Este debate contiene 5 respuestas, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 3 meses, 2 semanas.

  • Autor
    Publicaciones
  • #47689

    silicio
    Participante

    Saludos a todos,
    Tenemos un software hotelero que necesita alamcenar el número y código de seguridad de la tarjeta, el software es de instalación en local en los servidores del cliente, no se tiene acceso desde redes públicas a la BD,
    Cómo software que tipo de certificación debemos cumplir?
    Gracias

  • #47724
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    La respuesta a tu pregunta depende del modelo de licenciamiento del software:

    1) Si es un software desarrollado a medida para cada cliente o requiere de cambios significativos de una base común en cada implementación, entonces el software debe cumplir con los controles del requisito 6 de PCI DSS relacionados con desarrollo seguro.

    2) Si es un software licenciado, que se instala sin mayores configuraciones, entonces el software debe cumplir con el estándar PA DSS (Payment Application Data Security Standard) y aparecer listado en la página del PCI SSC.

    El documento “Which Applications are Eligible for PA-DSS Validation? A Guiding Checklist” contiene una serie de criterios para determinar si una aplicación debe o no cumplir con PA DSS, que te sugiero que revises para más información.

    Muchas gracias.

  • #47728

    silicio
    Participante

    Muchas gracias David,

    Según el cuestionario,

    Al menos a dos preguntas la respuesta es si:

    Requerir la autorización del uso de los datos. Entiendo que el cliente final autoriza al hotel, el software en si no implica ninguna autorización, solo almacena los datos.

    El software necesita de una configuración exhaustiva en casa del cliente

    Por lo tanto entiendo que debemos cumplir con el requisito 6 de PCI DSS.

    Perdona mi absoluto desconocimiento, ahora bien ¿solo el requisto 6 del PCI DSS 6 o todo el PCI y además el requisto 6)
    Muchas gracias por todo!!!

  • #47733
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    Perfecto. Asumamos entonces que según los resultados del cuestionario de PA DSS tu aplicación no requiere cumplimiento con ese estándar. En ese caso, los clientes que usan vuestro software (los hoteles) requerirán demostrar cumplimiento con PCI DSS y vosotros seréis sus proveedores de servicio para ese software en particular. Por esa razón, tendréis bajo vuestra responsabilidad el cumplimiento de PCI DSS vinculado con el desarrollo de la aplicación, correspondiente a los requerimientos 6.3, 6.3.1, 6.3.2 y 6.5 (como mínimo):

    • Desarrollo de software con base en las mejores prácticas de seguridad de la industria.
    • Eliminación de cuentas de desarrollo y de prueba antes de poner el software a disposición de los clientes.
    • Revisar el código antes de ponerlo en producción (o liberarlo a clientes). La revisión la debe hacer otra persona diferente de la que ha realizado la codificación.
    • Formación anual en seguridad en el ciclo de vida de software para desarrolladores.
    • Redacción de guías de desarrollo seguro para los lenguajes de programación empleados.
    • Implementación de controles de seguridad en el desarrollo de acuerdo con las mejores prácticas de la OWASP, SANS o el CERT.

    Los hoteles, en virtud del cumplimiento del requerimiento 12.8 de PCI DSS, os preguntarán por la evdiencia de ese cumplimiento (listas de asistencia a los cursos de formación, material de formación, documentación, evidencia de la revisión de código, etc.).

    Como podrás ver, lo que os pide PCI DSS desde la perspectiva de desarrollo son cosas de sentido común y que se deberían tener en cuenta en cualquier desarrollo de software, por lo que supongo que no os implicará mayores esfuerzos.

    Por otro lado, varias aclaraciones adicionales:

    • Lo anterior solamente aplica si vosotros desarrolláis el software y lo entregáis al cliente. Pero si también asumis acciones adicionales como soporte técnico, acceso remoto al software para soporte, instalación y configuración de componentes adicionales (bases de datos, sistemas operativos, etc.), entonces los controles podrán variar.
    • Las solicitudes de evidencia de cumplimiento de los controles de PCI DSS bajo vuestra responsabilidad os vendrán por parte de vuestros clientes. Ni las marcas ni los bancos adquirientes os pedirán nada.
    • La petición de dicha evidencia es discrecional de vuestros clientes (puede que la pidan o pueda que no, dependiendo de sus procesos internos de cumplimiento de PCI DSS). Pero al margen de eso, es vuestra responsabilidad desarrollar de forma segura y almacenar la evidencia de dichas acciones para proveerlas cuando os las pidan.
    • Si almacenáis los datos de tarjetas de pago (PAN y CVV2), supongo que lo haréis de forma segura (req. 3.4). En este caso, tenéis que ajustaros a lo que pide PCI DSS para estos casos (uso de criptografía fuerte, uso de algoritmos y claves robustas, procesos para la eliminación segura de los datos cuando ya no se requieran, etc.).

