Mostrando 13 respuestas a los debates
  • Autor
    Entradas
    • #44425
      Diego
      Participante

      Hola,
      Tengo una duda de base, en algunos sitios aparece que Diners Club forma parte del PCI Council (porque forma parte de Discovery creo) y en otros sitios no. ¿Es así? ¿Debe cumplir PCI si forma parte del Council?
      Si no forma parte del Council y solamente es un issuer, ¿debe cumplir con PCI?, es que en una formación de ISACA leí lo siguiente:

      .- All Members must comply with the PCI Data Security Standard

      .- Issuing and Acquiring Members are not YET required to validate compliance unless they are a VisaNet Processor

      .- Members are responsible for ensuring the compliance of their merchants and service providers who store, process, or transmit cardholder data

    • #44506
      David Acosta
      Participante

      Hola Diego:
      En Julio de 2008 Discover adquirió Diners Club International (http://www.dinersclub.com/press-room/article20080701.html). Sin embargo, la marca «Diners Club» sigue actuando de forma independiente en términos de mercadeo y con estrategias diferentes en USA, Canadá y Europa.
      Por otro lado, las marcas que pertenecen al Council no requieren estar certificadas en sus propios estándares. Estos estándares están orientados a organizaciones que hacen uso de los servicios de las marcas y son estas últimas quienes definen de forma independiente deadlines, multas, revisiones, reciben los reportes de cumplimiento y publican listados de empresas certificadas, entre otras tareas.
      En conclusión: Diners Club (al ser una empresa de Discover) no requiere estar certificada en los estándares del PCI SSC pero sí lo requieren todas aquellas entidades que efectúan transacciones con sus tarjetas bajo las instrucciones que la propia marca defina (sin excluir el programa DISC). Esto incluye a comercios, proveedores de servicios y cualquier otra entidad financiera.
      Saludos,
      David

    • #44507
      Diego
      Participante

      ¿Toda esta información se encuentra reflejada en alguno de los documentos del council? Este tipo de «burocracia» no la encuentro por ningún lado.

    • #44508
      David Acosta
      Participante

      Hola Diego:
      El PCI SSC como tal es el responsable de la publicación de los estándares y actividades de promoción relacionadas, entre otras funciones. Las políticas de cumplimiento y penalizaciones las define cada marca:
      «…Note that enforcement of compliance with the PCI DSS and determination of any non-compliance penalties are carried out by the individual payment brands and not by the Council. Any questions in those areas should be directed to the payment brands…» (https://www.pcisecuritystandards.org/organization_info/index.php)
      En este caso, lo que tu estás buscando no lo encontrarás en los documentos del Council sino directamente con la marca. Para ello, puedes contactarlos en [email protected] o directamente a Diners Club España en [email protected] y http://www.dinersclub.es/diners-club/localizacion.
      Saludos,
      David

    • #44509
      Ekn
      Participante

      Hola David,
      la verdad que está muy interesante tu foro, lástima que no lo consultemos más. Yo tengo una duda básico supongo, he mirado en muchos sitios, y dentro del sitio del PCI-Council y no encuentro en ningún sitio el procedimiento a seguir una vez completado el SAQ A. Es decir, a quién se remite este SAQ? o cómo se remite?

      Muchas gracias,

      Saludos,

    • #44510
      David Acosta
      Participante

      Hola Ekn:
      Por lo general el SAQ (Cuestionario de Auto-Evaluación) es requerido por la entidad que te ofrece el servicio de autorización, ya que son ellos quienes pueden determinar tu nivel de comercio o de proveedor de servicios dependiendo de la cantidad de transacciones anuales que proceses y/o de los canales de pago que tengas asociados. Siendo así, consulta con tu banco o caja y ellos sabrán darte una respuesta apropiada con base en sus políticas internas.
      El PCI SSC simplemente se encarga de la gestión de los estándares, pero la administración de niveles de cumplimiento, reportes y penalizaciones (entre otros) lo llevan las propias marcas o las empresas que ellos designen.
      Saludos,
      David

    • #44511
      Ekn
      Participante

      Muchas gracias por la repuesta.

    • #44512
      David Acosta
      Participante

      Comentar que gracias a este hilo de discusión he redactado el artículo «Todo lo que siempre ha querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación)» http://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/. Gracias a todos por las ideas.

    • #44513
      rorieta
      Participante

      Buenos dias, tengo una duda existencial, con respecto a los debitos automaticos, como cobran de las tarjetas? guardan datos de la misma para realizar la operación?

