Estándar de seguridad de datos de la industria de tarjetas de pago

Conjunto de requisitos de seguridad para procesadores de tarjetas de crédito

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago ( PCI DSS ) es un estándar de seguridad de la información que se utiliza para gestionar las tarjetas de crédito de las principales marcas de tarjetas . El estándar es administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago y su uso es obligatorio para las marcas de tarjetas. Fue creado para controlar mejor los datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito . La validación del cumplimiento se realiza anualmente o trimestralmente con un método adecuado al volumen de transacciones: ^[1]

• Cuestionario de autoevaluación (SAQ)
• Evaluador de seguridad interna específico de la empresa (ISA)
• Evaluador de seguridad calificado externo (QSA)

Historia

Las principales marcas de tarjetas tenían cinco programas de seguridad diferentes:

• Programa de seguridad de la información del titular de la tarjeta Visa
• Protección de datos del sitio de Mastercard
• Política operativa de seguridad de datos de American Express
• Descubra la seguridad y el cumplimiento de la información de
• Programa de seguridad de datos de JCB

Las intenciones de cada una de ellas eran, en líneas generales, similares: crear un nivel adicional de protección para los emisores de tarjetas garantizando que los comerciantes cumplieran con los niveles mínimos de seguridad cuando almacenaban, procesaban y transmitían los datos de los titulares de las tarjetas. Para abordar los problemas de interoperabilidad entre las normas existentes, el esfuerzo combinado de las principales organizaciones de tarjetas de crédito dio como resultado el lanzamiento de la versión 1.0 de PCI DSS en diciembre de 2004. ^{[ cita requerida ]} PCI DSS se ha implementado y seguido en todo el mundo.

Se formó entonces el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), y estas empresas alinearon sus políticas para crear el PCI DSS. ^[2] MasterCard, American Express, Visa, JCB International y Discover Financial Services establecieron el PCI SSC en septiembre de 2006 como una entidad administrativa y rectora que ordena la evolución y el desarrollo del PCI DSS. ^[3] Las organizaciones privadas independientes pueden participar en el desarrollo del PCI después de registrarse. Cada organización participante se une a un SIG (Grupo de Interés Especial) y contribuye a las actividades ordenadas por el grupo. Se han puesto a disposición las siguientes versiones del PCI DSS: ^[4]

Requisitos

El PCI DSS tiene doce requisitos de cumplimiento, organizados en seis grupos relacionados conocidos como objetivos de control: ^[6]

1. Construir y mantener una red y sistemas seguros
2. Proteger los datos del titular de la tarjeta
3. Mantener un programa de gestión de vulnerabilidades
4. Implementar fuertes medidas de control de acceso
5. Monitorizar y probar las redes periódicamente
6. Mantener una política de seguridad de la información

Cada versión de PCI DSS ha dividido estos seis grupos de requisitos de forma diferente, pero los doce requisitos no han cambiado desde el inicio de la norma. Cada requisito y subrequisito se divide en tres secciones:

1. Requisitos de PCI DSS: definir el requisito. La aprobación de PCI DSS se realiza cuando se implementa el requisito.
2. Pruebas: Los procesos y metodologías que lleva a cabo el evaluador para confirmar la correcta implementación.
3. Orientación: Explica el propósito del requisito y el contenido correspondiente, lo que puede ayudar a su adecuada definición.

En la versión 3.2.1 del PCI DSS, los doce requisitos son:

1. Instalar y mantener un sistema de firewall para proteger los datos del titular de la tarjeta.
2. Evite los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
3. Proteja los datos almacenados del titular de la tarjeta.
4. Cifrar la transmisión de datos del titular de la tarjeta en redes públicas abiertas.
5. Proteja todos los sistemas contra malware y actualice el software o programas antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguros.
7. Restrinja el acceso a los datos del titular de la tarjeta según la necesidad comercial .
8. Identificar y autenticar el acceso a los componentes del sistema.
9. Restringir el acceso físico a los datos del titular de la tarjeta.
10. Seguimiento y monitoreo del acceso a los recursos de la red y a los datos del titular de la tarjeta.
11. Pruebe periódicamente los sistemas y procesos de seguridad.
12. Mantener una política de seguridad de la información que aborde la seguridad de la información para todo el personal.

