Etiquetado: 

Este debate contiene 8 respuestas, tiene 2 mensajes y lo actualizó Avatar Jesus Repiso hace 12 meses.

  • Autor
    Publicaciones
  • #46922
    Avatar
    Jesus Repiso
    Participante

    Hola David
    Encantado de poder participar.

    Hace poco me incorporé a una empresa que quiere cumplir PCI. Esta empresa tiene una estructura ya montada y funcionando desde hace tiempo y tenemos la duda de si necesitamos formar un ISA o no. En otras preguntas de este foro sobre ISA no veo nada relacionado con si es obligatorio o no, solo si es conveniente.

    La empresa es un comercio con muchas tiendas en las que hay sistema de pago presencial y además tiene una página web para compra online.
    He consultado y me dicen que el total de las transacciones es mas o menos de 4 millones. Por lo que he visto en cuanto al «merchat level» de VISA y MasterCard, estaríamos en el nivel 2 y creo que entonces es necesario tenes un ISA para que ayude al QSA.
    ¿Es correcto lo que pienso, o estoy mezclando conceptos?
    Muchas Gracias.
    Un saludo

  • #46949
    David Acosta
    David Acosta
    Participante

    Buenas tardes Jesús:

    La certificación ISA («Internal Security Assessor«) es un programa que le permite a los comercios y proveedores contar con una persona con conocimientos de PCI DSS en entorno, que puede ejecutar revisiones internas y acompañar al QSA en el momento de una auditoría o de rellenar un SAQ. No se trata de un requerimiento explícito ni es obligatorio que se cuente con un profesional ISA internamente, aunque sí es recomentable, sobre todo en empresas con estructuras complejas.

    De acuerdo con lo que indicas, claramente tu empresa es un comercio de nivel 2. En este caso, el cumplimiento de PCI DSS se debe demostrar a las entidades adquirientes con un SAQ (Cuestionario de auto-evaluación) y con escaneos ASV (si aplican) de forma anual.

    En España, se tiene la gran ventaja que la gran mayoría de datáfonos funcionan bajo SNCP («Sistema Normalizado de Cifrado de Pista»), por lo que el ámbito de cumplimiento de PCI DSS se minimiza de forma importante. Mi sugerencia es que verifiques con qué tipo de SNCP trabajas, si con categoría 1 o 2. La diferencia entre ambas categorías es que una te permite acceder al PAN completo mientras que la otra no, y si no tienes acceso al dato completo, menos riesgo para tí y menos controles para cumplir. Averigua esto con tu entidad adquiriente.

    Por otro lado, para comercio electrónico, depende de cómo captures los datos. Lo más normal en España es hacer una redirección, con lo cual con un SAQ A ya cumples. Si tienes un modelo de captura distinto, lo mejor es que consultes con un QSA para identificar los controles que debes cumplir. Revisa el artículo «¿Quieres poner en marcha o tienes una tienda online? Sigue estos consejos para cumplir con PCI DSS» .

    Volviendo al tema del ISA, no es obligatorio y de acuerdo al entorno descrito, tampoco lo necesitáis. Si queréis certificar a alguien interno para apoyaros en el proceso de adecuación (lo cual está muy bien), mi sugerencia es que reviséis la certificación PCI Professional, la cual sí que te servirá para lo que estás buscando, la inversión económica es menor y el proceso de certificación es más corto. Mira el artículo «¿Quieres certificarte como PCI Professional (PCIP)™? Esta información te interesa. Esta certificación – al igual que ISA – tampoco es obligatoria, pero ayudará mucho a focalizar los esfuerzos, sobre todo si el trabajo de adecuación lo estáis adelantando vosotros mismos sin la compañía de un QSA (lo cual es lo más recomendable).

    Como ves, todo es cuestión de coste/beneficio, sin que nada venga impuesto obligatoriamente por el PCI SSC.

