Documente Academic
Documente Profesional
Documente Cultură
¿Qué organizaciones
Componentes del Tecnologías y ¿Cuándo cumplir con
Introducción deben cumplir con el Conclusiones Créditos
estándar PCI técnicas el estándar PCI?
estándar PCI?
*connectedthinking
Estándar de seguridad para PCI (Payment Card Industry): > Inicio > Imprimir > Salir
Una respuesta de seguridad para las transacciones con tarjetas
¿Qué organizaciones
Componentes del Tecnologías y ¿Cuándo cumplir con
Introducción deben cumplir con el Conclusiones Créditos
estándar PCI técnicas el estándar PCI?
estándar PCI?
Introducción
Introducción (cont.)
- La información comprometida de los seguridad de la información relacionada a tarjetas acepten pagos con tarjeta, desde tiendas en línea
tarjetahabientes, perjudica la reputación y de pago y sus titulares, así como para garantizar (“on-line “) a operadores móviles y a compañías
prestigio de las compañías, en especial, a las que la norma “PCI Data Security Standard” (PCI- intermediarias.
marcas. DSS) permanezca en el tiempo, y se realicen las
- Existe un Impacto en la confidencialidad de los adaptaciones producto de los cambios en la Este estándar de seguridad en el sector de
consumidores, y en consecuencia una baja en el tecnología y nuevos escenarios de fraude. tarjetas de pago, se basa en lineamientos que
consumo. fueron creados de forma independiente por cuatro
Sus fundadores son: American Express, Discover (4) compañías, a saber:
PCI (Payment Card Industry) como respuesta a Financial Services, JCB International Credit Card,
eventos con tarjetahabientes MasterCard Worldwide and Visa International; y 1. El programa de seguridad de información de
entre sus principales objetivos están: cuentas VISA (AIS, Account Information Security
Desde hace algunos años, las “Marcas”, como se Program) y el programa de seguridad de
acostumbra a referir a las principales empresas - Mantener y actualizar el PCI-DSS. información de titulares afiliados de tarjeta
responsables de la concesión y gestión de - Entrenar y certificar los QSAs (Qualified Security (CISP, Cardholder Information Security
servicio de pagos con tarjetas y operaciones Assesors). Program);
electrónica, han tenido normativas de seguridad a - Entrenar y certificar los ASVs (Approved Scannig
ser cumplidas por sus asociados. Vendors). 2. El programa de protección de datos de
Mastercard (SDP, Site Data Protection);
Sin embargo, debido a las pérdidas por fraudes ¿Qué es el estándar de seguridad PCI?
realizados con tarjetas de crédito y el esfuerzo 3. La política operativa de seguridad de American
que representaba al sistema financiero cumplir El PCI DSS (Payment Card Industry Data Security Express (DSOP, Data Security Operative
con tal diversidad de normativas, fue necesario el Standard) es un estándar de seguridad que Policies); y
desarrollo de un enfoque unificado, por lo que se incluye: requerimientos para el manejo de la
fundó en Septiembre de 2006, el Consejo de seguridad, políticas, procedimientos, arquitectura 4. El programa de cumplimiento normativo y
Normas de Seguridad de la Industria de Medios confiable de red, diseño de software y otras seguridad de información de Discover (DISC,
de Pago PCI Security Standards Council, para medidas de protección. Este estándar aplica no Data Security Guidelines).
coordinar y administrar acciones relativas a la sólo a los bancos, sino también a compañías que
Estándar de seguridad para PCI (Payment Card Industry): > Inicio > Imprimir > Salir
Una respuesta de seguridad para las transacciones con tarjetas
¿Qué organizaciones
Componentes del Tecnologías y ¿Cuándo cumplir con
Introducción deben cumplir con el Conclusiones Créditos
estándar PCI técnicas el estándar PCI?
estándar PCI?
El principio básico de este estándar, es restringir PCI establece un conjunto completo de Construir y mantener una red segura
el almacenamiento o acceso de información de estándares de seguridad mundiales para todos
autenticación, la cual va desde el código de los comerciantes y proveedores de servicios 1. Instalar y mantener una configuración de
verificación, la información contenida en la banda relacionados con el almacenamiento, la firewalls para protección de los datos,
magnética, el nombre del tarjetahabiente, las transmisión o el procesamiento de datos de considerando aspectos como: segmentación de
fechas de expiración, entre otros. De igual forma, titulares de tarjetas de todos los servicios red, utilización de IP Masquerading (NAT), etc.
el alcance del estándar se extiende hacia todos principales correspondientes.
los componentes del ambiente de datos de los Para certificar el cumplimiento oficial con el 2. No utilizar los valores por omisión
emisores y procesadores de transacciones de estándar PCI, se debe realizar una auditoría que (configuraciones por defecto) para passwords y
pago con tarjetas, como por ejemplo: servidores, compruebe que los estándares se cumplen parámetros de seguridad.
aplicaciones, dispositivo de red, etc. adecuadamente. A ésta le siguen auditorías de
cumplimiento con las normativas trimestrales y Proteger la información de los titulares de las
Adicionalmente, es importante mencionar que: anuales, cuyos requisitos exactos dependerán de tarjetas
la clasificación del comerciante.
