El Estándar de seguridad de datos de la industria de tarjetas de pago ( PCI DSS ) es un estándar de seguridad de la información que se utiliza para manejar tarjetas de crédito de las principales marcas de tarjetas . El estándar es administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago y su uso es obligatorio por las marcas de tarjetas. Fue creado para controlar mejor los datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito . La validación del cumplimiento se realiza anualmente o trimestralmente con un método adecuado al volumen de transacciones: [1]
Las principales marcas de tarjetas tenían cinco programas de seguridad diferentes:
Las intenciones de cada uno eran más o menos similares: crear un nivel adicional de protección para los emisores de tarjetas garantizando que los comerciantes cumplan con niveles mínimos de seguridad cuando almacenan, procesan y transmiten datos de los titulares de tarjetas. Para abordar los problemas de interoperabilidad entre los estándares existentes, el esfuerzo combinado de las principales organizaciones de tarjetas de crédito dio como resultado el lanzamiento de la versión 1.0 de PCI DSS en diciembre de 2004. [ cita necesaria ] PCI DSS se ha implementado y seguido en todo el mundo.
Luego se formó el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), y estas empresas alinearon sus políticas para crear el PCI DSS. [2] MasterCard, American Express, Visa, JCB International y Discover Financial Services establecieron el PCI SSC en septiembre de 2006 como una entidad administrativa y rectora que ordena la evolución y el desarrollo del PCI DSS. [3] Las organizaciones privadas independientes pueden participar en el desarrollo de PCI después de registrarse. Cada organización participante se une a un SIG (Grupo de Interés Especial) y contribuye a las actividades ordenadas por el grupo. Se han puesto a disposición las siguientes versiones de PCI DSS: [4]
La PCI DSS tiene doce requisitos de cumplimiento, organizados en seis grupos relacionados conocidos como objetivos de control: [6]
Cada versión de PCI DSS ha dividido estos seis grupos de requisitos de manera diferente, pero los doce requisitos no han cambiado desde el inicio del estándar. Cada requisito y subrequisito se divide en tres secciones:
En la versión 3.2.1 de PCI DSS, los doce requisitos son:
El PCI SSC (Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago) ha publicado información complementaria para aclarar los requisitos, que incluye:
Las empresas sujetas a los estándares PCI DSS deben cumplir con PCI; La forma en que prueban e informan su cumplimiento se basa en su número anual de transacciones y en cómo se procesan las transacciones. Un adquirente o una marca de pago puede colocar manualmente a una organización en un nivel de informes a su discreción. [9] Los niveles de comerciante son:
Cada emisor de tarjetas mantiene una tabla de niveles de cumplimiento y una tabla de proveedores de servicios. [10] [11]
La validación del cumplimiento implica la evaluación y confirmación de que los controles y procedimientos de seguridad se han implementado de acuerdo con PCI DSS. La validación se produce a través de una evaluación anual, ya sea por una entidad externa o por autoevaluación. [12]
Un asesor de seguridad calificado (QSA) de PCI realiza un Informe de cumplimiento (ROC) y tiene como objetivo proporcionar una validación independiente del cumplimiento de una entidad con el estándar PCI DSS. Una ROC completa da como resultado dos documentos: una plantilla de informe de ROC con una explicación detallada de las pruebas realizadas y una Declaración de cumplimiento (AOC) que documenta que se ha completado una ROC y la conclusión general de la ROC.
El Cuestionario de autoevaluación (SAQ) de PCI DSS es una herramienta de validación destinada a pequeños y medianos comerciantes y proveedores de servicios para evaluar su propio estado de cumplimiento de PCI DSS. Existen varios tipos de SAQ, cada uno con una duración diferente según el tipo de entidad y el modelo de pago utilizado. Cada pregunta del SAQ tiene una respuesta de sí o no, y cualquier respuesta "no" requiere que la entidad indique su implementación futura. Al igual que con las ROC, también se completa una certificación de cumplimiento (AOC) basada en el SAQ.