    David

  • #46956
    Avatar
    Jesus Repiso
    Participante

    Muchas gracias David!!estábamos convencidos de que el ISA era obligatorio a partir de nivel 2!
    Pero entonces el SaQ lo puede firmar un ISA o es necesario un QSA?
    En cuanto al SNCP, creo que estamos en un punto intermedio, porque transmitimos el PAN truncado siendo legible solo el BIN y los 4 últimos números del PAN, que la parecer los necesitamos para comprobar si una transacción se hizo correctamente en caso de casos de corte de red durante el pago… con ésta situación qué pasaría? sería categoría 1 ó 2? si es categoría 1 entonces pasaríamos a SaQ B-IP, creo.. pero con le PAN según lo tenemos me temo que pasaríamos al D…

  • #46971
    David Acosta
    David Acosta
    Participante

    Buenas tardes Jesús:
    Bajo algunos supuestos específicos y pre-autorizados por las marcas/adquirientes, un ISA podría firmar un Attestation of Compliance de una auditoría PCI DSS. En el caso de los cuestionarios de auto-evaluación, al ser rellenados internamente, se considera una buena práctica que un QSA o un ISA acompañen el proceso, pero – nuevamente – no es obligatorio. De hecho, puedes rellenar un SAQ tu mismo y enviarlo sin la necesidad de la firma de un QSA o un ISA.
    Respecto al tema de SNCP, la categoría 1 es cuando no requieres disponer del PAN en claro (puedes acceder máximo a los 6 primeros y 4 últimos dígitos de la tarjeta) y la categoría 2 es cuando tienes una justificación de negocio o técnica para visualizar/almacenar el PAN completo proveniente de transacciones presenciales con datáfonos. En este caso, para Categoría 1 requerirías rellenar el SAQ B o SAQ B-IP y para categoría 2 tendrías que rellenar un SAQ D. Sin embargo, esto es mejor que lo consultes con tu entidad adquiriente, ya que al ser un programa local español es directamente RedSys o el adquiriente quien define estas necesidades.
    Si en vuestro caso sólo tenéis acceso a los 6 primeros (BIN) y los últimos 4 dígitos de la tarjeta, el impacto en el cumplimiento de PCI DSS y el riesgo que asumís se minimiza ostensiblemente.
    David

  • #46972
    Avatar
    Jesus Repiso
    Participante

    Muchas gracias David!
    Lo del ISA me quedó totalmente claro.
    La parte del SNCP ya no tanto…
    Verás, es que estamos confundidos, tenemos 2 documentos en los que hemos podido ver las categorías de SNCP y ya nos parecía que no cuadraban del todo uno con el otro, y ahora la información que nos aportas tampoco, aunque la tuya es mas actualizada.
    En el documento del 2007 http://www.abccat.com/docs/implantacio_emv.pdf en la penúltima página veo:
    «Categoría 1: El comercio cifra toda la información de la banda magnética/chip desde el PINpad empleando claves del procesador. Implica cifrar toda la pista 2, incluyendo el número de tarjeta o PAN (sólo el BIN permanecerá en claro por razones de direccionamiento).
    Categoría 2: El comercio cifra toda la información de la banda magnética/chip desde el PINpad con claves del procesador, excepto número de tarjeta o PAN.
    Categoría 3: El comercio accede a toda la información de tarjeta en claro (NO UTILIZA SNCP).
    »

    En otro sitio, este de 2016, http://blog.isecauditors.com/2016/08/pci-scc-se-pronuncia-si-se-puede-reducir-entorno-cumplimiento-con-cifrado-no-certificado-bajo-esquema-pcidss.html veo lo siguiente:
    «Categoría 1) El comercio en ningún momento tiene acceso al PAN en claro, siendo sólo accesible el BIN de la tarjeta (las primeras seis posiciones del PAN).
    Dado que no se dispone del PAN en claro, no se almacenan, procesan o transmiten datos de titulares de tarjetas en los términos establecidos por PCI DSS.
    Categoría 2) El PIN-PAD envía el PAN (o más de seis dígitos del BIN) en claro al comercio, que debe garantizar que éste se almacena de forma segura.
    Al comercio le serán de aplicación los requerimientos de PCI DSS relativos a almacenamiento, procesado y transmisión especificados en el cuestionario simplificado específico para SNCP.
    Para nuestro objetivo de reducción del alcance, deberíamos ir hacia el caso de una implementación del SNCP bajo categoría 2.»

    Así que tenemos tres datos algo diferentes. ¿Hay algún sitio oficial para encontrar esto?

