Probablemente una de las dudas más recurrentes durante la identificación del alcance (scope) de PCI DSS de una entidad que usa Virtual Credit Cards (VCCs) es si este tipo de tarjetas están o no en el alcance. Pero, ¿qué son las tarjetas VCC y por qué su uso (a pesar de tener un riesgo menor a una tarjeta «normal») debe ser considerado en una evaluación de PCI DSS?

En el mundo de las tarjetas de pago existen diferentes categorías de este medio de pago: tarjetas de crédito, tarjetas débito, tarjetas prepago, tarjetas regalo, tarjetas privadas, tarjetas de fidelización (loyalty), etc. El criterio general de aplicabilidad que se emplea para decidir si un tipo de tarjeta de pago debe ser protegida con los controles de seguridad del estándar PCI DSS es que la tarjeta debe llevar el logotipo de una de las seis (6) marcas de pago pertenecientes al PCI SSC: AMEX, Visa, MasterCard, Discover, JCB y, más recientemente, China UnionPay.  Este criterio se describe en la FAQ 1039 «Does PCI DSS apply to debit cards, debit payments, and debit systems?»

FAQ Article Number: 1039

Sin embargo, hay un tipo de tarjeta muy particular que, dependiendo de su uso, puede estar o no en el alcance de PCI DSS: las tarjetas virtuales o Virtual Credit Cards (VCCs). En este punto, es muy importante que tanto las entidades que usan este tipo de tarjetas, así como los asesores QSA conozcan estas restricciones y las apliquen de forma objetiva para prevenir potenciales fraudes y problemas de cumplimiento.

¿Qué es una tarjeta virtual o VCC?

Una tarjeta virtual (o Virtual Credit Card – VCC, también conocida como Virtual Card Number – VCN) es un tipo de tarjeta especial que no cuenta con un medio físico asociado; esto es: no se emite vinculada a una tarjeta plástica o a cualquier otro dispositivo similar físico, razón por la cual no puede ser «leída» empleando un dispositivo físico de punto de interacción (Point-of-Interaction – POI) como un datáfono o un cajero electrónico. Al igual que cualquier tarjeta tradicional, las VCCs cuentan con un nombre de titular, una fecha de expiración y un código de verificación de tarjeta (o Card Verification Code – CVC/CVV2).

Las VCCs se pueden categorizar en dos grupos dependiendo de la cantidad de veces que puede ser usada:

  • Tarjetas de un único uso (Single-Use o SU), que – como su nombre lo indica – solo pueden ser usadas una única vez y luego son desactivadas. Estas tarjetas también se conocen como tarjetas SU-VCN.
  • Tarjetas de múltiples usos (Multi-Use o MU), que pueden ser usadas en múliples transacciones. Este número puede ser configurado dependiendo del proveedor del servicio. Una vez se llega al límite de transacciones permitidas, la tarjeta se desactiva. También se conocen como MU-VCN.

Igualmente, dependiendo del tipo de CVC usado, las VCCs pueden ser catalogadas como:

  • Tarjetas con CVC/CVV2 estático: Estas tarjetas tienen asignado un código de verificación de tarjeta (los tres dígitos que aparecen en el anverso de la tarjeta) estático. Este número no cambia a lo largo del tiempo de vida de la tarjeta.
  • Tarjetas con CVC/CVV2 dinámico (dCVV2): En este caso, el CVC cambia de forma periódica o en cada transacción.

Este tipo de tarjetas son bastante útiles en entornos de comercio electrónico en el cual no se considera exponer el número de una tarjeta real o se requiere su uso para un número limitado de transacciones (desde una hasta múltiples transacciones). Algunos ejemplos son:

  • En el sector hotelero, cuando se quiere pagar una reserva sin exponer una tarjeta real. También puede ser empleado para realizar reembolsos de saldos o pagar las reservas a los hoteles. En estos casos, estas tarjetas pueden permitir limitar la cantidad de dinero asociada, limitando el campo de acción de cualquier fraude. Ejemplo: Booking o Expedia.
  • En el sector del comercio electrónico, cuando un cliente quiere pagar servicios recurrentes o por suscripción sin exponer los datos de su tarjeta física.
  • A nivel empresarial, cuando se le asigna una tarjeta a un empleado con un monto de dinero específico válida durante un tiempo específico para sus gastos corporativos o personales.

Como se puede observar, mediante el uso de estas tarjetas se puede minimizar el fraude si los datos de la tarjeta VCC son comprometidos, así como controlar los gastos, la cantidad de dinero asignada y el periodo de vida útil de este mecanismo de pago.

¿Qué dice el PCI SSC respecto al uso de VCCs?

El PCI Security Standards Council (PCI SSC) es bastante escueto respecto a la aplicabilidad de PCI DSS a este tipo de tarjetas. En la FAQ 1286 se indica que en el alcance de PCI DSS se incluyen todos los números de tarjetas físicas y electrónicas (como VCCs):

FAQ Article Number: 1286

No obstante, en otra FAQ (FAQ 1285) sí que se aclara que el criterio de aplicabilidad de una tarjeta VCC de único uso o de múltiples usos puede variar dependiendo de lo que indiquen las marcas de pago:

FAQ Article Number: 1285

¿Qué dice VISA respecto al uso de VCCs?

En este tema, Visa ha cambiado su posición varias veces. El criterio más reciente respecto a la aplicabilidad de PCI DSS en las VCCs data del año 2020, cuando Visa publicó el documento Expanded Position on PCI DSS Applicability for Virtual Visa Accounts. En este documento se listan estos dos criterios respecto a tarjetas VCC:

  • Visa considers single-use virtual Visa account numbers and multi-use virtual Visa account numbers with Dynamic Card Verification Value 2 (dCVV2) out of scope for PCI DSS protection requirements based on the low risk of fraud associated with the account type.
  • In environments where a Visa PAN (i.e., stored credential) is maintained and not segmented from other virtual Visa account types, PCI DSS requirements are applicable across the full environment.

