Como parte de los esfuerzos del PCI SSC para ayudar a los comercios en la alineación de sus entornos con el estándar PCI DSS, el 28 de agosto de 2018 se presentó la herramienta interactiva “Data Security Essentials (DSE) Evaluation Tool for Small Merchants, que, a través de cuestionarios simples, le permite a los pequeños comercios identificar sus entornos de pago, los riesgos a los que están expuestos y el estado de los controles de seguridad que tienen implementados.  

Figura 1. Tipos de entornos transaccionales con tarjetas de pago en la herramienta DSE

Figura 2. Captura de pantalla de la herramienta DSE

La característica más importante de esta nueva herramienta es la opción de reportar el estado de seguridad del comercio haciendo uso de los formulariosData Security Essentials for Small Merchants – Evaluation Form“, que, básicamente, son los requerimientos de PCI  DSS en “lenguaje plano” para personal no técnico. Los comercios que quieran hacer uso de estos formularios deben cumplir las siguientes premisas:

Siendo así, el diagrama de flujo para la aplicabilidad de los formularios de Data Security Essentials (DSE) sería el siguiente:

Figura 3. Diagrama de flujo para determinar la aplicabilidad de los formularios DSE

Las preguntas de los formularios DSE deben ser respondidas con cualquiera de las siguientes 5 opciones:

  1.  Hago esta acción de forma constante.
  2.  Hago esta acción algunas veces.
  3.  Esta acción no aplica a mi entorno (requiere explicación).
  4.  No conozco / no entiendo esta acción.
  5.  No ejecuto esta acción (requiere explicación).

Figura 4. Extracto del formulario DSE

Al final, dependiendo de la cantidad de preguntas contestadas con cada opción, se puede establecer de forma general un grado de madurez que le permite al propio comercio y a su adquiriente conocer el estado de seguridad de su entorno.

Finalmente, es importante aclarar que esta herramienta es estrictamente informativa y que no notifica a las entidades adquirientes acerca del cumplimiento del comercio que la usa.

Figura 5. Notificación de la herramienta DSE acerca de su uso estrictamente informativo.

Para mas información, revisar el artículo “Threats Facing Small Merchants: A New Tool to Help” en el blog oficial del PCI SSC.