Actualizaciones e información complementaria

El PCI SSC (Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago) ha publicado información complementaria para aclarar los requisitos, que incluye:

• Suplemento informativo: Requisito 11.3 Pruebas de penetración
• Suplemento informativo: Se aclara el requisito 6.6 sobre revisiones de código y firewalls de aplicaciones
• Navegando por el PCI DSS: comprensión de la intención de los requisitos
• Directrices PCI DSS para sistemas inalámbricos ^[7]
• Aplicabilidad de PCI DSS en un entorno EMV
• Enfoque priorizado para PCI DSS
• Herramienta de enfoque priorizado
• Guía de referencia rápida de PCI DSS
• Directrices de virtualización PCI DSS
• Directrices de tokenización PCI DSS
• Directrices de evaluación de riesgos PCI DSS 2.0
• El ciclo de vida de los cambios en PCI DSS y PA-DSS
• Guía para la segmentación y el alcance del PCI DSS
• Centro de recursos PCI DSS v4.0 ^[8]

Niveles de reporte

Las empresas sujetas a los estándares PCI DSS deben cumplir con la normativa PCI; la forma en que demuestran e informan su cumplimiento se basa en su número anual de transacciones y en cómo se procesan las transacciones. Un adquirente o una marca de pago puede colocar manualmente a una organización en un nivel de informe a su discreción. ^[9] Los niveles de comerciante son:

• Nivel 1 – Más de seis millones de transacciones al año
• Nivel 2 – Entre uno y seis millones de transacciones
• Nivel 3: entre 20.000 y un millón de transacciones, y todos los comerciantes de comercio electrónico
• Nivel 4 – Menos de 20.000 transacciones

Cada emisor de tarjetas mantiene una tabla de niveles de cumplimiento y una tabla para proveedores de servicios. ^{[10] [11]}

Validación de cumplimiento

La validación del cumplimiento implica la evaluación y confirmación de que los controles y procedimientos de seguridad se han implementado de acuerdo con el PCI DSS. La validación se realiza mediante una evaluación anual, ya sea por parte de una entidad externa o por autoevaluación. ^[12]

Informe sobre cumplimiento

Un asesor de seguridad calificado (QSA) de PCI realiza un informe de cumplimiento (ROC) que tiene como objetivo proporcionar una validación independiente del cumplimiento de una entidad con el estándar PCI DSS. Un ROC completo da como resultado dos documentos: una plantilla de informe ROC que incluye una explicación detallada de las pruebas realizadas y una certificación de cumplimiento (AOC) que documenta que se ha completado un ROC y la conclusión general del ROC.

Cuestionario de autoevaluación

El Cuestionario de autoevaluación (SAQ) de PCI DSS es una herramienta de validación destinada a comerciantes y proveedores de servicios de tamaño pequeño a mediano para evaluar su propio estado de cumplimiento de PCI DSS. Existen varios tipos de SAQ, cada uno con una longitud diferente según el tipo de entidad y el modelo de pago utilizado. Cada pregunta del SAQ tiene una respuesta de sí o no, y cualquier respuesta de "no" requiere que la entidad indique su implementación futura. Al igual que con los ROC, también se completa una certificación de cumplimiento (AOC) basada en el SAQ.

Evaluadores de seguridad

El Consejo de Normas de Seguridad PCI mantiene un programa para certificar empresas e individuos para realizar actividades de evaluación.

Asesor de seguridad calificado

Un evaluador de seguridad calificado (QSA) es una persona certificada por el PCI Security Standards Council para validar el cumplimiento de PCI DSS por parte de otra entidad. Los QSA deben ser empleados y patrocinados por una empresa QSA, que también debe estar certificada por el PCI Security Standards Council. ^{[13] [14]}

Asesor de seguridad interna

Un asesor de seguridad interna (ISA) es una persona que ha obtenido un certificado del PCI Security Standards Council para su organización patrocinadora y puede realizar autoevaluaciones de PCI para su organización. El programa ISA fue diseñado para ayudar a los comerciantes de Nivel 2 a cumplir con los requisitos de validación de cumplimiento de Mastercard. ^[15] La certificación ISA faculta a una persona para realizar una evaluación de su asociación y proponer soluciones y controles de seguridad para el cumplimiento de PCI DSS. Los ISA están a cargo de la cooperación y participación con los QSA. ^[12]

Cumplimiento versus validación del cumplimiento

Aunque todas las entidades que procesan, almacenan o transmiten datos de titulares de tarjetas deben implementar el PCI DSS, la validación formal del cumplimiento del PCI DSS no es obligatoria para todas las entidades. Visa y Mastercard exigen que los comerciantes y proveedores de servicios se validen de acuerdo con el PCI DSS; Visa también ofrece un Programa de Innovación Tecnológica (TIP), un programa alternativo que permite a los comerciantes calificados descontinuar la evaluación anual de validación del PCI DSS. Los comerciantes son elegibles si toman precauciones alternativas contra el fraude, como el uso de EMV o cifrado punto a punto .

