Pasar al contenido principal

PCI DSS

¿A quién va dirigido?

El estándar PCI DSS está dirigido a todas las entidades que participan en los procesos de almacenamiento, procesamiento y/o transmisión de datos de tarjetas de pago, así como datos confidenciales de autenticación de dichas tarjetas de pago.

¿Qué es?

PCI DSS es el acrónimo de Payment Card Industry Data Security Standard, un estándar de seguridad creado por el PCI SSC (Payment Card Industry Security Standards Council) y orientado a la definición de controles para la protección de los datos del titular de la tarjeta y/o datos confidenciales de autenticación durante su procesamiento, almacenamiento y/o transmisión. Actualmente, se encuentra en la versión 3.2.1 publicada el 17 de mayo de 2018.

Antes de la publicación de la primera versión del estándar PCI DSS, cada una de las marcas de tarjetas de pago que forman parte del PCI SSC (Visa, Mastercard, American Express, JCB y Discover) contaban con sus respectivos programas propios de seguridad para la protección de los datos del titular de tarjeta. Cada uno de estos programas definía los controles de seguridad a implementar, las entidades que debían cumplir con dichos controles, los procesos de reporte de cumplimiento y las sanciones y multas en caso de incumplimiento.

Sin embargo, esto implicaba que, cuando una entidad almacenaba, procesaba y/o transmitía datos de tarjetas pertenecientes a cualquiera de estas marcas, tenía que cumplir con el programa de seguridad específico de cada marca, lo cual creaba duplicidades, incongruencias y solapamientos en la implementación de controles, además de una mayor carga burocrática.

Todo esto llevó a que las marcas de pago definieran un estándar único que cumpliera con los requerimientos y expectativas de seguridad de forma transversal, evitando los problemas citados anteriormente y facilitando una adopción masiva en las entidades afectadas.

No obstante, es importante aclarar que con la publicación del estándar PCI DSS los programas de seguridad de las marcas de pago no desaparecieron, ya que la responsabilidad en la definición de las entidades que tienen que cumplir con el estándar, la gestión de los reportes de cumplimiento y las acciones en caso de compromiso de datos de tarjetas y los criterios de multas y sanciones siguen siendo administrados por cada marca de forma independiente.

Roles y responsabilidades

De acuerdo con lo descrito anteriormente, los roles y responsabilidades en el cumplimiento del estándar PCI DSS son los siguientes:

Payment Card Industry Security Standards Council (PCI SSC)

  • Publica y actualiza el estándar de seguridad PCI DSS.

Marcas de pago (Visa, Mastercard, American Express, JCB, Discover)

  • Definen los programas de cumplimiento, gestión de reportes y multas y sanciones.

Entidades adquirientes (acquirers), redes de pago (payment networks) y entidades emisoras (issuers)

  • Implementan en sus entornos los controles de seguridad definidos en el estándar PCI DSS.
  • Reportan su cumplimiento con el estándar PCI DSS a las marcas de pago.
  • Centralizan y reportan el cumplimiento de sus comercios asociados a las marcas de pago.

Comercios (merchants) y proveedores de servicios (service providers)

  • Implementan en sus entornos los controles de seguridad definidos en el estándar PCI DSS
  • Reportan su cumplimiento con el estándar PCI DSS a los adquirientes, redes de pago o emisores que así lo requieran (o directamente a las marcas de pago, si así se estableciera)

Objetivos

Los objetivos del estándar PCI DSS se pueden resumir en los siguientes puntos:

  • Garantizar la protección de la información de los titulares de tarjetas de pago.
  • Minimizar el riesgo de compromiso de la información de tarjetas de pago.
  • Incrementar la confianza de los titulares de tarjetas de pago en las transacciones realizadas con las mismas.
  • Luchar contra la suplantación y otros fraudes que se producen en Internet u otros canales.

Descripción de los controles de seguridad del estándar PCI DSS

El estándar PCI DSS especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, llamadas objetivos de control.

Los objetivos de control y sus requisitos son los siguientes:

Desarrollar y mantener una red segura

  • Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
  • Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.

Proteger los datos de los propietarios de tarjetas

  • Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
  • Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.

Mantener un programa de gestión de vulnerabilidades

  • Requisito 5: Usar y actualizar regularmente un software antivirus.
  • Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

Implementar medidas sólidas de control de acceso

  • Requisito 7: Restringir el acceso a los datos tomando como base la necesidad de conocer la información.
  • Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.
  • Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.

Monitorizar y probar regularmente las redes

  • Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
  • Requisito 11: Probar regularmente los sistemas y procesos de seguridad.

Mantener una Política de Seguridad de la Información

  • Requisito 12: Mantener una política que contemple la seguridad de la información.

Los 12 requerimientos mencionados comprenden alrededor de 260 controles de seguridad lógica, física y administrativa. Para cumplir con el estándar, hay que cumplir afirmativamente con todos los controles que apliquen. Nótese que el estándar PCI DSS es binario, esto es, se cumple o no se cumple (no hay cumplimiento parcial). Por tanto, un incumplimiento en un solo control implica no cumplir con el estándar.

Beneficios de cumplir con el estándar

Cumplir con el estándar PCI DSS es obligatorio para las entidades mencionadas. No obstante, la aplicación de las exigencias del estándar PCI DSS actúa como mejora de la seguridad para la organización y sus empleados, redundando en beneficios adicionales como la mejora de la imagen de marca, gestión de riesgos asociados o control de los proveedores.

¿Dónde recibir asesoramiento o contratar servicios y/o herramientas de cumplimiento PCI DSS?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

PCI SSC website: www.pcisecuritystandards.org

https://www.pcihispano.com/que-es-pci-dss/

https://www.pcicomplianceguide.org/faq/

Compartir

Compartir en Linkedin