    Muchas Gracias David

  • #46973
    David Acosta
    David Acosta
    Participante

    Hola Jesús:

    Comentar que los cuestionarios de SNCP son simplemente los mismos SAQ pero en un formato personalizado de RedSys. El documento al que haces mención (http://www.abccat.com/docs/implantacio_emv.pdf) es del 2007, hace 11 años y ya muchas cosas han cambiado. Mi sugerencia es que no lo uses como referencia, porque la información que incluye es imprecisa. Del website de ISEC Auditors, es diferente, porque es información más reciente y además conozco a su autor :-)

    En términos generales, te adjunto este gráfico que es del cuestionario simplificado de RedSys:

    SNCP

    • Si no tienes acceso al PAN en claro (solo al BIN + 4 últimos dígitos) debes usar un SAQ B/B-IP. Pensarás que como no tienes acceso a datos de tarjeta no se requiere cumplir con PCI DSS, pero eso es falso. Bajo tu responsabilidad como comercio está la parte documental, la seguridad física de los datáfonos, la aplicación de reglas de filtrado (si aplica), etc. Dependiendo de tu escenario, habrán seguramente muchos controles que no apliquen, pero aún así requieres reportar cumplimiento. Otra cosa es que los adquirientes no te pidan nada, pero eso no implica que no tengas que cumplir. Tanto el SAQ B como el SAQ B-IP en el apartado «Before You Begin» ya te lo indican: «Your company does not store cardholder data in electronic format», que es una extensión lógica del no tener acceso al PAN en claro electrónicamente.
    • Si tienes acceso al PAN en claro, entonces requieres usar un SAQ D. Este SAQ es el único que contempla un escenario en el cual el comercio si puede almacenar los datos del PAN: «Merchants with electronic storage of cardholder data», que también es una extensión lógica de tener acceso al PAN, porque si lo tienes es porque lo requieres almacenar para algo.

    La conclusión de todo este tema es que si en tus flujos operativos gestionas datos de tarjetas de pago, tendrás que cumplir PCI DSS en mayor o en menor medida de forma obligatoria. No hay ningún escenario en el cual puedas «librarte» de cumplir con el estándar. Lo que sí puedes hacer es emplear criterios de minimización de ámbito (delegación en terceros, uso de criptografía, uso de tokenización, etc.) para evitar cumplir con la totalidad del estándar y de esa forma solamente implementar un subconjunto de controles ajustados a tu entorno.

    David

  • #46976
    Avatar
    Jesus Repiso
    Participante

    Gracias David!
    Teníamos claro que esquivar el cumplimiento de PCI no podía ser, pero queremos minimizarlo lo mas posible, y nos estás ayudando mucho,
    por eso siento ser tan pesado.

    Según entendemos, si usamos SNCP con el PAN en claro seríamos categoría 2 y que entonces necesitamos un SAQ D,
    y que si usando SNCP y no usamos el PAN en claro seríamos categoría 1, necesitando un SAQ B/B-IP. ¿Hasta aquí todo correcto?

    Pero ahora tenemos una duda respecto el concepto PAN en claro. Según la leyenda del gráfico ** nos indica que se considera PAN en claro tener expuestos un número mayor a 6 dígitos (BIN). Mientras que leyendo la línea escrita a continuación entendemos que PAN en claro es mayor que 10 dígitos (BIN + 4 últimos). ¿Cuál sería el caso?

    Muchas gracias de nuevo.

  • #46992
    David Acosta
    David Acosta
    Participante

    Hola de nuevo:

    Desde PCI DSS es perfectamente válido tener acceso a los seis (6) primeros dígitos (BIN/IIN) de la tarjeta y a los cuatro 4 últimos dígitos sin necesidad de que ese dato esté cubierto por los controles del estándar (con los dígitos centrales ocultos o «enmascarados»/»asteriscados»). Esto te lo indica el contro 3.3:

    Enmascare el PAN (número de cuenta principal) cuando aparezca (los primeros seis o los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá), de modo que solo el personal con una necesidad comercial legítima pueda ver más que los primeros seis o los últimos cuatro dígitos del PAN.

    Lo que se indica en los ** es tener MÁS de 6 caracteres (BIN/IIN + 1 o más dígitos) en el primer bloque. Si los tuvieras, estarías incumpliendo el requisito 3.3.

    En conclusión: que ese punto se refiere solamente a la cantidad de dígitos del BIN/IIN y no impacta a los 4 últimos dígitos.

    David

  • #46993
    Avatar
    Jesus Repiso
    Participante

    vale!… creo que lo entiendo…
    Entonces, si transmito por SNCP el BIN mas 4 últimos números del PAN, me corresponde el SaQ B-IP!
    Muchas gracias David!!

Debes estar registrado para responder a este debate.