Los bancos emisores no están obligados a someterse a la validación PCI DSS, aunque deben proteger los datos confidenciales de una manera que cumpla con PCI DSS. Los bancos adquirentes deben cumplir con PCI DSS y validar su cumplimiento con una auditoría . En caso de una violación de seguridad, cualquier entidad comprometida que no cumpliera con PCI DSS en el momento de la violación puede estar sujeta a sanciones adicionales (como multas) por parte de las marcas de tarjetas o los bancos adquirentes.

Legislación en Estados Unidos

El cumplimiento de PCI DSS no es requerido por la ley federal en los Estados Unidos , pero las leyes de algunos estados hacen referencia a PCI DSS directamente o hacen disposiciones equivalentes. Los académicos legales Edward Morse y Vasant Raval han dicho que al consagrar el cumplimiento de PCI DSS en la legislación, las redes de tarjetas reasignaron el costo del fraude de los emisores de tarjetas a los comerciantes. ^[16] En 2007, Minnesota promulgó una ley que prohíbe la retención de algunos tipos de datos de tarjetas de pago más de 48 horas después de la autorización de una transacción. ^{[17] [18]} Nevada incorporó el estándar a la ley estatal dos años después, exigiendo el cumplimiento por parte de los comerciantes que hacen negocios en ese estado con el PCI DSS actual y protegiendo a las entidades que cumplen con la ley de la responsabilidad. La ley de Nevada también permite a los comerciantes evitar la responsabilidad por otros estándares de seguridad aprobados. ^{[19] [16]} En 2010, Washington también incorporó el estándar a la ley estatal. A diferencia de la ley de Nevada, las entidades no están obligadas a cumplir con PCI DSS; sin embargo, las entidades que cumplen con la ley están protegidas de la responsabilidad en caso de una violación de datos. ^{[20] [16]}

Polémica y críticas

Visa y Mastercard imponen multas por incumplimiento. Stephen y Theodora "Cissy" McComb, propietarios de Cisero's Ristorante and Nightclub en Park City, Utah , fueron multados por una infracción de la que dos firmas forenses no pudieron encontrar pruebas:

Los McCombs afirman que el sistema PCI no es tanto un sistema para proteger los datos de las tarjetas de los clientes como un sistema para obtener beneficios para las compañías de tarjetas mediante multas y sanciones. Visa y MasterCard imponen multas a los comerciantes incluso cuando no hay ninguna pérdida por fraude, simplemente porque las multas les resultan "rentables", dicen los McCombs. ^[21]

Michael Jones, CIO de Michaels , testificó ante un subcomité del Congreso de EE. UU. sobre el PCI DSS:

[Los requisitos de PCI DSS] son ​​muy costosos de implementar, confusos de cumplir y, en última instancia, subjetivos, tanto en su interpretación como en su aplicación. A menudo se afirma que solo hay doce "requisitos" para el cumplimiento de PCI. De hecho, hay más de 220 subrequisitos; algunos de los cuales pueden suponer una carga increíble para un minorista y muchos de los cuales están sujetos a interpretación . ^[22]

El PCI DSS puede obligar a las empresas a prestar más atención a la seguridad informática, incluso si los estándares mínimos no son suficientes para erradicar los problemas de seguridad. Bruce Schneier habló a favor de la norma:

La regulación (SOX, HIPAA , GLBA, PCI de la industria de las tarjetas de crédito, las diversas leyes de divulgación, la Ley Europea de Protección de Datos, etc.) ha sido el mejor palo que ha encontrado la industria para golpear a las empresas en la cabeza. Y funciona. La regulación obliga a las empresas a tomar la seguridad más en serio y a vender más productos y servicios. ^[23]

El director general del PCI Council, Bob Russo, respondió a las objeciones de la Federación Nacional de Minoristas :

[PCI es una] combinación estructurada... [de] especificidad y conceptos de alto nivel [que permite] a las partes interesadas la oportunidad y la flexibilidad de trabajar con evaluadores de seguridad calificados (QSAs) para determinar los controles de seguridad apropiados dentro de su entorno que cumplan con la intención de los estándares PCI. ^[24]