El PCI Security Standards Council mantiene un programa para certificar a empresas e individuos para que realicen actividades de evaluación.
Un asesor de seguridad calificado (QSA) es una persona certificada por el PCI Security Standards Council para validar el cumplimiento de PCI DSS de otra entidad. Los QSA deben ser empleados y patrocinados por una empresa QSA, que también debe estar certificada por el PCI Security Standards Council. [13] [14]
Un asesor de seguridad interna (ISA) es una persona que ha obtenido un certificado del PCI Security Standards Council para su organización patrocinadora y puede realizar autoevaluaciones de PCI para su organización. El programa ISA fue diseñado para ayudar a los comerciantes de Nivel 2 a cumplir con los requisitos de validación de cumplimiento de Mastercard. [15] La certificación ISA faculta a un individuo para realizar una evaluación de su asociación y proponer soluciones y controles de seguridad para el cumplimiento de PCI DSS. Las ISA están a cargo de la cooperación y participación con las QSA. [12]
Aunque todas las entidades que procesan, almacenan o transmiten datos de titulares de tarjetas deben implementar PCI DSS, la validación formal del cumplimiento de PCI DSS no es obligatoria para todas las entidades. Visa y Mastercard exigen que los comerciantes y proveedores de servicios estén validados según PCI DSS; Visa también ofrece un Programa de Innovación Tecnológica (TIP), un programa alternativo que permite a los comerciantes calificados suspender la evaluación de validación anual PCI DSS. Los comerciantes son elegibles si toman precauciones alternativas contra el fraude, como el uso de EMV o cifrado punto a punto .
Los bancos emisores no están obligados a someterse a la validación PCI DSS, aunque deben proteger los datos confidenciales de manera compatible con PCI DSS. Los bancos adquirentes deben cumplir con PCI DSS y validar su cumplimiento con una auditoría . En una violación de seguridad, cualquier entidad comprometida que no cumpliera con PCI DSS en el momento de la violación puede estar sujeta a sanciones adicionales (como multas) por parte de las marcas de tarjetas o los bancos adquirentes.
La ley federal de los Estados Unidos no exige el cumplimiento de PCI DSS , pero las leyes de algunos estados se refieren directamente a PCI DSS o establecen disposiciones equivalentes. Los juristas Edward Morse y Vasant Raval han dicho que al consagrar el cumplimiento de PCI DSS en la legislación, las redes de tarjetas reasignaron el costo del fraude de los emisores de tarjetas a los comerciantes. [16] En 2007, Minnesota promulgó una ley que prohíbe la retención de algunos tipos de datos de tarjetas de pago más de 48 horas después de la autorización de una transacción. [17] [18] Nevada incorporó el estándar a la ley estatal dos años después, exigiendo el cumplimiento por parte de los comerciantes que hacen negocios en ese estado con el PCI DSS actual y protegiendo a las entidades que cumplen con la responsabilidad. La ley de Nevada también permite a los comerciantes evitar la responsabilidad según otras normas de seguridad aprobadas. [19] [16] En 2010, Washington también incorporó la norma a la ley estatal. A diferencia de la ley de Nevada, las entidades no están obligadas a cumplir con PCI DSS; sin embargo, las entidades que cumplen están protegidas de responsabilidad en caso de una violación de datos. [20] [16]
Visa y Mastercard imponen multas por incumplimiento. Stephen y Theodora "Cissy" McComb, propietarios del Cisero's Ristorante and Nightclub en Park City, Utah , fueron multados por una infracción por la cual dos firmas forenses no pudieron encontrar evidencia:
Los McComb afirman que el sistema PCI no es tanto un sistema para proteger los datos de las tarjetas de los clientes como un sistema para obtener beneficios para las compañías de tarjetas mediante multas y sanciones. Visa y MasterCard imponen multas a los comerciantes incluso cuando no hay ninguna pérdida por fraude, simplemente porque las multas son "rentables para ellos", dicen los McComb. [21]
