El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago ( PCI DSS ) es un estándar de seguridad de la información que se utiliza para gestionar las tarjetas de crédito de las principales marcas de tarjetas . El estándar es administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago y su uso es obligatorio para las marcas de tarjetas. Fue creado para controlar mejor los datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito . La validación del cumplimiento se realiza anualmente o trimestralmente con un método adecuado al volumen de transacciones: [1]
Las principales marcas de tarjetas tenían cinco programas de seguridad diferentes:
Las intenciones de cada una de ellas eran, en líneas generales, similares: crear un nivel adicional de protección para los emisores de tarjetas garantizando que los comerciantes cumplieran con los niveles mínimos de seguridad cuando almacenaban, procesaban y transmitían los datos de los titulares de las tarjetas. Para abordar los problemas de interoperabilidad entre las normas existentes, el esfuerzo combinado de las principales organizaciones de tarjetas de crédito dio como resultado el lanzamiento de la versión 1.0 de PCI DSS en diciembre de 2004. [ cita requerida ] PCI DSS se ha implementado y seguido en todo el mundo.
Se formó entonces el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), y estas empresas alinearon sus políticas para crear el PCI DSS. [2] MasterCard, American Express, Visa, JCB International y Discover Financial Services establecieron el PCI SSC en septiembre de 2006 como una entidad administrativa y rectora que ordena la evolución y el desarrollo del PCI DSS. [3] Las organizaciones privadas independientes pueden participar en el desarrollo del PCI después de registrarse. Cada organización participante se une a un SIG (Grupo de Interés Especial) y contribuye a las actividades ordenadas por el grupo. Se han puesto a disposición las siguientes versiones del PCI DSS: [4]
El PCI DSS tiene doce requisitos de cumplimiento, organizados en seis grupos relacionados conocidos como objetivos de control: [6]
Cada versión de PCI DSS ha dividido estos seis grupos de requisitos de forma diferente, pero los doce requisitos no han cambiado desde el inicio de la norma. Cada requisito y subrequisito se divide en tres secciones:
En la versión 3.2.1 del PCI DSS, los doce requisitos son:
El PCI SSC (Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago) ha publicado información complementaria para aclarar los requisitos, que incluye:
Las empresas sujetas a los estándares PCI DSS deben cumplir con la normativa PCI; la forma en que demuestran e informan su cumplimiento se basa en su número anual de transacciones y en cómo se procesan las transacciones. Un adquirente o una marca de pago puede colocar manualmente a una organización en un nivel de informe a su discreción. [9] Los niveles de comerciante son:
Cada emisor de tarjetas mantiene una tabla de niveles de cumplimiento y una tabla para proveedores de servicios. [10] [11]
La validación del cumplimiento implica la evaluación y confirmación de que los controles y procedimientos de seguridad se han implementado de acuerdo con el PCI DSS. La validación se realiza mediante una evaluación anual, ya sea por parte de una entidad externa o por autoevaluación. [12]
Un asesor de seguridad calificado (QSA) de PCI realiza un informe de cumplimiento (ROC) y su objetivo es proporcionar una validación independiente del cumplimiento de una entidad con el estándar PCI DSS. Un ROC completo da como resultado dos documentos: una plantilla de informe ROC que incluye una explicación detallada de las pruebas realizadas y una certificación de cumplimiento (AOC) que documenta que se ha completado un ROC y la conclusión general del ROC.
El Cuestionario de autoevaluación (SAQ) de PCI DSS es una herramienta de validación destinada a comerciantes y proveedores de servicios de tamaño pequeño a mediano para evaluar su propio estado de cumplimiento de PCI DSS. Existen varios tipos de SAQ, cada uno con una longitud diferente según el tipo de entidad y el modelo de pago utilizado. Cada pregunta del SAQ tiene una respuesta de sí o no, y cualquier respuesta de "no" requiere que la entidad indique su implementación futura. Al igual que con los ROC, también se completa una certificación de cumplimiento (AOC) basada en el SAQ.
