con el importe que le abonaron en su monedero, pero la tienda departamental me esta solicitando una certificación de visa o masterd card, me podrías decir con quien comunicarme para que me ayudara en ese proceso, me encuentro en Mexico, ojala me pudieras orientar ya que me urge mucho esta certificacion, mil gracias y saludos.
Buenas tardes
Tenemos contratado el servicio de «Cargos recurrentes» de PROSA, a través de Santander. En dicho portal ingresamos los datos del tarjetahabiente para que se les haga el cargo. Prosa nos indica si la operación fue exitosa o rechazada. Debo estar certificado en PCI?
Priscila solo paso por aquí para agradecer tus comentarios y el tiempo que has dedicado a resolver dudas, leyendo los casos me ha quedado clara mi situación
Muchas gracias por tu valioso tiempo
Hola mi nombre es Stella y tenemos una Startup en México la cual necesitará de una pasarela de pagos, quisiera saber cómo válido que en verdad la pasarela de pagos que yo eliga, cuenta con el certificado PCI ¿Existe algún lugar donde pueda ver quienes tienen el certificado?
Gracias por resolver mi duda.
Buenas tardes, estamos desarrollando una aplicación móvil que ocupa de cobro con tarjetas, para facilitar futuras transacciones al usuario preguntamos si desea guardar la información de la tarjeta, si este acepta guardamos la información de forma cifrada en el teléfono y no en nuestros servidores ¿Debemos estar certificados en PCI?
BUENAS TARDES SOMOS UNA AGENCIA DE VIAJE IATA POR LO CUAL NOS PIDEN CUMPLIR CON PCI DSS, ¿QUIÉN NOS DEBE CERTIFICAR O SOLO BASTA CON UNA AUTOEVALUCIÓN?
AGRADECERIA UNA RESPUESTA, GRACIAS
Estimada Antonia:
Gracias por tu interés en el artículo.
Lo que PCI dice acerca del self assessment es: «Ideal for small merchants and service providers that are not required to submit a report on compliance»
En este sentido nos gustaría entender tu frase «…nos piden cumplir con PCI…» ¿Alguna entidad gubernamental o financiera les pidió un reporte de cumplimiento?
De no ser así, el self assessment sí es suficiente.
Si la respuesta es sí, entonces hay que buscar un vendor autorizado en esta página. Si no hay alguno en Chile, puedes preguntar algunos en Estados Unidos si lo pueden hacer de forma remota.
https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors
Approved Scanning Vendors – PCI Security Standards Council
http://www.pcisecuritystandards.org
Approved Scanning Vendors. An ASV is an organization with a set of security services and tools (“ASV scan solution”) to conduct external vulnerability scanning …
https://www.pcisecuritystandards.org/pci_security/completing_self_assessment
Official PCI Security Standards Council Site – Verify PCI …
http://www.pcisecuritystandards.org
Assessing the Security of Your Cardholder Data. Ideal for small merchants and service providers that are not required to submit a report on compliance, a Self …
Esperamos esta información te sea útil.
Buen día Priscila. Agradezco el artículo que escribiste, de mucha utilidad para mí. Tengo una pregunta, ojalá tengas un tiempo para esta misma:
Actualmente mi empresa maneja los trámites de un banco, para dar de alta un TPV en un comercio, pero en este caso solo manejo información del cliente del banco y ni de los movimientos o datos de las personas que tienen tarjeta de crédito. En este caso, ¿debo de tener el certificado o assesment de PCI?
Si mi empresa está certificada en ISO27001-2014, ¿cubre los temas relacionados con PCI?. Gracias de antemano. Bendiciones
Hola Priscila, muchas gracias por este aporte me ayudo bastante a entender lo que es el PCI. YO tengo una duda no se si me puedes ayudar, estoy desarrollando una app y voy a permitir a los usuarios hacer pagos con su tarjeta a través de mi app, para poder recibir sus pagos estoy utilizando plataformas de terceros (Paypal, mercado pago).
