GFI
English Deutsch Français Italiano Nederlands Español
Seguridad > PCI DSS FAQs
PCI DSS FAQs

¿Qué es el consejo de estándares PCI?
El Consejo de Estándares de la Industria de Pagos con Tarjeta es una institución puesta en marcha por American Express, Discover Financial Services, JCB, MasterCard Worldwide y Visa International con el objetivo de mejorar la seguridad de las cuentas de pago. Aspira a conseguir este objetivo mediante la adopción obligatoria del Estándar de Seguridad de Datos PCI (PCI DSS) - por todos los negocios que almacenan, procesan y/o transmiten información de tarjetas de crédito/débito.

¿Qué es PCI DSS?
PCI DSS significa Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta. Este estándar (conocido comúnmente como ‘PCI’) representa un conjunto común de prácticas convenientes de seguridad que ayudan a garantizar la seguridad en el manejro de información de pagos con tarjeta. Creada por la 5 principales empresas de tarjetas (American Express, JCB, MasterCard y Visa) este estándar comprende 12 diferentes requerimientos que están diseñados para:

  1. Construir y mantener una red segura
  2. Proteger la información (de titulares de tarjeta) en tránsito o inactiva
  3. Mantener un programa de gestión de vulnerabilidad
  4. Implementar fuertes medidas de control de acceso
  5. Monitorizar y probar regularmente su infraestructura de TI
  6. Mantener una directiva de seguridad de la información.

¿Qué son los requerimientos PCI DSS?
PCI DSS consta de doce requerimientos, a menudo referidos como la ‘docena digital’. Estos definen la necesidad de:

  1. Instalar y mantener una configuración de cortafuegos para proteger la información de titulares de tarjeta
  2. No utilizar las contraseñas y otros parámetros de seguridad del sistema predefinidos por el fabricante
  3. Proteger la información almacenada de titulares de tarjeta
  4. Encriptar la transmisión de información de titulares de tarjeta a través de redes públicas, abiertas
  5. Utilizar software o programas anti-virus actualizados regularmente
  6. Desarrollar y mantener sistemas y aplicaciones seguros
  7. Restringir el acceso a información de titulares de tarjeta según la necesidad del negocio
  8. Asignar un Identificador único a cada persona con acceso a un ordenador
  9. Restringir el acceso físico a la información de titulares de tarjeta
  10. Seguir y monitorizar todos los accesos a los recursos de red y a la información de titulares de tarjeta
  11. Probar regularmente los sistemas y procesos de seguridad
  12. Mantener una directiva que dirija la seguridad de información de empleados y contratistas.

¿Qué son las tarjetas de pago?
Para los propósitos PCI DSS, “tarjetas de pago” abarca todas las tarjetas de crédito/débito/efectivo que son emitidas sobre cualquier marca American Express, Discover, JCB, MasterCard o Visa.

¿Qué es la información de tarjetas de pago?
La información de tarjetas de pago es la información que pertenece a las tarjetas de crédito/débito y a sus propietarios. Esta información está clasificada en 2 categorías ‘Información de Titulares de Tarjeta’ e ‘Información Sensible de Autentificación’. PCI DSS impone algunas restricciones de almacenamiento sobre los elementos de información que forman parte de estas categorías.

¿Qué es la información de titulares de tarjeta?
La información de titulares de tarjeta se refiere a toda la información de tarjeta de crédito o débito que se utiliza en una transacción. Comúnmente los elementos utilizados de la información de titulares de tarjeta incluyen el Número Primario de Cuenta (PAN), el Nombre del Titular de la Tarjeta y la Fecha de Vencimiento mostrados en el frontal de la tarjeta. Todos estos elementos, y otros, son almacenados digitalmente en la banda magnética del reverso de la tarjeta.

¿Qué es la información sensible de autentificación?
La Información Sensible de Autentificación es la información relacionada con la seguridad utilizada para autentificar titulares de tarjeta y para autorizar las transacciones. Los elementos de Información Sensible de Autentificación incluyen la información de la Banda Magnética y el Código de Validación de la Tarjeta - los tres o cuatro dígitos del código de seguridad encontrados en el anverso o en el reverso de la tarjeta (también conocido como CVV, CVV2).

¿Qué elementos de la información de titulares de tarjeta pueden ser almacenados?
PCI DSS fija que elementos de información pueden ser almacenados y como deben ser protegidos. Puede almacenar el PAN, el Nombre y la Fecha de Vencimiento del Titular de la Tarjeta siempre y cuando estén protegidos. La protección debería tomar la forma de encriptación utilizando una técnica robusta como AES; alternativamente el PAN debe ser troceado o truncado. Esta protección es importante ya que el PAN junto con uno de los otros elementos es la información mínima requerida en ciertas circunstancias para efectuar un pago.

¿Qué elementos de la información sensible de autentificación pueden ser almacenados?
Ninguno. no puede en absoluto almacenar elementos de Información Sensible de Autentificación, incluso si están encriptados, con posterioridad a la autorización de una transacción.