    • #44514
      David Acosta
      Participante

      Buenos días rorieta:
      Como tal, dentro de PCI DSS no se hace diferencia entre tarjetas de crédito y débito. En términos prácticos, cualquier tarjeta (ya sea débito, crédito, tarjeta virtual, tarjeta de regalo, etc.) que pertenezca a una de las marcas del Council (VISA, MasterCard, American Express, Discover y JCB) estarían afectadas. Al igual, tanto las tarjetas débito como crédito tienen los mismos componentes (PAN, nombre del titular, fecha de expiración, CVV2, banda magnética, chip EMV) y pueden ser usadas en los mismos canales de compra (comercio electrónico, compra por teléfono/correo, pagos presenciales, etc.).
      Los flujos de la transacción son exactamente los mismos, con la salvedad que en las tarjetas débito no se consulta un límite de crédito sino el saldo efectivo de la cuenta del titular, por lo que es una transacción más rápida que no requiere una consulta a un centro autorizador o a las marcas sino es el propio banco emisor quien se encarga de hacer esta validación.
      Échale un vistazo a este artículo «¿Alguna vez te has preguntado por dónde pasan los datos de tu tarjeta cuando realizas una compra? Aquí está la respuesta» (http://www.pcihispano.com/alguna-vez-te-has-preguntado-por-donde-pasan-los-datos-de-tu-tarjeta-cuando-realizas-una-compra-aqui-esta-la-respuesta/) que describe el flujo completo desde la compra hasta la autorización.
      Saludos,
      David

    • #44515
      claudiatobar
      Participante

      Buenas tardes David,
      te hago una consulta, acerca de quienes deben certificarse, tengo una pregunta :
      si tengo una tienda online donde el servicio de pagos esta tercerizado en este caso debo certificarme en la norma PCI?

      quedo anteta, millon de Gracias.!

    • #44516
      David Acosta
      Participante

      Buenas tardes Claudia:
      Conforme lo ha definido el PCI SSC y las marcas, todos los comercios (merchants) y proveedores de servicio (service providers) deben cumplir con PCI DSS en función de la cantidad de transacciones anuales, canales de pago existentes e implementación de los mismos.
      En tu caso, al ser una tienda online supongo que tu centro autorizador (es decir: a quien le envías las tarjetas de pago para que aprueben o no la compra) te debe estar solicitando el cumplimiento con la normativa. En el caso que tengas totalmente tercerizado este proceso (ya sea capturando los datos de tarjetas empleando una redirección (estilo Paypal) o un iFrame) tendrías que rellenar un Cuestionario de Auto-Evaluación (SAQ) A, que tiene 17 controles (el más sencillo de todos) y validar que tu centro autorizador cumpla con PCI DSS.
      Puedes encontrar más información de los SAQ en el artículo «Todo lo que siempre ha querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación)» http://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/
      Este cuestionario se debe rellenar de forma anual, ser firmado por una persona administrativa de la empresa y ser enviado al centro autorizador que te lo pide.
      Con ello, lo que el PCI SSC y las marcas quieren es garantizar que todas las organizaciones implementan los controles de seguridad necesarios dependiendo del riesgo que puedan tener.
      Si necesitas algo más, estaré pendiente 😉

    • #44517
      oeaviles
      Participante

      David, Buenos dias, una consulta o mejor tres consultas 🙂
      1.- Cuando se entrega la Base de datos a una empresa desarrolladora externa, la norma pide la «licuacion» de la información, esto es lo mismo que la tokenizacion o es un proceso por separado.
      Esto se debe hacer para todas las columnas de las tablas de las DB o es suficiente con proteger solo las columnas con informacion sensible.

      2.- Cuando se habla de encriptar las bases de datos, asumiendo que se usa Oracle o SQL, sabes como realizar este procedimiento, entiendo que en ambos casos las mismas BD tienes rutinas o procedimientos internos para encriptar la información, con esto se cumple lo requerido por
      la norma? o hay que emplear algún procedimiento en particular o con algun software y/o hardware adicional?

      3.- Si por ejemplo se tiene algún programa que funcione tipo Cliente Servidor contra una base de información (entiendase una BD) y la norma pide que el canal se seguro, bastaria con encriptar o hacer un túnel VPN entre el dispositivo y algún elemento cercano a la BD o crees que se tendría que reprogramar la aplicación para que la información sea encriptada desde la aplicación misma (a nivel de código) y que luego sea desencriptada por la base de Datos (como punto final), cual crees que seria la mejor solución?

    • #44518
      David Acosta
      Participante

      Hola oeaviles:
      Bueno, antes de empezar, perdona la respuesta tan larga.