Mercadopago tiene una opción para que sin que los usuarios vayan al portal de mercado pago puedan pagar y “guardar” tarjetas en mi app, la información no se almacena en mi app sino que yo creo una llave para cada usuario y la utilizo para consultar, crear y modificar tarjetas y clientes en los servidores de mercado pago. Supuestamente yo no debo de preocuparme por cumplir PCI-DSS ya que yo no almaceno la información, pero me preocupa que al momento de dar de alta por ejemplo una tarjeta el usuario lo hace a través de mi app y yo envío esa información a Mercadopago, mi duda es ¿yo tengo que proteger de alguna manera la información o el proceso de creación/consulta a los servidores del tercero (Mercado pago) para no tener problemas con las entidades financieras?
Hola Héctor,
Perdón la tardanza en contestar pero hicimos la consulta.
Para la estructura de negocio y tipo de app, sí requieres cumplir con PCI. Sin embargo, si realizas menos de 20,000 transacciones al año puedes hacer self-assessment.
Aquí puedes navegar para ver cómo hacerlo: https://www.pcisecuritystandards.org/faqs
Gracias por tu interés y saludos
Priscila, gracias por tan clara información. Ha sido de mucha utilidad y empezaré a investigar más. Saludos desde Lima Perú.
Hola buenos días, tengo una duda sobre esto.
¿Esto del PCI significa que una empresa que da servicios por ejemplo de abogados y que cobra a través de tarjetas de crédito con su TPV, tiene que pedir el PCIDSS? ¿O este estándar es para empresas como bancos, pasarelas de pago, empresas que gestionan los pagos como paypal, etc.?
Estimado…
Gracias por tu interés en PCI.
En efecto, cualquier entidad, empresa o persona que tenga acceso a tarjetas de crédito de terceros debe cumplir con el estándar PCI, para dar seguridad a los tarjetahabientes.
En el caso de punto de venta y otras modalidades que existen hoy de pago para negocios pequeños, la recomendación es un self-assessment, que puedes consultar en esta página, y verificar los criterios de aplicación:
https://www.pcisecuritystandards.org/documents/SAQ_A_v3.pdf
Este cuestionario lo llenan ustedes mismos, lo validan y lo resguardan como partes de sus archivos en caso de algún requerimiento o auditoría.
Esperando te sea útil, quedamos a tus órdenes.
Hola Priscilla, interesante artículo y gran aporte respondiendo las múltiples preguntas de tus lectores. Mi empresa ofrece servicios de seguridad TI, implementamos las configuraciones de FW y también damos soporte y mantenimiento a estas soluciones. Solo quisiera me puedas ratificar que no es necesario que mi empresa pase por el proceso de evaluación del PCI ya que no tenemos acceso a la información de los tarjeta habientes.
Gracias.
Excelente explicación, Gracias
Buena Tarde Priscila.
Actualmente estoy implemnetando el estádar de PCI Card Production y por cuestiones personales me veo en a necesidad de abandonar el proyecto.
Me he puesto a investigar trabajos relacionados a PCI Card Production y no encuentro, todo hace referencia a PCI DSS, cabe mencionar que soy nuevo en esto del estándar y no me gustaría perder lo que he ganado y me esta costando mucho trabajo encontrar algo.
Será que el estandar PCI Card Production todavia no tien muchas demanda?
Saludos.
Hola Priscila, muchas gracias por tan importantes aportes.
Trabajo en una empresa que comercializa un software de red transaccional, pero este software es desarrollado por partner, no lo desarrollamos nosotros, sin embargo, somos la cara al cliente, ademas de que el software de red transaccional está alojado en nuestra infraestructura, ademas almacenamos información de las transacciones realizadas, mas no la información del cliente que realiza la transacción, ¿puedes por favor indicarme si debemos estar bajo la certificación PCI?, ¿qué certificación debe tener nuestro partner como desarrollador del producto?, ¿empresas en países diferentes a México se deben certificar en PCI?
muchas gracias