Estándar de seguridad de datos de la industria de tarjetas de pago

Conjunto de requisitos de seguridad para procesadores de tarjetas de crédito.

El Estándar de seguridad de datos de la industria de tarjetas de pago ( PCI DSS ) es un estándar de seguridad de la información que se utiliza para manejar tarjetas de crédito de las principales marcas de tarjetas . El estándar es administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago y su uso es obligatorio por las marcas de tarjetas. Fue creado para controlar mejor los datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito . La validación del cumplimiento se realiza anualmente o trimestralmente con un método adecuado al volumen de transacciones: ^[1]

• Cuestionario de autoevaluación (SAQ)
• Asesor de seguridad interna (ISA) específico de la empresa
• Asesor de seguridad externo cualificado (QSA)

Historia

Las principales marcas de tarjetas tenían cinco programas de seguridad diferentes:

• Programa de seguridad de la información del titular de la tarjeta Visa
• Proteccion de data del sitio de Mastercard
• Política operativa de seguridad de datos de American Express
• Cumplimiento y seguridad de la información de Discover
• Programa de seguridad de datos de JCB

Las intenciones de cada uno eran más o menos similares: crear un nivel adicional de protección para los emisores de tarjetas garantizando que los comerciantes cumplan con niveles mínimos de seguridad cuando almacenan, procesan y transmiten datos de los titulares de tarjetas. Para abordar los problemas de interoperabilidad entre los estándares existentes, el esfuerzo combinado de las principales organizaciones de tarjetas de crédito dio como resultado el lanzamiento de la versión 1.0 de PCI DSS en diciembre de 2004. ^{[ cita necesaria ]} PCI DSS se ha implementado y seguido en todo el mundo.

Luego se formó el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), y estas empresas alinearon sus políticas para crear el PCI DSS. ^[2] MasterCard, American Express, Visa, JCB International y Discover Financial Services establecieron el PCI SSC en septiembre de 2006 como una entidad administrativa y rectora que ordena la evolución y el desarrollo del PCI DSS. ^[3] Las organizaciones privadas independientes pueden participar en el desarrollo de PCI después de registrarse. Cada organización participante se une a un SIG (Grupo de Interés Especial) y contribuye a las actividades ordenadas por el grupo. Se han puesto a disposición las siguientes versiones de PCI DSS: ^[4]

Requisitos

La PCI DSS tiene doce requisitos de cumplimiento, organizados en seis grupos relacionados conocidos como objetivos de control: ^[6]

1. Construir y mantener una red y sistemas seguros
2. Proteger los datos del titular de la tarjeta
3. Mantener un programa de gestión de vulnerabilidades.
4. Implementar fuertes medidas de control de acceso.
5. Supervise y pruebe las redes periódicamente
6. Mantener una política de seguridad de la información.

Cada versión de PCI DSS ha dividido estos seis grupos de requisitos de manera diferente, pero los doce requisitos no han cambiado desde el inicio del estándar. Cada requisito y subrequisito se divide en tres secciones:

1. Requisitos de PCI DSS: defina el requisito. El respaldo de PCI DSS se realiza cuando se implementa el requisito.
2. Pruebas: Los procesos y metodologías llevadas a cabo por el evaluador para la confirmación de su adecuada implementación.
3. Orientación: Explica el propósito del requisito y el contenido correspondiente, que puede ayudar en su definición adecuada.

En la versión 3.2.1 de PCI DSS, los doce requisitos son:

1. Instalar y mantener un sistema de firewall para proteger los datos de los titulares de tarjetas.
2. Evite los valores predeterminados proporcionados por los proveedores para las contraseñas del sistema y otros parámetros de seguridad.
3. Proteja los datos almacenados del titular de la tarjeta.
4. Cifre la transmisión de datos de titulares de tarjetas en redes públicas abiertas.
5. Proteja todos los sistemas contra malware y actualice el software o programas antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguros.
7. Restrinja el acceso a los datos de los titulares de tarjetas según las necesidades empresariales .
8. Identificar y autenticar el acceso a los componentes del sistema.
9. Restringir el acceso físico a los datos del titular de la tarjeta.
10. Realice un seguimiento y controle el acceso a los recursos de la red y a los datos de los titulares de tarjetas.
11. Pruebe periódicamente los sistemas y procesos de seguridad.
12. Mantener una política de seguridad de la información que aborde la seguridad de la información para todo el personal.

