Etiquetado: , ,

Mostrando 2 respuestas a los debates
  • Autor
    Entradas
    • #50370
      David PCI
      Participante

      Buenas tardes,

      Antes de nada quería agradecer vuestra labor para ayudarnos a mejorar nuestra compresión sobre PCI.

      Tras darle muchas vueltas estamos decidiendo externalizar nuestra plataforma de pago a un proveedor aprobado como PCI DSS.

      Somos un comercio presencial y nuestros pinpads van conectados a ordenador, no son ethernet. Nuestra pasarela de pago es SNCP clase 1 por lo que no tendríamos en ningún momento acceso al PAN en claro.

      En todos los sitios que leemos información recalcan que a pesar de ser un servicio PCI DSS compliant, eso no nos convertiría directamente en PCI DSS compliant a nosotros, habría que añadir todos los subrequisitos que estén en nuestro lado.

      Entendemos que el requisito 12 entraría prácticamente entero en nuestro ámbito, pero del resto no estamos muy seguros de que requisitos entrarían de manera parcial.
      Nuestro enfoque inicial sería aplicar un N/C al 90% de los requisitos, dado que no tenemos acceso al PAN ni a las claves de descifrado y esta comunicación viaja por nuestras redes cifrado.

      Pero revisando la documentación de PCI y dado que la pasarela de pago sería un proveedor de servicios nos preguntábamos si podríamos, como comenta la guía de PCI SSC Cloud Guidelines, delegar sobre nuestro proveedor los requisitos como si fuera un SaaS:

      Haz clic para acceder a PCI_SSC_Cloud_Guidelines_v3.pdf

      csc-y-csp-en-modelos-de-servicio

      De esta forma solo tendríamos responsabilidad parcial sobre ciertos requisitos:

      No obstante al tratarse de un comercio presencial, aún siendo SCNP de clase 1, y no teniendo acceso al PAN en claro en ningún momento, no sabemos si este sería el mejor enfoque.

      ¿Como veis este enfoque para intentar reducir el alcance? ¿o esta guía no esta pensada para nuestro caso en concreto?

      No se si me he explicado correctamente de nuestro caso concreto, en realidad creo que debe ser bastante común en españa. si algo no ha quedado muy claro por favor házmelo saber y añadiré más detalle.

      Muchas gracias de antemano.

      Un saludo

    • #50408
      David PCI
      Participante

      Buenas,

      Se me olvidaba comentar que al tratarse de un comercio presencial no todo el sistema sería un servicio, la parte de los PinPads recaería sobre nosotros, por lo que también tendríamos en cuenta el requisito «9.9 Proteja los dispositivos que capturan datos de tarjetas de pago mediante la interacción física directa con la tarjeta para proporcionar protección contra alteraciones y sustituciones».

      Gracias y un saludo.

    • #50438
      David Acosta
      Participante

      Buenas tardes:

      De acuerdo con tu descripción, parto de las siguientes premisas:

      • Vuestra empresa es un comercio presencial, con datáfonos conectados a los ordenadores.
      • Los datáfonos están enmarcados dentro de la iniciativa española SNCP, en donde no tenéis acceso a los datos de tarjeta en texto claro ni a las claves de encriptación.

      Siendo así, vuestro adquiriente (en este caso, el banco que os proporciona el servicio de los datáfonos) os debe indicar los requisitos de PCI DSS que debéis cumplir y el método de reporte de cumplimiento en función de la cantidad de transacciones anuales (auditoría o SAQ). Esto es muy importante, porque el comercio no puede hacerlo de forma unilateral. Si vuestro banco no os proporciona esta información, entonces mi recomendación es trabajar con un asesor QSA para que os ayude.

      En cuanto esto esté solucionado y sepáis realmente qué controles de PCI DSS os aplican, entonces ya entráis a revisar los temas de responsabilidad con vuestros proveedores.

      Desde mi perspectiva, no entiendo qué labor desempeña vuestra plataforma de pago, ya que al no tener acceso a los datos de tarjetas de pago en ningún momento entonces asumo que no tenéis que cumplir con PCI DSS allí (ya que no hay datos de tarjetas). Los datos de tarjeta viajan encriptados de extremo a extremo desde el datáfono hasta vuestro centro autorizador y este método ya es, en sí, una forma de minimizar el entorno de cumplimiento (ver «¿Qué es SNCP (Sistema Nacional de Cifrado de Pistas)?«).

      Finalmente (y esto ya al margen de la respuesta a la pregunta anterior), los proveedores que cumplen con PCI DSS por lo general son quienes te tienen que proporcionar las matrices de responsabilidad, indicando los controles que estan bajo su responsabilidad, los que estan bajo responsabilidad compartida y los que están bajo la responsabilidad tuya como comercio. Entonces, la tarea final es simplemente solapar los controles de PCI DSS que te pide vuestra entidad con la matriz que te proporciona vuestro proveedor PCI DSS para obtener los controles que están bajo vuestra responsabilidad y que debéis reportar.

      Espero que esta información te sirva. Si no, escríbeme nuevamente.

      David

Mostrando 2 respuestas a los debates
  • Debes estar registrado para responder a este debate.