Mostrando 2 respuestas a los debates
  • Autor
    Entradas
    • #54759
      r.varela
      Participante

      Buenas tardes!

      Examinando la normativa, he observado que los requisitos a cumplir para los proveedores se asignan en función del número de transacciones procesadas por los mismos. Esto es, que si el proveedor de servicios procesa más de 300k transacciones al año se le considerará proveedor de nivel 1, pero si procesa menos de 300k transacciones al año se le considerará proveedor de nivel 2.

      La pregunta que me surge en este caso es ¿Qué se entiende por transacción en el ámbito de PCI? Cuando un cliente consulta el cvv y la fecha de caducidad de su tarjeta, ¿se considera como transacción? ¿o se refiere exclusivamente a operaciones de pago?

      Muchas gracias de antemano por vuestra ayuda.

    • #54788
      David Acosta
      Participante

      Buenas tardes:
      Esta es una pregunta muy interesante, ya que no hay una respuesta única.
      El concepto de qué es una «transacción» depende de cada marca de pago. Recordemos que el estándar PCI DSS es gestionado por el PCI Security Standards Council (PCI SSC) pero la definición de quién tiene que cumplir con este estándar es responsabilidad de las marcas de pago, quienes gestionan los niveles de cumplimiento tanto para comercios como de proveedores de servicio de forma unilateral. Aquí puedes encontrar un artículo que habla de ello (https://www.pcihispano.com/niveles-de-cumplimiento-y-requerimientos-de-las-marcas-para-comercios-y-proveedores-de-servicio-en-pci-dss/).
      En términos generales, se usa el criterio de «transacción» (entendiéndose como una autorización o no de un pago realizado con una tarjeta perteneciente a una marca específica) para identificar los niveles de cumplimiento. No obstante, este concepto no siempre aplica.
      En casos en los que una entidad solamente almacena datos de tarjetas pero no hay ninguna acción de envío para autorización ni conexión con adquirientes o con las marcas (por ejemplo: una empresa que ofrece servicios de tokenización), en ese caso el concepto de «transacción» no se aplica, sino que se cuentan cuantas tarjetas se almacenan anualmente. Como ves, el criterio varía dependiendo del tipo de servicio ofrecido.
      Otras veces, hay entidades que debido a su riesgo o si han tenido incidentes con tarjetas anteriormente, su nivel no se define en términos de transacciones, sino en términos de riesgo (a mayor riesgo, mayor nivel de cumplimiento).
      En este caso, lo más aconsejable es contactar con la entidad adquiriente (bancos) o con las marcas para que sean ellos, de acuerdo con sus criterios, quienes definan los requisitos y los niveles en los que recae una empresa dependiendo de los canales de pago disponibles, de sus servicios y del riesgo a fraudes que tenga.
      Finalmente, comentar que los asesores QSA no definen el nivel de cumplimiento de una empresa ni tienen ninguna injerencia en este proceso.
      Saludos,
      David

    • #54794
      r.varela
      Participante

      Muchas gracias por tu respuesta David,

      He consultado el artículo al que haces referencia, pero en el se mencionan los niveles en función del número de transacciones.
      En el caso de un proveedor de servicios que no participa en las transacciones, sino que únicamente almacena y muestra al cliente los datos (pongamos por ejemplo una app móvil a través de la cual puedes consultar tus movimientos y los datos de tu tarjeta de crédito), ¿cómo se determinaría el nivel de cumplimiento? ¿cuál sería el número de tarjetas que se pueden almacenar para cada nivel de cumplimiento?

      Muchas gracias de antemano por vuestra ayuda.

      Un saludo

Mostrando 2 respuestas a los debates
  • Debes estar registrado para responder a este debate.