¿Quién debe cumplir PCI DSS?
Cualquier entidad sea un comercio o un proveedor de servicios que almacene, procese y/o transmita información de titulares de tarjeta debe cumplir con PCI DSS - independientemente del tamaño de la entidad y del volumen de transacciones realizadas. Sin embargo los requerimientos PCI DSS no sólo de aplican a información electrónica. Los negocios están obligados a disponer de material impreso que contenga los detalles de las tarjetas de pago y de la información de titulares de tarjeta de crédito en una forma apropiada. En grandes entornos donde la gestión de los residuos está subcontratada a contratistas como las empresas de destrucción de papel, las entidades que solicited dichos servicios deben asegurar que sus ‘proveedores de servicio’ también cumplan PCI DSS. 

¿Hay alguna forma de distinción entre tipos de comercio?
Todos los comercios que recogen transacciones con tarjetas de pago están clasificados en 4 niveles distintos, determinados por el número de transacciones anual:

  • Nivel 1: Los comercios con más de 6 millones de transacciones con tarjeta y los comercios cuya información haya estado comprometida
  • Nivel 2: Comercios con entre 1 y 6 millones de transacciones con tarjeta
  • Nivel 3: Comercios con entre 20.000 y 1 millón de transacciones con tarjeta
  • Nivel 4: El resto de comercios.
Estos niveles determinan los procesos de validación que un comercio debe emprender para poder conseguir y mantener el cumplimiento.

¿Hay distinción entre los diferentes tipos de proveedores de servicio?
Todos los proveedores de servicio que procesen transacciones con tarjeta de crédito están clasificados en los siguientes 3 niveles:

  • Nivel 1: Todos los procesadores y pasarelas de pago
  • Nivel 2: Todos los proveedores de servicio que no están en el nivel 1 pero con más de 1 millón de cuentas o transacciones de tarjeta de crédito
  • Nivel 3: Proveedores de servicio que no están en el Nivel 1, con menos de 1 millón de cuentas o transacciones anuales con tarjetas de crédito.
Estos niveles determinan los procesos de validación que un proveedor de servicio debe emprender para poder conseguir y mantener el cumplimiento.

Soy un comercio. ¿Cómo puedo llegar a cumplir PCI DSS?
Cumplir PCI DSS requiere que los negocios cumplan y demuestren los doce requerimientos presentados en la PCI DSS. Esto se consigue como sigue:

  • Nivel 1 comercios: Auditoría de seguridad in situ anual y análisis de red trimestral. Las auditorías de seguridad in situ son realizadas por un Asesor de Seguridad Cualificado (QSA)
  • Nivel 2, 3, 4 comercios: Cuestionario anual de auto evaluación y análisis de red trimestral. Los cuestionarios de auto evaluación son recopilados internamente por el comercio. Los análisis de red son realizados por un fabricante de escáner aprobado (ASV).

Soy un proveedor de servicio. ¿Cómo puedo llegar a cumplir PCI DSS?
Cumplir PCI DSS requiere que los negocios cumplan y demuestren los doce requerimientos presentados en la PCI DSS. Esto se consigue como sigue:

  • Nivel 1 y 2 proveedores de servicio: Auditoría de seguridad in situ anual y análisis de red trimestral. Las auditorías de seguridad in situ son realizadas por un Asesor de Seguridad Cualificado (QSA)
  • Nivel 3 proveedores de servicio: Cuestionario anual de auto evaluación y análisis de red trimestral. Los cuestionarios de auto evaluación son recopilados internamente por el proveedor de servicio. Los análisis de red son realizados por un fabricante de escáner aprobado (ASV).

¿Cuáles son las responsabilidades de los bancos adquirentes?
Actualmente los adquirentes no son obligados a llevar a cabo ninguna validación PCI DSS o proceso de certificación. No obstante, siguen siendo requeridos a cumplir con PCI DSS, por lo tanto los bancos adquirentes deben asegurar el cumplimiento PCI DSS ya sea conduciendo auditorías internas por sí mismos (siguiendo los criterios proporcionados en el cuestionario de auto evaluación) o subcontratando el proceso a Asesores de Seguridad Cualificados (QSAs).

Además los bancos adquirentes son también responsables de asegurar:

  • El cumplimiento PCI DSS de sus comercios
  • El cumplimiento PCI DSS de todos los proveedores de servicio mediante los cuales ellos, o sus comercios, almacenan, transmiten o procesan información de pagos con tarjeta.

Todos los Bancos Adquirentes (bancos comercio) deben asegurarse de recibir pruebas certificadas de cumplimiento PCI de los comercios con más de 20.000 transacciones anuales. Los adquirentes deben asegurar que los comercios y proveedores de servicio validan en el nivel apropiado, y a continuación obtener la documentación de validación del cumplimiento de los comercios con más de 20.000 transacciones anuales. Siguiendo a la recepción de los informes de cumplimiento, los adquirentes deben compilar y enviar unos informes de estado mensuales sobre el cumplimiento de las principales asociaciones de tarjetas. Toda la documentación de validación del cumplimiento deber ser guardada, y puesta a disposición de las asociaciones de tarjetas bajo solicitud. Idealmente los bancos adquirentes deberían comprobar que proveedores de servicio envían documentación del cumplimiento a las asociaciones de tarjetas.