Michael Jones, CIO de Michaels , testificó ante un subcomité del Congreso de EE. UU. sobre el PCI DSS:
[Los requisitos de PCI DSS] son muy costosos de implementar, confusos de cumplir y, en última instancia, subjetivos, tanto en su interpretación como en su aplicación. A menudo se afirma que sólo existen doce "Requisitos" para el cumplimiento de PCI. De hecho, existen más de 220 subrequisitos; algunos de los cuales pueden suponer una carga increíble para un minorista y muchos de ellos están sujetos a interpretación . [22]
El PCI DSS puede obligar a las empresas a prestar más atención a la seguridad de TI, incluso si los estándares mínimos no son suficientes para erradicar los problemas de seguridad. Bruce Schneier habló a favor de la norma:
La regulación (SOX, HIPAA , GLBA, el PCI de la industria de tarjetas de crédito, las diversas leyes de divulgación, la Ley Europea de Protección de Datos, lo que sea) ha sido el mejor palo que la industria ha encontrado para golpear a las empresas en la cabeza. Y funciona. La regulación obliga a las empresas a tomarse la seguridad más en serio y a vender más productos y servicios. [23]
El director general del PCI Council, Bob Russo, respondió a las objeciones de la Federación Nacional de Minoristas :
[PCI es una combinación estructurada]... [de] especificidad y conceptos de alto nivel [que permite] a las partes interesadas la oportunidad y flexibilidad de trabajar con asesores de seguridad calificados (QSA) para determinar los controles de seguridad apropiados dentro de su entorno que cumplan con la intención de los estándares PCI. [24]
La directora de riesgos empresariales de Visa, Ellen Richey, dijo en 2018: "Aún no se ha descubierto que ninguna entidad comprometida cumpla con PCI DSS en el momento de una infracción". [25] Sin embargo, una violación de Heartland Payment Systems (validada como compatible con PCI DSS) en 2008 resultó en el compromiso de cien millones de números de tarjetas. Por esa época, Hannaford Brothers y TJX Companies (también validadas como compatibles con PCI DSS) sufrieron una violación similar como resultado de los esfuerzos supuestamente coordinados de Albert González y dos piratas informáticos rusos anónimos. [26]
Las evaluaciones examinan el cumplimiento de los comerciantes y proveedores de servicios con el PCI DSS en un momento específico, frecuentemente utilizando muestreos para permitir que se demuestre el cumplimiento con sistemas y procesos representativos. Es responsabilidad del comerciante y proveedor de servicios lograr, demostrar y mantener el cumplimiento durante todo el ciclo anual de validación y evaluación en todos los sistemas y procesos. Una falla en el cumplimiento de la norma escrita por parte de comerciantes y proveedores de servicios puede haber sido responsable de las violaciones; Hannaford Brothers recibió su validación de cumplimiento de PCI DSS un día después de que se le informara de un compromiso de dos meses en sus sistemas internos.
La validación de cumplimiento se requiere solo para los comerciantes de nivel 1 a 3 y puede ser opcional para el nivel 4, según la marca de la tarjeta y el adquirente. De acuerdo con los detalles de validación de cumplimiento de Visa para comerciantes, los requisitos de validación de cumplimiento de comerciantes de nivel 4 ("Comerciantes que procesan menos de 20 000 transacciones de comercio electrónico de Visa al año y todos los demás comerciantes que procesan hasta 1 millón de transacciones de Visa al año") los establece el adquirente . Más del 80 por ciento de los compromisos con tarjetas de pago entre 2005 y 2007 afectaron a comerciantes de nivel 4, que manejaron el 32 por ciento de todas esas transacciones. [ cita necesaria ]
{{cite journal}}
: Citar diario requiere |journal=
( ayuda )