Actualizaciones e información complementaria

El PCI SSC (Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago) ha publicado información complementaria para aclarar los requisitos, que incluye:

• Suplemento informativo: Requisito 11.3 Pruebas de penetración
• Suplemento informativo: Requisito 6.6 Revisiones de código y firewalls de aplicaciones aclarados
• Navegando por PCI DSS - Comprensión de la intención de los requisitos
• Directrices inalámbricas PCI DSS ^[7]
• Aplicabilidad de PCI DSS en un entorno EMV
• Enfoque priorizado para PCI DSS
• Herramienta de enfoque priorizado
• Guía de referencia rápida de PCI DSS
• Directrices de virtualización PCI DSS
• Directrices de tokenización PCI DSS
• Directrices de evaluación de riesgos PCI DSS 2.0
• El ciclo de vida de los cambios en PCI DSS y PA-DSS
• Guía para el alcance y la segmentación de PCI DSS
• Centro de recursos PCI DSS v4.0 ^[8]

Niveles de informes

Las empresas sujetas a los estándares PCI DSS deben cumplir con PCI; La forma en que prueban e informan su cumplimiento se basa en su número anual de transacciones y en cómo se procesan las transacciones. Un adquirente o una marca de pago puede colocar manualmente a una organización en un nivel de informes a su discreción. ^[9] Los niveles de comerciante son:

• Nivel 1: más de seis millones de transacciones al año
• Nivel 2: entre uno y seis millones de transacciones
• Nivel 3: entre 20.000 y un millón de transacciones, y todos los comerciantes de comercio electrónico
• Nivel 4: menos de 20.000 transacciones

Cada emisor de tarjetas mantiene una tabla de niveles de cumplimiento y una tabla de proveedores de servicios. ^{[10] [11]}

Validación de cumplimiento

La validación del cumplimiento implica la evaluación y confirmación de que los controles y procedimientos de seguridad se han implementado de acuerdo con PCI DSS. La validación se produce a través de una evaluación anual, ya sea por una entidad externa o por autoevaluación. ^[12]

Informe de Cumplimiento

Un asesor de seguridad calificado (QSA) de PCI realiza un Informe de cumplimiento (ROC) y tiene como objetivo proporcionar una validación independiente del cumplimiento de una entidad con el estándar PCI DSS. Una ROC completa da como resultado dos documentos: una plantilla de informe de ROC con una explicación detallada de las pruebas realizadas y una Declaración de cumplimiento (AOC) que documenta que se ha completado una ROC y la conclusión general de la ROC.

Cuestionario de Autoevaluación

El Cuestionario de autoevaluación (SAQ) de PCI DSS es una herramienta de validación destinada a pequeños y medianos comerciantes y proveedores de servicios para evaluar su propio estado de cumplimiento de PCI DSS. Existen varios tipos de SAQ, cada uno con una duración diferente según el tipo de entidad y el modelo de pago utilizado. Cada pregunta del SAQ tiene una respuesta de sí o no, y cualquier respuesta "no" requiere que la entidad indique su implementación futura. Al igual que con las ROC, también se completa una certificación de cumplimiento (AOC) basada en el SAQ.

Asesores de seguridad

El PCI Security Standards Council mantiene un programa para certificar a empresas e individuos para que realicen actividades de evaluación.

Asesor de seguridad calificado

Un asesor de seguridad calificado (QSA) es una persona certificada por el PCI Security Standards Council para validar el cumplimiento de PCI DSS de otra entidad. Los QSA deben ser empleados y patrocinados por una empresa QSA, que también debe estar certificada por el PCI Security Standards Council. ^{[13] [14]}

Asesor de Seguridad Interna

Un asesor de seguridad interna (ISA) es una persona que ha obtenido un certificado del PCI Security Standards Council para su organización patrocinadora y puede realizar autoevaluaciones de PCI para su organización. El programa ISA fue diseñado para ayudar a los comerciantes de Nivel 2 a cumplir con los requisitos de validación de cumplimiento de Mastercard. ^[15] La certificación ISA faculta a un individuo para realizar una evaluación de su asociación y proponer soluciones y controles de seguridad para el cumplimiento de PCI DSS. Las ISA están a cargo de la cooperación y participación con las QSA. ^[12]

Cumplimiento versus validación del cumplimiento

Aunque todas las entidades que procesan, almacenan o transmiten datos de titulares de tarjetas deben implementar PCI DSS, la validación formal del cumplimiento de PCI DSS no es obligatoria para todas las entidades. Visa y Mastercard exigen que los comerciantes y proveedores de servicios estén validados según PCI DSS; Visa también ofrece un Programa de Innovación Tecnológica (TIP), un programa alternativo que permite a los comerciantes calificados suspender la evaluación de validación anual PCI DSS. Los comerciantes son elegibles si toman precauciones alternativas contra el fraude, como el uso de EMV o cifrado punto a punto .