El Consejo de Normas de Seguridad PCI mantiene un programa para certificar empresas e individuos para realizar actividades de evaluación.
Un evaluador de seguridad calificado (QSA) es una persona certificada por el PCI Security Standards Council para validar el cumplimiento de PCI DSS por parte de otra entidad. Los QSA deben ser empleados y patrocinados por una empresa QSA, que también debe estar certificada por el PCI Security Standards Council. [13] [14]
Un asesor de seguridad interna (ISA) es una persona que ha obtenido un certificado del PCI Security Standards Council para su organización patrocinadora y puede realizar autoevaluaciones de PCI para su organización. El programa ISA fue diseñado para ayudar a los comerciantes de Nivel 2 a cumplir con los requisitos de validación de cumplimiento de Mastercard. [15] La certificación ISA faculta a una persona para realizar una evaluación de su asociación y proponer soluciones y controles de seguridad para el cumplimiento de PCI DSS. Los ISA están a cargo de la cooperación y participación con los QSA. [12]
Aunque todas las entidades que procesan, almacenan o transmiten datos de titulares de tarjetas deben implementar el PCI DSS, la validación formal del cumplimiento del PCI DSS no es obligatoria para todas las entidades. Visa y Mastercard exigen que los comerciantes y proveedores de servicios se validen de acuerdo con el PCI DSS; Visa también ofrece un Programa de Innovación Tecnológica (TIP), un programa alternativo que permite a los comerciantes calificados descontinuar la evaluación anual de validación del PCI DSS. Los comerciantes son elegibles si toman precauciones alternativas contra el fraude, como el uso de EMV o cifrado punto a punto .
Los bancos emisores no están obligados a someterse a la validación PCI DSS, aunque deben proteger los datos confidenciales de una manera que cumpla con PCI DSS. Los bancos adquirentes deben cumplir con PCI DSS y validar su cumplimiento con una auditoría . En caso de una violación de seguridad, cualquier entidad comprometida que no cumpliera con PCI DSS en el momento de la violación puede estar sujeta a sanciones adicionales (como multas) por parte de las marcas de tarjetas o los bancos adquirentes.
El cumplimiento de PCI DSS no es requerido por la ley federal en los Estados Unidos , pero las leyes de algunos estados hacen referencia a PCI DSS directamente o hacen disposiciones equivalentes. Los académicos legales Edward Morse y Vasant Raval han dicho que al consagrar el cumplimiento de PCI DSS en la legislación, las redes de tarjetas reasignaron el costo del fraude de los emisores de tarjetas a los comerciantes. [16] En 2007, Minnesota promulgó una ley que prohíbe la retención de algunos tipos de datos de tarjetas de pago más de 48 horas después de la autorización de una transacción. [17] [18] Nevada incorporó el estándar a la ley estatal dos años después, exigiendo el cumplimiento por parte de los comerciantes que hacen negocios en ese estado con el PCI DSS actual y protegiendo a las entidades que cumplen con la ley de la responsabilidad. La ley de Nevada también permite a los comerciantes evitar la responsabilidad por otros estándares de seguridad aprobados. [19] [16] En 2010, Washington también incorporó el estándar a la ley estatal. A diferencia de la ley de Nevada, las entidades no están obligadas a cumplir con PCI DSS; sin embargo, las entidades que cumplen con la ley están protegidas de la responsabilidad en caso de una violación de datos. [20] [16]
Visa y Mastercard imponen multas por incumplimiento. Stephen y Theodora "Cissy" McComb, propietarios de Cisero's Ristorante and Nightclub en Park City, Utah , fueron multados por una infracción de la que dos firmas forenses no pudieron encontrar pruebas:
Los McCombs afirman que el sistema PCI no es tanto un sistema para proteger los datos de las tarjetas de los clientes como un sistema para obtener beneficios para las compañías de tarjetas mediante multas y sanciones. Visa y MasterCard imponen multas a los comerciantes incluso cuando no hay ninguna pérdida por fraude, simplemente porque las multas les resultan "rentables", dicen los McCombs. [21]