      Respuesta 1: Por ninguna razón los datos de tarjetas de pago REALES deben ser usandos en entornos de desarrollo:
      «.. 6.4.3 Los datos de producción (PAN activos) no se utilizan para las pruebas ni para el desarrollo…»
      Si cuando haces referencia a «licuación» quieres decir «enmascaramiento/asteriscado» o «truncamiento», la respuesta es sí. La idea es que la empresa que desarrolle tenga datos que sean funcionales pero no reales. La tokenización es un proceso diferente mediante el cual remplazas el PAN por un dato no confidencial (http://www.pcihispano.com/el-concepto-de-tokenizacion-y-su-aplicabilidad-en-pci-dss/). Si tienes implementada la tokenización en tu entorno y tienes remplazados los datos del PAN por tokens y le darás dichos datos a esa empresa, debes garantizar que bajo ningún criterio ese proveedor pueda tener acceso a tu entorno de producción ni a la plataforma de tokenización de producción.
      Como sabes, PCI DSS aplica al dato del PAN: «… Los Requisitos 3.3 y 3.4 de las PCI DSS sólo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta, únicamente el PAN debe ser ilegible de acuerdo con el Requisito 3.4 de las PCI DSS…». No obstante, el mismo estándar de PCI DSS establece: «…Si el nombre del titular de la tarjeta, el código de servicio o la fecha de vencimiento se almacenan, procesan o transmiten con el PAN (número de cuenta principal) o se encuentran presentes de algún otro modo en el entorno de datos del titular de la tarjeta, se deben proteger de conformidad con los requisitos de las PCI DSS…», razón por la cual estos datos también deberían ser protegidos. A pesar que PCI DSS se focaliza al PAN, es importante tener presente que otras legislaciones legales locales (como la LOPD en España) pueden establecer controles para la protección de los datos personales.
      Por ello, mi recomendación es: No entregues a tu proveedor de desarrollo tu base de datos real, ya que en términos operativos esto no es necesario. El desarrollo se focaliza a la lógica de procesamiento, no a los datos como tal. Puedes encontrar datos de PAN de prueba en http://www.paypalobjects.com/en_US/vhelp/paypalmanager_help/credit_card_numbers.htm.

      Respuesta 2: Para la encriptación de datos, PCI DSS establece que es necesario usar algoritmos de cifrado robustos con una clave lo suficientemente larga (ver «Strong Cryptography» https://www.pcisecuritystandards.org/security_standards/glossary.php#S) y emplear una gestión de dichas claves de cifrado. Sin embargo, no entra en el detalle de decirte qué tipo de solución implementar ni como hacerlo, ya que eso depende de la forma como implementes tu solución.
      Para el cifrado tienes varias opciones:
      1. Encriptar el dato: que lo harías a través de un programa externo y almacenarías el dato cifrado, con lo cual la base de datos solamente sería un repositorio.
      2. Encriptar el datafile, ya sea a nivel de columna o de base de datos. En este caso, se protege el dato durante el almacenamiento
      3. Encriptar el disco en el cual está la base de datos (req. 3.4.1)
      Como ves, tienes varias opciones para escoger y todas cumplen con PCI DSS.
      En el caso de Oracle, puedes usar Oracle TDE (puedes encontrar un manual aquí http://blog.isecauditors.com/2014/02/gestion-de-claves-para-el-cifrado-con_20.html) u otras soluciones comerciales. Lo mismo con MS SQL. Es muy probable que requieras adquirir un software adicional para el cifrado.

      Respuesta 3: Bueno, hay que tener presente que PCI DSs pide que se efectúe un cifrado de los datos cuando se transmiten a través de redes públicas abiertas (Internet, redes inalámbricas, tecnologías de telefonía móvil y satelitales). En el caso de una red interna, solamente es necesario encriptar el tráfico administrativo que no sea de consola (req. 2.3). Siendo así, depende de en dónde se encuentren ubicados tus clientes (los que acceden al servidor).
      Hablando en términos generales, tienes dos opciones para la encriptación durante el tráfico:
      1. Encriptar el dato: En este caso, la aplicación origen encriptaría el dato antes de enviarlo y solamente el origen y el destino conocerían las claves de descrifrado
      2. Encriptar el canal: En este caso, se encripta el canal, ya sea usando una VPN, un túnel de SSL/TLS o SSH)

      Espero que estas respuestas te sean útiles.

Mostrando 13 respuestas a los debates
  • Debes estar registrado para responder a este debate.