El programa Account Information Security (AIS) de Visa ha sufrido cambios importantes, lo que modifica los criterios de clasificación de comerciantes para reportar su cumplimiento con el estándar PCI DSS. Este programa define los requisitos aplicables con base en el número de transacciones de tarjetas procesadas anualmente, en donde se ha excluido el nivel 4. Aquí os explicamos el impacto y los cambios que genera este nuevo criterio de clasificación.

Tal y como se explica en el artículo «Diferencias entre un estándar del PCI SSC y un programa de validación«, son las marcas de pago, a través de sus programas de validación, las que definen quién y cada cuánto debe demostrar el cumplimiento de los estándares de seguridad del PCI DSS. Esto también se aplica al estándar PCI DSS.

En ese caso, las marcas de pago clasifican a las entidades en dos grupos: comerciantes (merchants) y proveedores de servicios (service providers). Adicionalmente, tanto los comerciantes como los proveedores de servicios se subdividen en categorías según el volumen total de transacciones anuales que la entidad realice con las tarjetas de una marca en particular (Visa, MasterCard, Discover, JCB, CUP o AMEX). Dependiendo de la categoría, se aplican criterios distintos para demostrar el cumplimiento de PCI DSS, con base en el potencial riesgo de compromiso de datos asociado.

Cambios en el programa de validación de Visa

Anteriormente, Visa tenía dos programas de validación diferentes según el área geográfica de aplicabilidad: Visa Customer Information Security Program (CISP) para USA y Visa Account Information Security (AIS) para el resto del mundo. No obstante, a partir de agosto de 2024 estos dos programas se unificaron, quedando como único programa válido Account Information Security (AIS).

Como consecuencia de este cambio, Visa introdujo una modificación bastante sutil pero de gran impacto: la eliminación del nivel 4 para comerciantes. Este nivel fue combinado con el nivel 3, quedando entonces solamente tres (3) niveles válidos para establecer los requisitos de cumplimiento de PCI DSS:

Niveles de cumplimiento de Visa para comerciantes

Impacto de este cambio

El objetivo de este cambio fue el de focalizar la gestión del riesgo en transacciones no presenciales (card-not-present transactions). Teniendo en cuenta que los niveles de riesgo en transacciones presenciales ha disminuído gracias a la masificación de dispositivos punto de interacción seguros (Point-of-Interaction – POI o «datáfonos»), al uso de transacciones con chip EMV y a la entrada de pagos con tokenización EMV, Visa asume que el mayor esfuerzo de cumplimiento de PCI DSS se debe poner en el comercio electrónico.

El criterio indica que, si una entidad procesa menos de un (1) millón de transacciones de comercio electrónico, quedará en esta categoría. Esto no implica que si la entidad tiene canales de pago presenciales quede exenta de cumplimiento; por el contrario: se puede presentar el caso de un comercio que sólo acepta pagos presenciales y no acepta pagos vía comercio electrónico. En ese caso, las transacciones de comercio electrónico son cero (0) y cuentan las transacciones presenciales. Otro caso podría ser el de una entidad que procese solamente transacciones de comercio electrónico, pero sin pago presencial. Si sus transacciones no superan el umbral de un millón anual, quedaría en nivel 3.

Como se puede observar, al ser el nivel 3 el menor nivel de cumplimiento, se convierte automáticamente en el nivel por defecto en el que se categoriza cualquier comerciante que no coincide con la cantidad de transacciones del nivel 1 y 2.

¿Qué deben hacer los comerciantes afectados con este cambio?

Quienes deben definir el nivel de cumplimiento de un comercio en particular es su adquiriente (esto es: la entidad que recibe sus transacciones desde sus POS o comercio electrónico). Son los adquirientes los que pueden contabilizar la cantidad de transacciones anuales procesadas por el comercio y, con base en ello, establecer su nivel y sus requisitos de reporte de cumplimiento PCI DSS aplicables.

Por ello, la recomendación es que todos aquellos comercios que estaban categorizados como nivel 4 contacten a sus adquirientes para validar los pasos a seguir para adaptarse a los criterios definidos por Visa.

Finalmente, es importante aclarar que este cambio solamente afecta a las transacciones realizadas con tarjetas Visa. Las transacciones con otras tarjetas (MasterCard, por ejemplo) no se verán afectadas por este cambio, ya que cada marca tiene su propio programa de cumplimiento y sus propios criterios de categorización.

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Deja un comentario