Ellen Richey, directora de riesgos empresariales de Visa, dijo en 2018: "Todavía no se ha encontrado que ninguna entidad comprometida cumpliera con PCI DSS en el momento de una infracción". ^[25] Sin embargo, una infracción en 2008 de Heartland Payment Systems (validada como compatible con PCI DSS) resultó en la vulneración de cien millones de números de tarjetas. En esa época, Hannaford Brothers y TJX Companies (también validadas como compatibles con PCI DSS) sufrieron infracciones similares como resultado de los esfuerzos supuestamente coordinados de Albert Gonzalez y dos piratas informáticos rusos anónimos. ^[26]

Las evaluaciones examinan el cumplimiento de los comerciantes y proveedores de servicios con el PCI DSS en un momento específico, con frecuencia utilizando muestras para permitir que se demuestre el cumplimiento con sistemas y procesos representativos. Es responsabilidad del comerciante y del proveedor de servicios lograr, demostrar y mantener el cumplimiento durante todo el ciclo anual de validación y evaluación en todos los sistemas y procesos. Una falla en el cumplimiento del estándar escrito por parte del comerciante y del proveedor de servicios puede haber sido responsable de las infracciones; Hannaford Brothers recibió su validación de cumplimiento del PCI DSS un día después de que se le informara de una vulneración de sus sistemas internos que duró dos meses.

La validación de cumplimiento es necesaria sólo para los comerciantes de nivel 1 a 3 y puede ser opcional para el nivel 4, dependiendo de la marca de la tarjeta y del adquirente. Según los detalles de validación de cumplimiento de Visa para comerciantes, los requisitos de validación de cumplimiento para comerciantes de nivel 4 ("Comerciantes que procesan menos de 20.000 transacciones de comercio electrónico Visa al año y todos los demás comerciantes que procesan hasta 1 millón de transacciones Visa al año") son establecidos por el adquirente . Más del 80 por ciento de los ataques a tarjetas de pago entre 2005 y 2007 afectaron a comerciantes de nivel 4, que manejaron el 32 por ciento de todas esas transacciones. ^{[ cita requerida ]}

Véase también

• Prueba de penetración
• Gestión de vulnerabilidades
• LAN inalámbrica
• Seguridad inalámbrica