Los bancos emisores no están obligados a someterse a la validación PCI DSS, aunque deben proteger los datos confidenciales de manera compatible con PCI DSS. Los bancos adquirentes deben cumplir con PCI DSS y validar su cumplimiento con una auditoría . En una violación de seguridad, cualquier entidad comprometida que no cumpliera con PCI DSS en el momento de la violación puede estar sujeta a sanciones adicionales (como multas) por parte de las marcas de tarjetas o los bancos adquirentes.

Legislación en los Estados Unidos

La ley federal de los Estados Unidos no exige el cumplimiento de PCI DSS , pero las leyes de algunos estados se refieren directamente a PCI DSS o establecen disposiciones equivalentes. Los juristas Edward Morse y Vasant Raval han dicho que al consagrar el cumplimiento de PCI DSS en la legislación, las redes de tarjetas reasignaron el costo del fraude de los emisores de tarjetas a los comerciantes. ^[16] En 2007, Minnesota promulgó una ley que prohíbe la retención de algunos tipos de datos de tarjetas de pago más de 48 horas después de la autorización de una transacción. ^{[17] [18]} Nevada incorporó el estándar a la ley estatal dos años después, exigiendo el cumplimiento por parte de los comerciantes que hacen negocios en ese estado con el PCI DSS actual y protegiendo a las entidades que cumplen con la responsabilidad. La ley de Nevada también permite a los comerciantes evitar la responsabilidad según otras normas de seguridad aprobadas. ^{[19] [16]} En 2010, Washington también incorporó la norma a la ley estatal. A diferencia de la ley de Nevada, las entidades no están obligadas a cumplir con PCI DSS; sin embargo, las entidades que cumplen están protegidas de responsabilidad en caso de una violación de datos. ^{[20] [16]}

Controversia y crítica

Visa y Mastercard imponen multas por incumplimiento. Stephen y Theodora "Cissy" McComb, propietarios del Cisero's Ristorante and Nightclub en Park City, Utah , fueron multados por una infracción por la cual dos firmas forenses no pudieron encontrar evidencia:

Los McComb afirman que el sistema PCI no es tanto un sistema para proteger los datos de las tarjetas de los clientes como un sistema para obtener beneficios para las compañías de tarjetas mediante multas y sanciones. Visa y MasterCard imponen multas a los comerciantes incluso cuando no hay ninguna pérdida por fraude, simplemente porque las multas son "rentables para ellos", dicen los McComb. ^[21]

Michael Jones, CIO de Michaels , testificó ante un subcomité del Congreso de EE. UU. sobre el PCI DSS:

[Los requisitos de PCI DSS] son ​​muy costosos de implementar, confusos de cumplir y, en última instancia, subjetivos, tanto en su interpretación como en su aplicación. A menudo se afirma que sólo existen doce "Requisitos" para el cumplimiento de PCI. De hecho, existen más de 220 subrequisitos; algunos de los cuales pueden suponer una carga increíble para un minorista y muchos de ellos están sujetos a interpretación . ^[22]

El PCI DSS puede obligar a las empresas a prestar más atención a la seguridad de TI, incluso si los estándares mínimos no son suficientes para erradicar los problemas de seguridad. Bruce Schneier habló a favor de la norma:

La regulación (SOX, HIPAA , GLBA, el PCI de la industria de tarjetas de crédito, las diversas leyes de divulgación, la Ley Europea de Protección de Datos, lo que sea) ha sido el mejor palo que la industria ha encontrado para golpear a las empresas en la cabeza. Y funciona. La regulación obliga a las empresas a tomarse la seguridad más en serio y a vender más productos y servicios. ^[23]

El director general del PCI Council, Bob Russo, respondió a las objeciones de la Federación Nacional de Minoristas :

[PCI es una combinación estructurada]... [de] especificidad y conceptos de alto nivel [que permite] a las partes interesadas la oportunidad y flexibilidad de trabajar con asesores de seguridad calificados (QSA) para determinar los controles de seguridad apropiados dentro de su entorno que cumplan con la intención de los estándares PCI. ^[24]