¿Qué quiere decir esto? Básicamente, desde una perspectiva técnica se indica que:

  • Cualquier tarjeta VCC de único uso, al margen de que su CVC sea estático o dinámico, estará fuera del alcance.
  •  Solamente las tarjetas de uso múltiple (MU) con CVC/CVV2 dinámico se considerarán fuera del alcance.
  • Las tarjetas de uso múltiple (MU) con CVC/CVV2 estático deberán ser protegidas de acuerdo con los requerimientos de PCI DSS.
  • No obstante, si la entidad almacena tarjetas VCC conjuntamente con tarjetas normales, entonces los requerimientos de PCI DSS son aplicables a todo el entorno. Si se quieren excluir por completo las tarjetas VCC del entorno PCI DSS, entonces será necesario segmentar/aislar dichas tarjetas de los flujos y repositorios que puedan contener tarjetas normales.

¿Qué dice MasterCard respecto al uso de VCCs?

Al igual que con Visa, MasterCard ha cambiado de parecer varias veces respecto a este tema. En noviembre de 2023 MasterCard publicó el documento Virtual Card Numbers and SDP Compliance en donde se establecen los siguientes criterios para la aplicabilidad de PCI DSS en tarjetas VCC (o Virtual Card Number – VCN, como las denomina MasterCard):

Para tarjetas VCC de un único uso (SU-VCN) se establecen tres (3) condiciones que deben ser cumplidas totalmente para considerarlas fuera del alcance:

  1. Debe demostrarse que la tarjeta SU-VCN queda inactiva o deshabilitada después de una sola autorización creando un único registro de compensación (clearing), Y
  2. Lo anterior debe ser cumplido a través de un control tecnológico que no pueda ser eludido, Y
  3. Los sistemas que almacenen, procesen o transmitan los datos de la tarjeta SU-VCN no deben almacenar, procesar o transmitir otros datos de PAN en el alcance.

Para tarjetas VCC de múltiples usos (MU-VCN) también se establecen tres (3) condiciones para que puedan considerarse fuera del alcance:

  1. Se debe demostrar que la tarjeta MU-VCN usa de forma exclusiva códigos de validación de tarjetas dinámicos (dCVC/CVV2), Y
  2. Un fallo en la validación del CVC/CVV2 durante la autorización siempre debe dar lugar a la denegación de la transacción. Y
  3. Los sistemas que almacenan, procesan o transmiten los datos de la tarjeta MU-VCN no deben almacenar, procesar o transmitir datos de otros PAN en el alcance.

Igualmente, todas las tarjetas MU-VCN con CVC/CVV2 estático están en el alcance de PCI DSS.

 

¿Qué dicen las otras marcas de tarjetas de pago respecto al uso de VCCs?

Ninguna de las otras marcas de pago, excluyendo Visa y MasterCard, se han pronunciado respecto al uso de tarjetas virtuales. Al no existir una posición oficial al respecto, su uso entra en una zona gris en donde el criterio más restrictivo suele ser el más adecuado. En este caso, se debería asumir que, al no existir ninguna excepción, todas las tarjetas (normales y VCC) deben ser cubiertas por PCI DSS.

Recomendaciones del asesor QSA respecto al uso de tarjetas VCC

Teniendo en cuenta que este es un tema complejo en donde cualquier error de interpretación puede impactar la seguridad del cliente debido a una sensación falsa de seguridad por el uso de este tipo de tarjetas, siempre es recomendable consultar a un asesor QSA y a las propias marcas para buscar guía y aclarar dudas.

Desde mi punto de vista como asesor QSA puedo recomendar lo siguiente:

  • Todas las tarjetas virtuales deben ser analizadas para confirmar si están o no en el alcance. Ninguna de las marcas de pago contempla excepciones si las tarjetas VCCs son emitidas y autorizadas por la misma entidad (en donde el riesgo no afecta a un tercero, sino a la propia entidad emisora), tarjetas VCC usadas en entornos corporativos o emitidas a nombre de una empresa en vez de a un individuo. Como lo indica la FAQ 1286, cualquier tarjeta que tenga el logo de una de las marcas de pago asociadas al PCI SSC está afectada por PCI DSS.
  • Para evitar contaminación de entornos, es recomendable aislar/segmentar el almacenamiento, procesamiento y transmisión de datos de tarjetas VCC de tarjetas normales. Si los datos de tarjetas VCC se «mezclan» con tarjetas normales, los datos de las tarjetas VCC deberán ser cubiertos con los controles de PCI DSS aplicados a las tarjetas normales.
  • El uso de códigos de verificación de tarjeta (CVC/CVV2) dinámicos ha demostrado ser una herramienta óptima para la minimización de fraudes en comercio electrónico. De ser posible, emplear siempre dCVC/CVV2 en vez de códigos estáticos.
  • Debido a que las tarjetas virtuales suelen ser tarjetas que no están vinculadas de forma persistente con el titular que las usa, debido a su tiempo de vida y usos limitados, es bastante común que controles como 3D-Secure (3DS) no estén disponibles para integración con VCCs. Es por esta razón que, a pesar de ser tarjetas efímeras, sigue existiendo un riesgo que hay que gestionar.

Referencias

PCI Guru – Virtual Payments – Updated

PCI Rocks – Single use virtual card numbers

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Leave a Reply