Por Hillary Álvarez.
La Payment Card Industry Data Security Standard (PCI DSS), por sus siglas en inglés, es un estándar de seguridad a
nivel mundial desarrollado por la industria de tarjetas de pago cuyo objetivo es proteger los datos de tarjeta y los sistemas que los operan. La PCI DSS nos proporciona una referencia de controles técnicos y operativos desarrollados para proteger los datos del titular de la tarjeta y/o los datos de autenticación durante su procesamiento, almacenamiento y transmisión.
Los datos del titular de la tarjeta y los datos de autenticación confidenciales se agrupan de la siguiente manera:
¿A quienes les interesa el cumplimiento de la norma?
La respuesta puede parecer un poco compleja, pero la realidad es que la seguridad de la información de los titulares de las tarjetas nos afecta a todos. La violación o robo de la información de los titulares de las tarjetas puede desencadenar en grandes pérdidas financieras, dado que, al comprometerse dicha información, se puede afectar todo el ecosistema de pagos.
Es por ello, que seguir el estándar PCI DSS es simplemente un buen negocio al garantizar transacciones con tarjetas de pago saludables y confiables para los cientos de millones de personas en todo el mundo que utilizan sus tarjetas diariamente. Dicho esto, el cumplimiento de la norma es de gran interés para empresas de todos los sectores y de todo el mundo, incluyendo minoristas, aerolíneas, hoteles, bancos, hospitales, empresas de tecnología, procesadores de pagos, asociaciones industriales, por mencionar algunos.
Origen del estándar PCI DSS
Mundialmente existen 5 marcas de tarjeta de pago, las cuales corresponden a American Express, MasterCard, Visa, JCB y Discover. Cada una de ellas contaba con su propio programa de seguridad para la protección de los datos de tarjeta, sin embargo, si una entidad almacenaba, procesaba o transmitía datos de tarjeta de cualquiera de estas marcas tenían que cumplir con su programa de seguridad, lo cual resultaba en incongruencias y duplicidades entre una y otra marca al momento de la implementación de los controles. Es por ello, que las marcas de pago definieron un estándar único que incluyera los requerimientos de seguridad de forma integral para que las entidades pudieran adoptarlos con mayor facilidad y practicidad.
Niveles de cumplimiento PCI DSS
Como hemos mencionado anteriormente, el estándar PCI DSS describe detalladamente lo que se espera de los comercios, es decir, cualquier entiendad que almancena, procesa o transmite datos de tarjeta y tiene una identificación para tal efecto. Cada comercio se clasfica en un nivel con base en el volumen de transacciones anuales, los cuales se mencionan a continuación:
Para determinar el nivel de cumplimiento PCI DSS, las marcas de tarjetas de pago, recomiendan que los comercios se comuniquen con su entidad adquiriente y, en conjunto con el banco, determinen el nivel del comercio utlilizando el volumen de transacciones del periodo de 52 semanas más reciente, confirmen los requisitos de validación PCI necesarios e involucren a un proveedor certificado (PCI-QSA), según sea el caso, y se continue con los procedimientos de validación.
Aplicabilidad del estándar PCI DSS
Es importante mencionar que dicho estándar no sustituye leyes, regulaciones de gobierno u otros requisitos legales y se aplica a todas las entidades y a todos los componentes que participan en el sistema, es decir, los controles del estándar se deben aplicar al entorno en donde se almacenan, procesan y/o transmien datos de tarjetas (el cual recibe el nombre de Entorno de datos del titular de la tarjeta o Cardholder Data Environment, CDE), así como a todos los demás componentes conectados a este (el cual recibe el nombre del Alcance de cumplimiento).
Bajo este contexto, es necesario identificar los flujos de datos de tarjetas, es decir, toda la trayectoria de los datos de tarjeta dentro de un proceso. Para entederlo de una forma más sencilla, un ejemplo sería un proceso de atención al cliente en donde quizá los datos de tarjeta se deban extraer de un repositorio o una base de datos y terminan en una aplicación para después ser impresos en un formato. Esto quiere decir que los datos de tarjeta están atravesando varios componentes tecnológicos a través de varias etapas, y lo que se debe hacer es identificar todos estos componentes en los cuales los datos de tarjeta están siendo almacenados, procesados o transmitidos y tener registrado con el mayor detalle de cómo están existiendo estos datos de tarjeta en cada uno de los componentes.