La directora de riesgos empresariales de Visa, Ellen Richey, dijo en 2018: "Aún no se ha descubierto que ninguna entidad comprometida cumpla con PCI DSS en el momento de una infracción". ^[25] Sin embargo, una violación de Heartland Payment Systems (validada como compatible con PCI DSS) en 2008 resultó en el compromiso de cien millones de números de tarjetas. Por esa época, Hannaford Brothers y TJX Companies (también validadas como compatibles con PCI DSS) sufrieron una violación similar como resultado de los esfuerzos supuestamente coordinados de Albert González y dos piratas informáticos rusos anónimos. ^[26]

Las evaluaciones examinan el cumplimiento de los comerciantes y proveedores de servicios con el PCI DSS en un momento específico, frecuentemente utilizando muestreos para permitir que se demuestre el cumplimiento con sistemas y procesos representativos. Es responsabilidad del comerciante y proveedor de servicios lograr, demostrar y mantener el cumplimiento durante todo el ciclo anual de validación y evaluación en todos los sistemas y procesos. Una falla en el cumplimiento de la norma escrita por parte de comerciantes y proveedores de servicios puede haber sido responsable de las violaciones; Hannaford Brothers recibió su validación de cumplimiento de PCI DSS un día después de que se le informara de un compromiso de dos meses en sus sistemas internos.

La validación de cumplimiento se requiere solo para los comerciantes de nivel 1 a 3 y puede ser opcional para el nivel 4, según la marca de la tarjeta y el adquirente. De acuerdo con los detalles de validación de cumplimiento de Visa para comerciantes, los requisitos de validación de cumplimiento de comerciantes de nivel 4 ("Comerciantes que procesan menos de 20 000 transacciones de comercio electrónico de Visa al año y todos los demás comerciantes que procesan hasta 1 millón de transacciones de Visa al año") los establece el adquirente . Más del 80 por ciento de los compromisos con tarjetas de pago entre 2005 y 2007 afectaron a comerciantes de nivel 4, que manejaron el 32 por ciento de todas esas transacciones. ^{[ cita necesaria ]}

Ver también

• Prueba de penetración
• Gestión de vulnerabilidades
• LAN inalámbrico
• Seguridad inalámbrica