- El estándar también incluye como anexo, las 3. Proteger la información almacenada (y en
consideraciones para la aplicabilidad de las En resumen, respaldado por MasterCard, Visa, particular restringir el almacenamiento de
Normas de Seguridad de Datos en la Industria American Express, Diners Club y JCB Cards, el información sensible, como: Track1 / Track2,
de las Tarjetas de Pago (PCI-DSS) para estándar PCI cubre seis (6) diferentes aspectos y CVV2, PIN Block, entre otros).
Proveedores de Servicios de Hospedaje. establece doce (12) requerimientos relacionados
con la administración de la seguridad, políticas, 4. Cifrar la información de los tarjetahabientes y
- PCI anunció recientemente (11 de Septiembre procedimientos, arquitectura de redes, diseño de otra información crítica cuando sean
de 2007), la incorporación de los requerimientos software y otras medidas de protección, que se transmitidas mediante redes públicas.
de seguridad para los Dispositivos de Entrada deben cumplir de manera continua, tal como se
de PINES (PED). menciona a continuación:
Estándar de seguridad para PCI (Payment Card Industry): > Inicio > Imprimir > Salir
Una respuesta de seguridad para las transacciones con tarjetas
¿Qué organizaciones
Componentes del Tecnologías y ¿Cuándo cumplir con
Introducción deben cumplir con el Conclusiones Créditos
estándar PCI técnicas el estándar PCI?
estándar PCI?
Componentes del
estándar PCI (cont.)
Tecnologías y técnicas
Las siguientes estrategias son aplicables al - Registro y auditoría: Según Gartner: “la protección de datos de clientes
cumplimiento del estándar PCI. A continuación un es mucho menos costosa que la reparación de
resumen de las recomendaciones que comprende Este es el segundo aspecto más importante en una brecha de seguridad en la que los registros
el estándar: cuanto a cumplimiento del estándar PCI. Los quedan expuestos y son mal utilizados
desarrolladores deben asegurarse que su potencialmente. Los requisitos de cumplimiento
- Confidencialidad y autenticación: código proporcione las facilidades para registrar de Payment Card Industry (PCI) brindan a las
todas las transacciones y eventos asociados a empresas una buena justificación para
Este es el objetivo central del estándar PCI: las cuentas de los tarjetahabientes. incrementar la protección de los datos”.
proteger la información de las tarjetas de crédito
de los consumidores. Desafortunadamente, los Desafortunadamente, es difícil para los
desarrolladores no tienen control total y global comerciantes determinar proactivamente casos
sobre el proceso de operación de tarjetas de de fraude de tarjetas de crédito, ya que no
crédito. disponen de un banco con información
En un mundo ideal, los datos de las tarjetas de centralizada de patrones de consumo, que
crédito se podrían intercambiar directamente indique qué pautas de uso son irregulares en
entre la compañía de la tarjeta de crédito y la una cuenta dada. Desde la perspectiva de PCI,
persona, pero la realidad es otra: los datos de es importante garantizar que las transacciones
las tarjetas de crédito a menudo pasan por realizadas con las tarjetas, queden registradas,
varios agentes intermediarios, algunos de los por lo cual, las aplicaciones desarrolladas
cuales los consumidores desconocen, pero se internamente deberán cumplir con esta premisa
ven obligados a confiar de forma implícita. La a fin de poder suministrar la información cuando
mejor solución que se puede implementar desde sea requerida.
la perspectiva de una sola organización, es la de
asegurar que los datos se hayan cifrado
correctamente y que sólo los sistemas o los
agentes autorizados puedan tener acceso a la
información.
Estándar de seguridad para PCI (Payment Card Industry): > Inicio > Imprimir > Salir
Una respuesta de seguridad para las transacciones con tarjetas
¿Qué organizaciones
Componentes del Tecnologías y ¿Cuándo cumplir con
Introducción deben cumplir con el Conclusiones Créditos
estándar PCI técnicas el estándar PCI?
estándar PCI?