Referencias

1. "Requisitos de la norma de seguridad de datos de la industria de tarjetas de pago (PCI) y procedimientos de evaluación de seguridad, versión 3.2.1, mayo de 2018" (PDF) . PCI Security Standards Council, LLC. Archivado (PDF) del original el 1 de septiembre de 2018. Consultado el 4 de septiembre de 2018 .
2. Liu, Jing; Xiao, Yang; Chen, Hui; Ozdemir, Suat; Dodle, Srinivas; Singh, Vikas (2010). "Una encuesta sobre el estándar de seguridad de datos de la industria de tarjetas de pago". IEEE Communications Surveys & Tutorials . 12 (3): 287–303. doi :10.1109/SURV.2010.031810.00083. S2CID  18117838.
3. "Acerca de nosotros". PCI Security Standards Council . Archivado desde el original el 2 de abril de 2022. Consultado el 15 de diciembre de 2022 .
4. "Biblioteca de documentos". PCI Security Standards Council. Archivado desde el original el 7 de noviembre de 2020. Consultado el 12 de noviembre de 2020 .
5. "Asegurar el futuro de los pagos: PCI SSC publica el estándar de seguridad de datos PCI v4.0". PCI Security Standards Council. 31 de marzo de 2022. Archivado desde el original el 9 de abril de 2022. Consultado el 8 de abril de 2022 .
6. "Guía de referencia rápida de PCI DSS" (PDF) . Archivado (PDF) del original el 12 de noviembre de 2020 . Consultado el 12 de noviembre de 2020 .
7. "Información complementaria: Directrices para conexiones inalámbricas PCI DSS" (PDF) . 26 de agosto de 2011. Archivado (PDF) del original el 31 de octubre de 2018. Consultado el 8 de agosto de 2018 .
8. "Centro de recursos PCI DSS v4.0". Archivado desde el original el 23 de marzo de 2023. Consultado el 24 de marzo de 2023 .
9. "Sitio oficial del PCI Security Standards Council: verificación del cumplimiento de PCI, descarga de estándares de seguridad de datos y de tarjetas de crédito". www.pcisecuritystandards.org . Archivado desde el original el 2 de septiembre de 2019 . Consultado el 21 de febrero de 2007 .
10. "Visa en Europa". Archivado desde el original el 9 de febrero de 2019 . Consultado el 8 de febrero de 2019 .
11. "Lo que los comerciantes deben saber | Procesar datos de pago y transacciones seguras | Mastercard". www.mastercard.us . Archivado desde el original el 9 de febrero de 2019 . Consultado el 8 de febrero de 2019 .
12. PCI Security Standards Council. "Requisitos de la norma de seguridad de datos de la industria de tarjetas de pago (PCI) y procedimientos de evaluación de seguridad versión 3.2" (PDF) . PCI Security Standards Council, LLC. Archivado desde el original el 19 de julio de 2023. Consultado el 4 de septiembre de 2018 .
13. "Evaluadores de seguridad calificados". PCI Security Standards Council. Archivado desde el original el 18 de mayo de 2023. Consultado el 18 de mayo de 2023 .
14. "Requisitos de calificación para evaluadores de seguridad calificados (QSA)" (PDF) . PCI Security Standards Council.
15. "Evite pagar por una certificación PCI que no necesita". FierceRetail . 12 de mayo de 2010. Archivado desde el original el 17 de mayo de 2022 . Consultado el 26 de marzo de 2018 .
16. Edward A. Morse; Vasant Raval, El ordenamiento privado a la luz de la ley: cómo lograr la protección del consumidor mediante medidas de seguridad en las tarjetas de pago Archivado el 6 de agosto de 2020 en Wayback Machine DePaul Business & Commercial Law Journal 10, n.º 2 (invierno de 2012): 213-266
17. James T. Graves, Minnesota's PCI Law: A Small Step on the Path to a Statutory Duty of Data Security Due Care' Archivado el 6 de agosto de 2020 en Wayback Machine . William Mitchell Law Review 34, no. 3 (2008): 1115-1146
18. "MINN. STAT. § 325E.64". Archivado desde el original el 10 de octubre de 2019 . Consultado el 10 de octubre de 2019 .
19. "NEV. REV. STAT. § 603A.215". Archivado desde el original el 1 de octubre de 2019 . Consultado el 10 de octubre de 2019 .
20. "2010 Wash. Sess. Laws 1055, § 3" (PDF) . Archivado (PDF) del original el 28 de julio de 2019. Consultado el 10 de octubre de 2019 .
21. Zetter, Kim (11 de enero de 2012). "Una rara lucha legal se enfrenta a las normas de seguridad y multas de las compañías de tarjetas de crédito". Wired . Consultado el 30 de marzo de 2019 .
22. "¿Reducen los estándares de datos de la industria de tarjetas de pago los delitos cibernéticos? Audiencia ante el Subcomité de Amenazas Emergentes, Ciberseguridad y Ciencia y Tecnología del Comité de Seguridad Nacional, Cámara de Representantes, 111.° Congreso, Primera Sesión, 31 de marzo de 2009". GPO. 31 de marzo de 2009. Archivado desde el original el 30 de marzo de 2019. Consultado el 30 de marzo de 2019 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
23. "Bruce Schneier reflexiona sobre una década de tendencias de seguridad". Schneier on Security. 15 de enero de 2008. Archivado desde el original el 3 de marzo de 2019. Consultado el 8 de marzo de 2019 .
24. "¿Puede el cumplimiento de PCI ser perjudicial para su iniciativa de seguridad?". www.brighttalk.com . Archivado desde el original el 18 de abril de 2021. Consultado el 9 de octubre de 2020 .
25. Vijayan, Jaikumar (19 de marzo de 2009). "Las críticas posteriores a la violación de la norma de seguridad PCI son inapropiadas, afirma un ejecutivo de Visa". Computerworld . Archivado desde el original el 4 de septiembre de 2018. Consultado el 4 de septiembre de 2018 .
26. Salim, Hamid M. (2014). Seguridad cibernética: enfoque de pensamiento sistémico y teoría de sistemas para gestionar los riesgos de seguridad cibernética (Tesis). Instituto Tecnológico de Massachusetts. hdl :1721.1/90804. Archivado desde el original el 18 de abril de 2021 . Consultado el 8 de octubre de 2020 .

Enlaces externos

• Sitio oficial del Consejo de normas de seguridad PCI