Constantemente existen muchas dudas respecto a qué procesos, sistemas o productos deberían de ser incluidos en el alcance de PCI DSS independientemente de si es la primera certificación o ha tenido cambios en sus procesos que tengan que ser incluidos dentro del alcance de su certificación. Me he dado a la tarea de recopilar algunas de las preguntas más comunes que me realizan:

  • ¿Las tarjetas corporativas utilizadas para viajes o gastos de mi empresa se consideran dentro del alcance de PCI DSS?
  • ¿Las tarjetas en lista negras por fraude o expiradas, ¿deben ser consideradas dentro del alcance de PC DSS?
  • Si recibo datos de tarjeta vía telefónica, ¿la infraestructura de VoIP debe considerarse dentro del alcance?
  • Los datos de tarjeta truncados, ¿son parte del alcance de PCI?
  • Mi proceso de pago está tercerizado, por lo que mi eCommerce no procesa, transmite o almacena datos de tarjeta, aun así, ¿debo cumplir con PCI DSS?

Trataré de responder de manera simple cada una de ellas y proporcionaré algunas guías o referencias para mayor detalle, esperando aclarar sus dudas.

Tarjetas corporativas

Entendamos por tarjeta corporativa todas aquellas que son solicitadas y proporcionadas dentro de una misma organización para usos internos, muchas veces para reservar vuelos, pagar gastos de viaje, comprar suministros para la oficina, entre otros.

Recordemos que el objetivo de PCI DSS es proteger los datos de tarjeta de nuestros clientes, respaldados por las principales marcas como VISA, Mastercard, AMEX, etc. de nuestros clientes.

Para responder la pregunta, lo primero es revisar si las tarjetas corporativas adquiridas requieren o estipulan a nivel contractual que deben ser protegidas de acuerdo con PCI DSS o algún marco de seguridad similar. En caso de no existir una obligación por parte del emisor o de alguna de las marcas, la entidad puede declarar como “fuera de alcance” estas tarjetas.

Cabe mencionar que, por buena práctica de seguridad, cualquier activo que al ser vulnerado pueda ocasionar un impacto adverso a la organización, debería ser protegido. Esto dependerá mucho de cada organización o apetito de riesgo de la organización.

FAQ 1235: https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/If-a-merchant-or-service-provider-has-internal-corporate-credit-cards-used-by-employees-for-company-purchases-like-travel-or-office-supplies-are-these-corporate-cards-considered-in-scope-for-PCI-DSS?l=en_US&fs=Search&

Tarjetas reportadas por fraude o expiradas

El estándar aplica a todas las tarjetas de pago. Si la entidad cuenta con la confirmación explicita del emisor o adquiriente que alguna de estas tarjetas ya no representa un riesgo al proceso de pagos, pueden ser consideradas fuera del alcance.

En el caso de las tarjetas expiradas, estás pueden ser reasignadas con una fecha de expiración nueva, por lo que antes de tomar una decisión, siempre contacta a tu adquiriente o las marcas para poder sacarlas o no del alcance.

FAQ 1038: https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Does-PCI-DSS-apply-to-hot-cards-expired-cancelled-or-invalid-card-account-numbers?l=en_US&fs=Search&

Infraestructura de VoIP

Recordemos que cualquier componente que procese, almacene o transmita datos de tarjeta debe de protegerse de acuerdo con PCI DSS y la telefonía y todos los componentes que otorgan este servicio, deben de cumplir con PCI DSS. En este ejemplo me refiero a telefonía IP, ya que es la mayormente usada por las organizaciones, sin embargo, también aplica para telefonía análoga si aún es utilizada para recibir o enviar datos de tarjeta mediante voz.

El tema es un poco extenso, por lo que resumiré los puntos más importantes:

  • La responsabilidad de proteger la infraestructura de telefonía comienza cuando los datos de tarjeta llegan a la red de la entidad y comienzan a transmitirse a través de ella para su procesamiento.
  • La infraestructura ajena a la entidad se considera fuera de alcance de PCI DSS de la entidad, ya que son consideradas como “redes públicas” y la entidad no tiene manera de controlarlas, entre estos actores tenemos: proveedores de servicio como Carrier, así como todos aquellos componentes por los que puede “pasar” antes de llegar a la entidad.

El council ha publicado una guía para proteger los pagos mediante telefonía para mayor referencia.

Protecting Telephone-Based Payments Special Interest Group: https://www.pcisecuritystandards.org/documents/Protecting_Telephone_Based_Payment_Card_Data_v3-0_nov_2018.pdf?agreement=true&time=1565493312803

Una recomendación para evitar incluir a toda la infraestructura de telefonía (en caso de no estar segmentada) podría ser utilizar un IVR (Respuesta de voz interactiva) donde los datos de tarjeta son introducidos mediante tonos de llamada. Cabe mencionar que el IVR sigue estando en alcance de PCI DSS, sin embargo, existen algunos productos que apoyan al cumplimiento del estándar.

