Mostrando 5 respuestas a los debates
  • Autor
    Entradas
    • #52142
      Avatarantuanti
      Participante

      Hola a [email protected]

      Me estreno en el foro realizando una pregunta que seguramente para muchos es básica, pero para mi es un mundo, dado que he de reconocer que me queda camino por recorrer en PCI.

      Primero planteo el escenario: Se trata de una pequeña empresa que desarrolla un ERP, y a través de la plataforma, procesan pagos de sus clientes. Para procesar el pago, utilizan Paypal.

      Y ahora mis preguntas:

      1.- Entiendo que si no superan un número determinado de transacciones al año, no tienen que realizar una auditoría con un QSA. Cierto?

      2.- Suponiendo que no tengan la obligación de realizar la auditoría, pueden evidenciar que cumplen con PCI, rellenando un formulario SAQ, que entiendo que podría ser SAQ A, o SAQ A-EP, en función de cómo procesan el pago: Si todo está completamente externalizado, tendrán que rellenar SAQ A, y si una parte de la petición la procesan de alguna manera en su plataforma, tendrán que rellenar SAQ A-EP. Voy bien encaminado?

      En cualquier caso, muchas gracias

    • #52184
      David AcostaDavid Acosta
      Participante

      Hola Antonio:
      ¡Bienvenido al foro!
      En el escenario que comentas:
      – El cumplimiento con PCI DSS depende de la forma como te conectas con tu proveedor de pagos (en este caso, PayPal). Si se hace de la forma «tradicional» (una redirección que lleva al usuario final a la página de PayPal sin que tu sitio web tenga acceso a los datos de la tarjeta) entonces estaríamos hablando de un SAQ A. En este artículo encontrarás más información: ¿Quieres poner en marcha o tienes una tienda online? Sigue estos consejos para cumplir con PCI DSS
      – Al ser un comercio, las marcas de pago han establecido una serie de niveles en función de la cantidad de transacciones de pago procesadas anualmente. Cada nivel tiene unos requisitos. En el caso de VISA, si tu comercio supera los 6 millones de transacciones anuales, debes realizar una evaluación formal de cumplimiento con un QSA. Si son menos (nivel 2, 3 y 4), entonces puedes reportar tu cumplimiento con un cuestionario de auto-evaluación. Más información en Todo lo que siempre has querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación) de PCI DSS v3.2.1 (Incluye comparativo en Excel de los tipos de SAQ)
      – El documento de VISA «Processing e-commerce payments – A guide to security and PCI DSS requirements» te aclarará muchos de los conceptos relacionados con integraciones en comercio electrónico.
      Espero que esta información te sea de utilidad.
      David

    • #52216
      Avatarantuanti
      Participante

      Muchas gracias por la bienvenida y por la información! Ahora me queda más claro el escenario, aunque otra inquietud que tengo es la siguiente: ¿Qué ocurre si la organización sólo guarda cierta información de la tarjeta de crédito? Por ejemplo, guarda la fecha de vencimiento de la tarjeta, o guarda los 4 últimos dígitos del número de la tarjeta? Con esta información «parcial» no se puede hacer nada con la tarjeta, pero en este caso, ¿Qué formulario SAQ aplicaría?

    • #52280
      David AcostaDavid Acosta
      Participante

      Buenas tardes:
      En este caso, es muy importante tener presente que la aplicabilidad de PCI DSS radica en el PAN (el número de cuenta principal es el factor que define los datos del titular de la tarjeta). Si el nombre del titular de tarjeta, el código de servicio y/o la fecha de vencimiento se almacenan, procesan o transmiten con el PAN (número de cuenta principal) o se encuentran presentes de algún otro modo en el entorno de datos del titular de la tarjeta, se deben proteger de conformidad con los requisitos aplicables de PCI DSS.
      No obstante, si solo se almacena la fecha de expiración o los 4 últimos dígitos del PAN, entonces no es necesario el cumplimiento con PCI DSS en aquellos elementos del sistema que almacenen estos datos.
      Sin embargo, hay que realizar un análisis exhaustivo del entorno, ya que si se tiene acceso a la fecha de expiración o a los 4 últimos dígitos de la tarjeta, es muy probable que en algún flujo operativo se obtengan los datos originales de la tarjeta (PAN completo y fecha de expiración) y luego se «saniticen» (4 últimos dígitos + fecha de expiración). En ese caso, el sistema que tiene acceso al PAN completo sí que debe cumplir con PCI DSS.
      Ejemplo: un servidor web que capture datos de tarjetas en un formulario y luego almacene en logs o bases de datos la fecha de expiración y los últimos 4 dígitos del PAN. En este caso, los logs y las bases de datos están fuera del alcance, pero el servidor web y el formulario que captura los datos completos de de la tarjeta no.
      Saludos,
      David

    • #52293
      Avatarantuanti
      Participante

      Muchas gracias David. No se si me estoy liando con esto, pero entiendo que tanto si almacena, procesa, o transmite PAN, como si sólo guarda única y exclusivamente la fecha de expiración de la tarjeta, aplica PCI-DSS, la diferencia es que si procesa PAN hay que implementar todos los requerimientos, y si no procesa PAN, pero procesa algo relativo al pago, le aplicará sólo una parte de PCI-DSS, y tendrá que rellenar el SAQ que le corresponda. Voy bien?

    • #52370
      David AcostaDavid Acosta
      Participante

      Buenas tardes:
      Para aclararnos, voy a referenciar a la fuente de confianza 🙂 el PCI SSC:

      For information about protecting different elements of cardholder data (CHD), please refer to the tables provided in the “PCI DSS Applicability Information” section in the PCI DSS. The tables illustrates that, if cardholder name, service code, and/or expiration date are stored, processed or transmitted with the PAN, or are otherwise present in the cardholder data environment, they must be protected in accordance with applicable PCI DSS requirements.

      This means that all applicable PCI DSS requirements, such as firewalls, patches, anti-virus, access controls, policies and procedures, etc., must be applied for protection of those cardholder data elements. However, only the PAN itself must be rendered unreadable in accordance with Requirement 3.4.

      If these other elements of cardholder data (that is, cardholder name, expiry date and/or service code) are present without any PAN, then PCI DSS would not apply to those elements.

      ¿Qué quiere decir esto?:

      • Si el PAN se procesa, se almacena y/o se transmite, entonces hay que cumplir con PCI DSS.
      • Si el PAN se almacena, se procesa y/o se transmite con el nombre del titular, el código de servicio y/o la fecha de expiración, entonces PCI DSS aplica a TODOS estos elementos, con la excepción que el 3.4 solamente debe cubrir al PAN.
      • Si solamente se tiene el nombre del titular, la fecha de expiración y/o el código de servicio SIN PAN entonces no se requiere el cumplimiento con PCI DSS.

      Espero que esta información te sea útil.

Mostrando 5 respuestas a los debates
  • Debes estar registrado para responder a este debate.