El PCI SSC publica una herramienta interactiva para la evaluación del estado de seguridad en pequeños comercios

Como parte de los esfuerzos del PCI SSC para ayudar a los comercios en la alineación de sus entornos con el estándar PCI DSS, el 28 de agosto de 2018 se presentó la herramienta interactiva «Data Security Essentials (DSE) Evaluation Tool for Small Merchants«, que, a través de cuestionarios simples, le permite a los pequeños comercios identificar sus entornos de pago, los riesgos a los que están expuestos y el estado de los controles de seguridad que tienen implementados.  

Figura 1. Tipos de entornos transaccionales con tarjetas de pago en la herramienta DSE

Figura 2. Captura de pantalla de la herramienta DSE

La característica más importante de esta nueva herramienta es la opción de reportar el estado de seguridad del comercio haciendo uso de los formularios «Data Security Essentials for Small Merchants – Evaluation Form«, que, básicamente, son los requerimientos de PCI  DSS en «lenguaje plano» para personal no técnico. Los comercios que quieran hacer uso de estos formularios deben cumplir las siguientes premisas:

• Autorización expresa de su banco adquiriente, quien debe contemplar estos formularios dentro de su programa de cumplimiento para comercios (no todos los bancos lo hacen).
• Leer las instrucciones del documento «PCI Data Security Essentials for Small Merchants – Overview«.
• Uso de determinados entornos de pago simplificados. Para otros entornos más complejos, se requerirá directamente del uso de los cuestionarios de autoevaluación de PCI DSS.
• Revisar los documentos Guide to Safe Payments y Questions to Ask Your Vendors antes de proceder. Estos documentos se encuentran en el portal de comercios del PCI SSC.
• Descargar, rellenar y firmar los formularios de Data Security Essentials (DSE) y enviarlos al banco adquiriente, quien, en función de los resultados, decidirá los pasos a seguir (estos documentos solamente se encuentran en idioma inglés).

Siendo así, el diagrama de flujo para la aplicabilidad de los formularios de Data Security Essentials (DSE) sería el siguiente:

Figura 3. Diagrama de flujo para determinar la aplicabilidad de los formularios DSE

Las preguntas de los formularios DSE deben ser respondidas con cualquiera de las siguientes 5 opciones:

1.  Hago esta acción de forma constante.
2.  Hago esta acción algunas veces.
3.  Esta acción no aplica a mi entorno (requiere explicación).
4.  No conozco / no entiendo esta acción.
5.  No ejecuto esta acción (requiere explicación).

Figura 4. Extracto del formulario DSE

Al final, dependiendo de la cantidad de preguntas contestadas con cada opción, se puede establecer de forma general un grado de madurez que le permite al propio comercio y a su adquiriente conocer el estado de seguridad de su entorno.

Finalmente, es importante aclarar que esta herramienta es estrictamente informativa y que no notifica a las entidades adquirientes acerca del cumplimiento del comercio que la usa.

Figura 5. Notificación de la herramienta DSE acerca de su uso estrictamente informativo.

Para mas información, revisar el artículo «Threats Facing Small Merchants: A New Tool to Help» en el blog oficial del PCI SSC.

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.

View all posts