Michael Jones, CIO de Michaels , testificó ante un subcomité del Congreso de EE. UU. sobre el PCI DSS:
[Los requisitos de PCI DSS] son muy costosos de implementar, confusos de cumplir y, en última instancia, subjetivos, tanto en su interpretación como en su aplicación. A menudo se afirma que solo hay doce "requisitos" para el cumplimiento de PCI. De hecho, hay más de 220 subrequisitos; algunos de los cuales pueden suponer una carga increíble para un minorista y muchos de los cuales están sujetos a interpretación . [22]
El PCI DSS puede obligar a las empresas a prestar más atención a la seguridad informática, incluso si los estándares mínimos no son suficientes para erradicar los problemas de seguridad. Bruce Schneier habló a favor de la norma:
La regulación (SOX, HIPAA , GLBA, PCI de la industria de las tarjetas de crédito, las diversas leyes de divulgación, la Ley Europea de Protección de Datos, etc.) ha sido el mejor palo que ha encontrado la industria para golpear a las empresas en la cabeza. Y funciona. La regulación obliga a las empresas a tomar la seguridad más en serio y a vender más productos y servicios. [23]
El director general del PCI Council, Bob Russo, respondió a las objeciones de la Federación Nacional de Minoristas :
[PCI es una] combinación estructurada... [de] especificidad y conceptos de alto nivel [que permite] a las partes interesadas la oportunidad y la flexibilidad de trabajar con evaluadores de seguridad calificados (QSAs) para determinar los controles de seguridad apropiados dentro de su entorno que cumplan con la intención de los estándares PCI. [24]
Ellen Richey, directora de riesgos empresariales de Visa, dijo en 2018: "Todavía no se ha encontrado que ninguna entidad comprometida cumpliera con PCI DSS en el momento de una infracción". [25] Sin embargo, una infracción en 2008 de Heartland Payment Systems (validada como compatible con PCI DSS) resultó en la vulneración de cien millones de números de tarjetas. En esa época, Hannaford Brothers y TJX Companies (también validadas como compatibles con PCI DSS) sufrieron infracciones similares como resultado de los esfuerzos supuestamente coordinados de Albert Gonzalez y dos piratas informáticos rusos anónimos. [26]
Las evaluaciones examinan el cumplimiento de los comerciantes y proveedores de servicios con el PCI DSS en un momento específico, con frecuencia utilizando muestras para permitir que se demuestre el cumplimiento con sistemas y procesos representativos. Es responsabilidad del comerciante y del proveedor de servicios lograr, demostrar y mantener el cumplimiento durante todo el ciclo anual de validación y evaluación en todos los sistemas y procesos. Una falla en el cumplimiento del estándar escrito por parte del comerciante y del proveedor de servicios puede haber sido responsable de las infracciones; Hannaford Brothers recibió su validación de cumplimiento del PCI DSS un día después de que se le informara de una vulneración de sus sistemas internos que duró dos meses.
La validación de cumplimiento es necesaria sólo para los comerciantes de nivel 1 a 3 y puede ser opcional para el nivel 4, dependiendo de la marca de la tarjeta y del adquirente. Según los detalles de validación de cumplimiento de Visa para comerciantes, los requisitos de validación de cumplimiento para comerciantes de nivel 4 ("Comerciantes que procesan menos de 20.000 transacciones de comercio electrónico Visa al año y todos los demás comerciantes que procesan hasta 1 millón de transacciones Visa al año") son establecidos por el adquirente . Más del 80 por ciento de los ataques a tarjetas de pago entre 2005 y 2007 afectaron a comerciantes de nivel 4, que manejaron el 32 por ciento de todas esas transacciones. [ cita requerida ]
{{cite journal}}
: Requiere citar revista |journal=
( ayuda )