¿Qué es un QSA?
Los asesores de seguridad cualificados (QSA) son firmas de auditoría que porporcionan servicios profesionales de auditoría de seguridad a corporaciones que necesitan demostrar los frutos de sus esfuerzos en el cumplimiento de PCI DSS. Para una lista de QSA, visite: https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf.

¿Qué es un ASV?
Un fabricante de escáner aprobado (ASV) es un fabricante que proporciona servicios de análisis de vulnerabilidad y seguridad de red a negocios que quieren alcanzar el cumplimiento PCI DSS.  Para una lista de ASV, visite: https://www.pcisecuritystandards.org/pdfs/asv_report.html.

¿Qué es un cuestionario de auto evaluación?
Un cuestionario de auto evaluación es un requerimiento de generación de informes del cumplimiento PCI DSS para comercios y proveedores de servicio. Es completamente interno, sin la necesidad de contratar a terceros. Los negocios deben cumplimentar este cuestionario relativo a la seguridad que interroga sobre el estado actual y pasado de la seguridad de red.

¿Para cuándo necesito acatar el cumplimiento?
Se han fijado varias fechas límite que diferencian entre asociaciones de tarjetas y regiones. Entre las fechas límite importantes, Visa USA ha fijado:

  • 31 de Marzo de 2007 – Fecha límite en la que los comercios de niveles 1 y 2 deben demostrar que no almacenan datos completos de seguimiento, CVV2 o PIN.
  • 30 de Septiembre de 2007 – Fecha para la cual se espera que todos los comercios de nivel 1 cumplan completamente PCI DSS
  • 31 de Diciembre de 2007 – Fecha para la cual se espera que todos los comercios de nivel 2 cumplan completamente PCI DSS.

Visa Europe ha fijado la fecha límite del 30 de Junio de 2007 para la cual se espera que los adquirentes confirmen que sus comercios cumplen completamente PCI DSS.

¿A quién debería preguntar si tengo dudas o necesito aclaraciones?
Si tiene dudas sobre cualquiera de los asuntos relativos a PCI DSS su primera fuente de información es su banco de comerio.

¿Cuánto tiempo supone alcanzar el cumplimiento?
No hay márgenes de tiempo estándar para conseguir el cumplimiento ya que depende del tamaño de cada red, su complejidad y su nivel de seguridad.

¿Qué ocurre si no acato el cumplimiento?
El incumplimiento de PCI DSS tiene consecuencias. Los negocios encaran sanciones de hasta 500.000 USD y caros costes de litigio. Desde un punto de vista operativo, los comercios de nivel 2, 3 o 4 y los proveedores de servicio que tengan brechas de seguridad de red, pueden ver su nivel escalado al nivel 1. Esto tiene un impacto adverso en términos de coste ya que el cumplimiento en el nivel 1 es más exigente. Además, el incumplimiento tiene impacto en la reputación de la marca y expone a las corporaciones a mucha publicidad negativa que mina la confianza del consumidor.

¿Cuáles con los beneficios de implementar PCI DSS?
PCI DSS es una colección encadenada de reglas que promueven los procesos de seguridad de TI para PCI DSS para reducir el fraude financiero elevando las capacidades de seguridad de la red quienquiera que procese información de pago con tarjeta Hay muchos beneficios del cumplimiento PCI DSS. Los más fundamentales para una organización son:

  • Protección de la información personal de clientes
  • Incremento de la confianza del consumidor mediante un mayor nivel de seguridad de la información
  • Incremento de la protección frente a pérdidas financieras y costes de resolución que surgen de las brechas de seguridad
  • Mantener la confianza del cliente, y salvaguardar la reputación
  • Medición y evaluación de los mecanismos de seguridad de los sistemas que almacenan, procesan y/o transmiten información de titulares de tarjetas de pago.

¿Cuánto tiempo supone volver a mi nivel original tras una brecha que me llevó al nivel 1?
Volver del nivel 1 supone dos años, con el primer año asignado a solucionar cualquier error de procedimiento que permita la brecha de seguridad. El segundo año es un período intermedio para asegurar que no hayan ocurrido nuevas brechas de seguridad.

¿Hay fuentes en línea a las que pueda referirme?
PCI Security Standards Council
https://www.pcisecuritystandards.org

Documentos de Apoyo
https://www.pcisecuritystandards.org/tech/supporting_documents.htm

Consultas PCI DSS
http://pcianswers.com

Lista integral de recursos PCI DSS
http://pcianswers.com/resources/

Listas de control de GFI EventsManager y GFI LANguard N.S.S.
http://www.gfihispana.com/es/security/pci.htm

 

   © 2008. Todos los derechos reservados. GFI Software Home Productos Descargar demos Soporte Pedidos Mapa del sitio Sobre nosotros Contáctenos