    Para finalizar, me surgen varias dudas:
    – “Autorización” es el proceso de conexión con un tercero (centros autorizadores, adquiriente, etc.) para hacer los cobros correspondientes con los datos de tarjeta capturados. Si vosotros capturáis esos datos y los almacenáis, entiendo que si no se hace autorización entonces se deben facilitar los datos en claro al hotel para que haga los cobros mediante sus propios canales (TPV virtual, datáfono) que están fuera de vuestra responsabilidad. ¿Es así?
    – Si se almacenan los datos de tarjeta de forma segura, supongo que lo hacéis mediante encriptación. En ese caso, ¿quién es el responsable de la gestión de las claves de encriptación (generación, remplazo, eliminación)? ¿el hotel?

    De ser así, los hoteles que usen vuestro software deberán cumplir de forma obligatoria con el estándar PCI DSS al completo.

    El estándar PCI DSS lo puedes descargar de aquí para que le eches un vistazo en detalle a los controles que he enumerado arriba.

    Si tienes más dudas, aquí estaremos.

  • #47782

    silicio
    Participante

    Buenas tardes y muchas gracias por tu detallada respuesta,

    Sobre tus dudas:

    Nuestro software “no autoriza”. Este proceso se realiza mediante TPV físicos o por software de terceros (al cual si enviamos el PAN, dentro de la red local)
    Las claves encriptación,su acceso y su tratamiento se hace por parte del hotel.

    Por el número de operaciones seria suficiente con los formularios de autoevaluación, pero no veo cual se ajusta más para cumplimiento por parte del software.

    Creo después de leer la documentación que nuestra “certificación” seria algo como nuestro software permite cumplir con los requisitos que el comercio necesita para cumplir PCI. Pero no veo claro que pasos seguir.

  • #47799
    David Acosta
    David Acosta
    Participante

    Hola de nuevo:

    Vosotros, como empresa de software, no os certificais (no tendréis un certificado o diploma o algo que diga que vuestro software cumple con PCI DSS, porque eso no existe para desarrollo de software que no sea catalogado como PA DSS, que es vuestro caso).

    Como seréis un proveedor de servicios para los hoteles, tenéis dos opciones para demostrar el cumplimiento con PCI DSS, de las cuales la primera no os aplica por la razón que acabo de exponer arriba, así que la única alternativa que os queda es la opción 2:

    Los terceros proveedores de servicios tienen dos formas de validar el cumplimiento:
    1) Evaluación anual: Los proveedores de servicios pueden realizar una o varias evaluaciones anuales de las PCI DSS por cuenta propia y proporcionar evidencia a sus clientes a fin de demostrar el cumplimiento; o
    2) Evaluaciones múltiples, bajo demanda: Si no se someten a sus propias evaluaciones anuales de la PCI DSS, los proveedores de servicios deben someterse a evaluaciones a solicitud de sus clientes y/o participar en cada una de las revisiones de la PCI DSS de sus clientes, proporcionando los resultados de cada revisión a sus respectivos clientes.

    Como comenté arriba, cuando el hotel tenga su auditoría PCI DSS o rellene su cuestionario de autoevaluación (SAQ), os preguntará por la evidencia de los controles del estándar que os aplican y esto es todo. Vosotros la entregáis y ya está. Todas estas responsabilidades deberían quedar estipuladas en el contrato, según lo indicado en el req. 12.8.5.

    En conclusión: no hay una certificación que diga que un software (aplicativo) cumple con PCI DSS. Quien cumple con PCI DSS es el comercio (en este caso, los hoteles).

    Espero que esta información te sea útil.

    Saludos,

    David

Debes estar registrado para responder a este debate.