TPV Virtual PLUS - PCI DSS: Programa de seguridad de datos de tarjetas

PCI DSS: Programa de seguridad de datos de tarjetas

 

¿Qué es PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) es:

  • Un estándar de seguridad que nace con el objetivo de proteger los datos de tarjeta allí donde se encuentran.
  • De obligado cumplimiento para todas las empresas en las que se almacenan, procesan o transmiten datos de tarjetas.
  • Promovido por las principales marcas internacionales de tarjetas que, para su creación, constituyen en 2006 el PCI Security Standard Council (Visa, MasterCard, Ameri­can Express, JCB y Discover), en cuyo sitio web se encuentra y mantiene actualizada toda la información relacionada con este estándar: www.pcisecuritystandards.org.

Antes de comenzar a integrar su TPV Virtual, debemos recomendarle la lectura de Best Practices for Securing E-commerce.

 

¿Qué son los datos de tarjeta según PCI DSS?

En el entorno de comercio electrónico los datos de tarjeta a proteger son:

  • Nombre del titular
  • Número de tarjeta o PAN (Primary Account Number)
  • Fecha de caducidad
  • El CVV2, CVC2, CAV, CID2, etc.

El PAN y resto de datos se pueden almacenar, siempre que el PAN se convierta en ilegible, cumpliendo con cualquiera de los sistemas que establece PCI DSS.

El CVV2, CVC2, etc., nunca se puede almacenar tras la autorización, ni siquiera cifrado.

 

Objetivo de PCI DSS

a. Garantizar la protección de la información de titulares de tarjetas.

b. Minimizar el riesgo de posibles intrusiones no autorizadas, o compromiso de la información de cuentas y tarjetas.

c. Mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, promoviendo la existencia de un entorno de pago seguro para la información.

d. Luchar contra la suplantación y otros fraudes que se producen en Internet.

e. Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con tarjetas.

 

Ventajas para los comercios

a. Promover la integridad del comercio y aumentar la confianza de los consumidores en el negocio.

b. Incrementar las ventas como consecuencia del aumento de la confianza de los consumidores.

c. Proteger al comercio de posibles pérdidas de ingresos, investigaciones no deseadas y costos legales.

d. Reducir el riesgo reputacional del comercio como resultado de una fuga de información de clientes.

e. Reducir las disputas de los titulares de tarjetas y los costes asociados a transacciones fraudulentas resultantes de fugas de información.

f. Prevenir el robo masivo de información de clientes.

g. Facilitar la adopción de estándares de seguridad válidos a nivel global.

 

¿Quién debe cumplir PCI DSS?

Todas las empresas en las que se almacenan, procesan o transmiten datos de tarjetas

 

¿Qué empresas deben validar el cumplimiento y cómo se valida?

Sobre la base de criterios de potencial riesgo de fraude, asociado a la tenencia de datos de tarjeta, las marcas internacionales de tarjetas Visa y MasterCard clasifican a los comercios y proveedores por niveles y establecen distintas fórmulas para validar el cumplimiento.

 

NIVEL

CRITERIO

FORMA DE VALIDAR EL CUMPLIMIENTO

ENTIDAD SUPERVISORA

1

Cualquier comercio que procese más de 6 millones de transacciones anuales con tarjeta, con independencia del canal.

Cualquier comercio o proveedor que haya sufrido un incidente de seguridad confirmado.

Proveedores de servicios (y TPP) que procesan más de 300.000 transacciones anuales con tarjeta.

Auditoría anual por parte de un QSA (Quality Security Assessor).

 

Escaneo de vulnerabilidad de red trimestral con un ASV (Approved Scanning Vendor).

Consultor independiente de seguridad, o la propia empresa si está firmado por un representante de la compañía de seguridad.

 

Especialista de la compañía de seguridad.

2

Cualquier comercio que procese más de 1 millón y menos de 6 millones de transacciones anuales, con independencia del canal.

Proveedores de servicio (excepto TPP) que procesan menos de 300.000 transacciones anuales con tarjeta.

Cuestionario anual de autoevaluación (SAQ).

 

El propio comercio.

 

3

Cualquier comercio que procese más de 20.000 y menos de 1 millón de transacciones anuales, con canal comercio electrónico.

 

 

4

Resto:

Cualquier comercio no incluido en los anteriores niveles.

Comercios de nivel 4 obligados a validar el cumplimiento de PCI DSS son:

  • Comercios electrónicos
  • Hoteles F2F (Face to face)
  • Aerolíneas

Escaneo de vulnerabilidad de red trimestral con un ASV (Approved Scanning Vendor).

Especialista de la compañía de seguridad.

 

Las obligaciones que se indican en el cuadro son de obligado cumplimiento para los comercios.

 

Auditoría anual por parte de un QSA

Un asesor de seguridad cualificado (QSA) por el PCI Council lleva a cabo una audito­ría in situ, de carácter anual, para revisar los sistemas del comercio con el objeto de evaluar la seguridad de los sistemas informáticos implicados en el procesamiento de los datos de las tarjetas (hardware, software y netware). El comercio es responsable de la contratación de este servicio de auditoría a cualquiera de las auditoras certificadas. Grupo Banco Sabadell puede proporcionarle una lista de diferentes servicios de auditoría especializados.

 

Escaneo de vulnerabilidad de red trimestral con un ASV (Approved Scanning Vendor)

Se trata de controles de carácter trimestral que son realizados por empresas certificadas por el PCI Council en calidad de Approved Scanning Vendor (ASV).

Banco Sabadell pone a disposición de sus comercios de niveles 3 y 4 una herramienta totalmente gratuita para realizar sus escaneos.

 

Cuestionario anual de autoevalua­ción (SAQ)

Se trata de un cuestionario de carácter anual sobre la arquitectura del sistema informático del comercio y sobre la forma de procesar y almacenar los datos de las tarjetas.

En función del nivel y forma de acceso del comercio a los datos de tarjeta, se establecen diferentes SAQ (subconjuntos de requerimientos de la norma).

Banco Sabadell ayuda a sus comercios a identificar el SAQ que les corresponde y ofrece, a los de niveles 3 y 4, una herramienta online para realizarlo.

 

Banco Sabadell le ayuda a cumplir PCI DSS

Para acompañarle en esta tarea, Banco Sabadell pone a disposición de sus clientes el Servicio de Gestion de PCI, donde recibirá el soporte de nuestros expertos en PCI DSS.

Dicho equipo valorará la forma de validación que le corresponde, según su nivel de comercio y formas de acceso a los datos de tarjeta de su empresa.

Puede ponerse en contacto con el servicio de soporte a través de:

 

Correo electrónico: GestionPCI@bancsabadell.com

Teléfono: 966940426

 

Además, Banco Sabadell proporciona a sus comercios, con carácter totalmente grautuito, una herramienta que les permite:

  • Realizar su cuestionario de autoevaluación (SAQ) online.
  • Realizar los escaneos de vulnerabilidad trimestrales de PCI en caso de que su cuestionario lo requiera.