FAQ 1153: https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Is-VoIP-in-scope-for-PCI-DSS?l=en_US&fs=Search&

Datos truncados

Por definición, un dato truncado es aquel que una parte del PAN fue removida permanentemente y no puede ser recuperada, considerando que lo máximo permitido para considerarse truncado son los primeros 6 números (Bin) y los últimos 4.

Tal cual, el dato truncado se considera fuera de alcance, sin embargo, es importante considerar el origen del dato truncado, ya que, si algún sistema se conecta a nuestro CDE para obtener información de datos truncados, este sistema también debe considerarse dentro de alcance, ya que puede afectar a nuestro CDE. Otro punto es validar si algún proceso está realizando el truncamiento de estos datos, ya que los componentes que tengan acceso al PAN y realicen el truncamiento, también deben ser considerados dentro del alcance.

Especialmente, este punto requiere un poco mayor de análisis y es un buen input para determinar si hay que ampliar o reducir el alcance de PCI DSS, todo dependerá de como se obtiene de origen el dato truncado.

FAQ 1117: https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Are-truncated-Primary-Account-Numbers-PAN-required-to-be-protected-in-accordance-with-PCI-DSS?l=en_US&fs=Search&

Mi eCommerce no procesa, transmite o almacena datos de tarjeta ya que un proveedor “certificado PCI DSS” lo realiza, ¿aún me aplica PCI DSS?

La respuesta es tajante, SI.

La organización debe de asegurarse del cumplimiento de sus proveedores de acuerdo con el requisito 12.8. Otro punto importante y sin entrar a un detalle muy técnico, es que el sitio o página que, si bien no va a recibir los datos de tarjeta, debe de asegurar que es seguro y no es susceptible a un ataque de hombre en medio (MitM) que permita a un atacante redireccionar el tráfico del procesador de pago hacía una sitio apócrifo donde los datos puedan ser comprometidos sin que el cliente lo sepa.

Generalmente esta es la razón principal por la cual los comercios son legibles para completar un cuestionario de autoevaluación, ya sea un SAQ- A o SAQ A-EP.

FAQ 1292: https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Why-is-there-a-different-approach-for-Direct-Post-implementations-than-for-iFrame-and-URL-redirect-what-are-the-technical-differences-and-how-do-they-impact-the-security-of-e-commerce-transactions?l=en_US&fs=Search&

FAQ 1092: https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Does-PCI-DSS-apply-to-merchants-who-outsource-all-payment-processing-operations-and-never-store-process-or-transmit-cardholder-data?l=en_US&fs=Search&

Espero poder ayudar u orientar a algunas dudas que existen comúnmente en la definición de alcance de PCI DSS. Como siempre, mi recomendación inicial es validar si existe una exigencia por parte de los adquirientes, emisores o marcas que se deban considerar en el ambiente de la organización. La segunda instancia es consultarlo directamente con su QSA para llegar a un concenso. Por último, puedes contactarnos mediante comentarios o en el foro de la página y trataremos de ayudar.

Link externos:

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Does-PCI-DSS-apply-to-debit-cards-debit-payments-and-debit-systems?l=en_US&fs=Search&

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Does-PCI-DSS-apply-to-hot-cards-expired-cancelled-or-invalid-card-account-numbers?l=en_US&fs=Search&

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/If-a-merchant-or-service-provider-has-internal-corporate-credit-cards-used-by-employees-for-company-purchases-like-travel-or-office-supplies-are-these-corporate-cards-considered-in-scope-for-PCI-DSS?l=en_US&fs=Search&

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Are-truncated-Primary-Account-Numbers-PAN-required-to-be-protected-in-accordance-with-PCI-DSS?l=en_US&fs=Search&

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Is-VoIP-in-scope-for-PCI-DSS?l=en_US&fs=Search&

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Why-is-there-a-different-approach-for-Direct-Post-implementations-than-for-iFrame-and-URL-redirect-what-are-the-technical-differences-and-how-do-they-impact-the-security-of-e-commerce-transactions?l=en_US&fs=Search&

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Does-PCI-DSS-apply-to-merchants-who-outsource-all-payment-processing-operations-and-never-store-process-or-transmit-cardholder-data?l=en_US&fs=Search&

Avatar

Autor: Héctor García

PCI QSA, CISA, C|EH, C|SS, COBIT, TOGAF, ITIL Intermediate OSA-RCV