El cumplimiento del estándar PCI es una ventaja, programas de cumplimientos de las marcas � �������������� ���������� ������ ���������
���������� ����������������� ��������� ����������� ���������
ya que mejora el soporte de interoperabilidad, individuales que lo conforman: las marcas �������� ������������������ ��� ��� ����������
además de proveer al usuario un entorno confiable participantes de manera individual, determinarán �������� ������������������ ��� ������ ����������
en cuanto a sus transacciones, bien sea de débito que compañías deben cumplir no tan sólo con lo �������� ����������� ��� ������ ����������
�������� �������������� ��� ������ ����������
o crédito. Cumplir con esta normativa asegurará establecido en PCI, sino también con el programa
que los datos de usuario no queden atrapados en de seguridad establecido en cada marca. De igual
Figura N° 2 Requerimientos de validación vs. categoría de los
formatos electrónicos. forma, cada marca establecerá las sanciones comercios
(suspensión o revocación de privilegios para qRetorno
Ahora bien, el estándar PCI aplica a toda procesar transacciones) o multas a ser canceladas
organización que procese información de tarjetas por una compañía que no esté en cumplimiento.
de crédito o débito, incluyendo comercios y Como dato curioso, y tomando las estadísticas de
proveedores de servicio que almacenen, procesen Por ejemplo, para el 30 de Septiembre de 2007, VISA, sólo el 18% de los comercios “Nivel 1”
o transmitan datos de tarjetas de crédito/débito. Es VISA ha establecido multas de hasta $25.000 para estaban para el año 2006 en cumplimiento con el
importante mencionar, que si una organización los comercios que no cumplan con el estándar. estándar, a diferencia del año 2007, que han
está catalogada en algunas de las actividades Ahora bien, para la aplicabilidad del estándar PCI, obtenido un 35%. Otro 51% de los comercios,
descritas anteriormente, PCI es un requisito, tal los comerciantes se categorizan en niveles reportado que cumplen con el estándar, pero un
como lo establece el PCI Security Standards diferentes según su volumen promedio anual de 93% han certificado que no almacenan PIN,
Council: “los requisitos establecidos en los Normas transacciones de tarjeta de crédito, y esto se debe números de verificación de las tarjetas u otra
de Seguridad de Datos de Tarjetas de Pago (PCI- al intento de conciliar las dificultades asociadas a la información de la tarjeta de crédito.
DSS) son aplicables sólo si se guarda, procesa o necesidad de equilibrar la seguridad con la carga Ahora bien, es importante mencionar, que no
transmite un número de cuenta primario (PAN, práctica. Cuantas más transacciones procese una porque una organización esté cumplimiento
Primary Account Number). Si este número de organización, más importante será que cumpla con actualmente con el estándar PCI-DSS, significa
cuenta primario no se guarda, procesa o transmite, los estándares PCI para atender riesgos más que ésta continuará siendo certificada de manera
no se aplican estos requisitos”. significativos. indefinida, debido a los cambios en el entorno,
nuevas tecnologías y nuevas vulnerabilidades. En
Sin embargo, es importante mencionar que el PCI En la siguiente figura se muestra los requerimientos general, el cumplimiento 100% del estándar no es
Security Standards Council no reemplazará los de validación, según la categoría de los comercios. sólo para un momento específico.
Estándar de seguridad para PCI (Payment Card Industry): > Inicio > Imprimir > Salir
Una respuesta de seguridad para las transacciones con tarjetas
¿Qué organizaciones
Componentes del Tecnologías y ¿Cuándo cumplir con
Introducción deben cumplir con el Conclusiones Créditos
estándar PCI técnicas el estándar PCI?
estándar PCI?
En términos generales, se estima que para finales Para lograr determinar una evaluación adecuada
de 2007, las organizaciones que acepten con respecto a los controles en tecnologías de
transacciones de tarjetas de crédito o débito información y en particular lo relacionado a la
deben estar en cumplimientos con el estándar. Sin seguridad, de manera sustancial, los auditores
embargo, se han establecido las siguientes fechas deberán tomar el liderazgo en estos esfuerzos, ya
importantes: que se enfrentan cotidianamente a la necesidad
de validar y sustentar sus opiniones acerca de los
31 de Marzo 2007: controles internos que garantizan razonablemente
Comerciantes con Nivel 1 y 2 deben demostrar la confiabilidad de la información que se genera y
cómo almacenan los datos de los por ende el cumplimiento de sus metas y
tarjetahabientes. objetivos.
Si está interesado en recibir en su correo © 2007. Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers”
electrónico este Boletín, por favor envíenos su se refiere a la firma venezolana Espiñeira, Sheldon y Asociados, o según el contexto, a la red de firmas
dirección de e-mail a: miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad
advisory.venezuela@ve.pwc.com legal separada e independiente. RIF: J-00029997-3