Referencias

1. "Requisitos del estándar de seguridad de datos de la industria de tarjetas de pago (PCI) y procedimientos de evaluación de seguridad, versión 3.2.1, mayo de 2018" (PDF) . Consejo de normas de seguridad PCI, LLC. Archivado (PDF) desde el original el 1 de septiembre de 2018 . Consultado el 4 de septiembre de 2018 .
2. Liu, Jing; Xiao, Yang; Chen, Hui; Ozdemir, Suat; Dodle, Srinivas; Singh, Vikas (2010). "Una encuesta sobre el estándar de seguridad de datos de la industria de tarjetas de pago". Encuestas y tutoriales de comunicaciones IEEE . 12 (3): 287–303. doi :10.1109/SURV.2010.031810.00083. S2CID  18117838.
3. "Acerca de nosotros". Consejo de Normas de Seguridad PCI . Archivado desde el original el 2 de abril de 2022 . Consultado el 15 de diciembre de 2022 .
4. "Biblioteca de documentos". Consejo de Normas de Seguridad PCI. Archivado desde el original el 7 de noviembre de 2020 . Consultado el 12 de noviembre de 2020 .
5. "Asegurar el futuro de los pagos: PCI SSC publica el estándar de seguridad de datos PCI v4.0". Consejo de Normas de Seguridad PCI. 31 de marzo de 2022. Archivado desde el original el 9 de abril de 2022 . Consultado el 8 de abril de 2022 .
6. "Guía de referencia rápida de PCI DSS" (PDF) . Archivado (PDF) desde el original el 12 de noviembre de 2020 . Consultado el 12 de noviembre de 2020 .
7. "Suplemento informativo: Directrices inalámbricas PCI DSS" (PDF) . 26 de agosto de 2011. Archivado (PDF) desde el original el 31 de octubre de 2018 . Consultado el 8 de agosto de 2018 .
8. "Centro de recursos PCI DSS v4.0". Archivado desde el original el 23 de marzo de 2023 . Consultado el 24 de marzo de 2023 .
9. "Sitio oficial del Consejo de estándares de seguridad de PCI: verifique el cumplimiento de PCI, descargue los estándares de seguridad de datos y de tarjetas de crédito". www.pcisecuritystandards.org . Archivado desde el original el 2 de septiembre de 2019 . Consultado el 21 de febrero de 2007 .
10. "Visa en Europa". Archivado desde el original el 9 de febrero de 2019 . Consultado el 8 de febrero de 2019 .
11. "Cosas que los comerciantes deben saber | Procesar datos de pago y transacciones seguras | Mastercard". www.mastercard.us . Archivado desde el original el 9 de febrero de 2019 . Consultado el 8 de febrero de 2019 .
12. Consejo de normas de seguridad de PCI. "Requisitos del estándar de seguridad de datos de la industria de tarjetas de pago (PCI) y procedimientos de evaluación de seguridad, versión 3.2" (PDF) . Consejo de normas de seguridad PCI, LLC. Archivado desde el original el 19 de julio de 2023 . Consultado el 4 de septiembre de 2018 .
13. "Evaluadores de seguridad calificados". Consejo de Normas de Seguridad PCI. Archivado desde el original el 18 de mayo de 2023 . Consultado el 18 de mayo de 2023 .
14. "Requisitos de calificación para asesores de seguridad calificados (QSA)" (PDF) . Consejo de Normas de Seguridad PCI.
15. "Evite pagar por una certificación PCI que no necesita". FierceRetail . 12 de mayo de 2010. Archivado desde el original el 17 de mayo de 2022 . Consultado el 26 de marzo de 2018 .
16. Edward A. Morse; Vasant Raval, Pedidos privados a la luz de la ley: lograr la protección del consumidor mediante medidas de seguridad de las tarjetas de pago Archivado el 6 de agosto de 2020 en Wayback Machine DePaul Business & Commercial Law Journal 10, no. 2 (invierno de 2012): 213-266
17. James T. Graves, Ley PCI de Minnesota: un pequeño paso en el camino hacia un deber legal de debida diligencia en la seguridad de los datos 'Archivado el 6 de agosto de 2020 en Wayback Machine William Mitchell Law Review 34, no. 3 (2008): 1115-1146
18. "ESTADÍSTICAS DE MINN. § 325E.64". Archivado desde el original el 10 de octubre de 2019 . Consultado el 10 de octubre de 2019 .
19. "NEV. REV. STAT. § 603A.215". Archivado desde el original el 1 de octubre de 2019 . Consultado el 10 de octubre de 2019 .
20. "Ley 1055 de la sesión de Washington de 2010, § 3" (PDF) . Archivado (PDF) desde el original el 28 de julio de 2019 . Consultado el 10 de octubre de 2019 .
21. Zetter, Kim (11 de enero de 2012). "Una lucha legal poco común se enfrenta a las multas y los estándares de seguridad de las empresas de tarjetas de crédito". Cableado . Consultado el 30 de marzo de 2019 .
22. "¿Los estándares de datos de la industria de tarjetas de pago reducen el cibercrimen? Audiencia ante el Subcomité de Amenazas Emergentes, Ciberseguridad y Ciencia y Tecnología del Comité de Seguridad Nacional, Cámara de Representantes, Ciento Undécimo Congreso, Primera Sesión, 31 de marzo de 2009 ". GPO. 31 de marzo de 2009. Archivado desde el original el 30 de marzo de 2019 . Consultado el 30 de marzo de 2019 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
23. "Bruce Schneier reflexiona sobre una década de tendencias de seguridad". Schneier sobre seguridad. 15 de enero de 2008. Archivado desde el original el 3 de marzo de 2019 . Consultado el 8 de marzo de 2019 .
24. "¿Puede el cumplimiento de PCI ser perjudicial para su iniciativa de seguridad?". www.brighttalk.com . Archivado desde el original el 18 de abril de 2021 . Consultado el 9 de octubre de 2020 .
25. Vijayan, Jaikumar (19 de marzo de 2009). "Las críticas posteriores a la infracción del estándar de seguridad PCI están fuera de lugar, dice el ejecutivo de Visa". Mundo de la informática . Archivado desde el original el 4 de septiembre de 2018 . Consultado el 4 de septiembre de 2018 .
26. Salim, Hamid M. (2014). Seguridad cibernética: enfoque de pensamiento sistémico y teoría de sistemas para la gestión de riesgos de seguridad cibernética (tesis de tesis). Instituto de Tecnología de Massachusetts. hdl :1721.1/90804. Archivado desde el original el 18 de abril de 2021 . Consultado el 8 de octubre de 2020 .

enlaces externos

• Sitio oficial del Consejo de estándares de seguridad de PCI