Algunos puntos clave para comprender la aplicabilidad de la norma son los siguientes:
Es importante mencionar que en redes planas (no segmentadas) todos los sistemas forman parte del entorno, aun cuando sea solo uno el que almacene, procese o transmita datos de tarjetas. Es por ello que se recomienda reducir el alcance de la norma, mediante una segmentación de redes y de esta manera separar los sistemas del entorno, de aquellos que no son parte o que no son necesarios. Esto directamente ofrece beneficios, tal como, la reducción del alcance, reducción de costos de evaluación de la norma, reducción del tiempo y la dificultad de la implementación y el mantenimiento de los controles de seguridad, así como la reducción del riesgo de las organizaciones al tener menos ubicaciones con datos de tarjeta y más controladas.
¿Qué solicita la norma?
La norma solicita un conjunto de controles de seguridad lógica, física y administrativa divididos en 6 grupos principales y, a su vez, divididos en 12 dominios. Una descripción del contenido de alto nivel se presenta a continuación:
Desarrollar y mantener redes y sistemas seguros
- Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
- No usar los valores predeterminados del proveedor para las contraseñas del sistema y otros parámetros de seguridad.
Proteger los datos del titular de la tarjeta
- Proteger los datos del titular de la tarjeta que fueron almacenados.
- Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
Mantener un programa de administración de vulnerabilidad
- Proteger todos los sistemas contra malware y actualizar los programas antivirus regularmente.
- Desarrollar y mantener sistemas y aplicaciones seguros.
Implementar medidas sólidas de control de acceso
- Restringir el acceso a los datos del titular de la tarjeta.
- Identificar y autenticar el acceso a los componentes del sistema.
- Restringir el acceso físico a los datos del titular de la tarjeta.
Supervisar y evaluar las redes con regularidad
- Supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
- Probar periódicamente los sistemas y procesos de seguridad.
Mantener una política de seguridad de información
- Mantener una política que aborde la seguridad de la información para todo el personal.
Proceso de evaluación de la norma PCI DSS
Para el proceso de evaluación de la norma es necesario llevar a cabo los siguientes pasos:
- Se debe confirmar el alcance de la evaluación.
- Se debe llevar a cabo la evaluación de la norma de acuerdo con los procedimientos de prueba de cada requisito.
- Se debe completar el informe de evaluación, ya sea el cuestionario de autoevaluación (SAQ) o el informe de cumplimiento (ROC).
- Se debe completar la declaración de cumplimiento para proveedores de servicios o comerciantes.
- Se debe presentar el SAQ o el ROC y la declaración de cumplimiento para proveedores junto con cualquier otro documento solicitado.
- Y finalmente, de ser necesario se debe realizar una remediación de aquellos requisitos que no se encuentren implementados y presentar un informe actualizado.
¿Qué beneficios tienen las organizaciones al cumplir con la norma?
Vale la pena mencionar que los beneficios que obtienen las empresas al cumplir con la norma PCI DSS son vitales para el éxito a largo plazo de todos los comerciantes que procesan pagos con tarjeta. Y para fines prácticos, es preciso mencionar aquellos riesgos a los que pueden enfrentarse las organizaciones al no tener un cumplimiento PCI DSS:
- La pérdida de confianza de los clientes o la pérdida de credibilidad de la empresa.
- Pérdidas por fraude.
- Disminución en las ventas.
- Mayores costos posteriores al cumplimiento.
- Costos por acuerdos y sentencias.
- Costos operativos por baja eficiencia o paro operativo en caso de ataque.
- Multas y sanciones
- Terminación de la capacidad de aceptar tarjetas de pago.
- Empleos perdidos (CEO, CISO y demás puestos profesionales dependientes).
- Encontrarse en la posición de salir del negocio.
Finalmente podemos concluir que, al mantener la seguridad de los sistemas, los clientes estarán dispuestos a confiarle la información confidencial de sus tarjetas de pagos. En la medida en que usted cumple, se convierte en parte de la solución: una respuesta global e integrada para combatir los fallos de seguridad en los datos de tarjetas de pago.
Referencias:
PCI DSS: Requisitos y procedimientos de evaluación de seguridad Versión 3.2.1, Sitio web: https://www.pcisecuritystandards.org/document_library
Acosta D. (2019). ¿Qué es PCI DSS?, Sitio web: https://www.pcihispano.com/que-es-pci-dss/
Morante M. Entendimiento de los requisitos de seguridad del estándar en profundo detalle técnico, Sitio web: https://www.udemy.com/course/implementacion-y-cumplimiento-del-estandar-pci-dss/learn/lecture/13999158#overview
Niveles de cumplimiento de PCI DSS: ¿Qué nivel eres?, Sitio web: https://fortytwo.nl/niveles-cumplimiento-pci/?lang=es
Estándar de seguridad de los datos (DSS) de la industria de tarjetas de pago (PCI), Sitio web: https://docs.microsoft.com/es-es/compliance/regulatory/offering-pci-dss