approved

El 15 de Diciembre de 2004 el PCI SSC publicó la primera versión del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS). Antes de esa fecha, cada una de las marcas de pago que integrarían posteriormente el PCI SSC (Payment Card Industry Security Standards Council)  gestionaba independientemente sus propios programas de cumplimiento de seguridad y los requerimientos que le eran exigidos tanto a comercios como a proveedores de servicios con el fin de minimizar el riesgo asociado al fraude de tarjetas de pago.

Con la publicación del estándar PCI DSS los controles de seguridad física, lógica, administrativa y documental pasaron a centralizarse en un único documento, permitiendo de esta forma definir un marco de trabajo homogéneo y transversal  para todos los comercios y proveedores de servicio independientemente del tipo de tarjeta de pago con la que trabajara.  Sin embargo, la validación del cumplimiento del estándar, los documentos que evidenciaran dicho cumplimiento y las multas siguieron bajo discreción de cada marca.

Es por ello que en este artículo se describirán de forma general los niveles establecidos por cada marca y los requerimientos documentales a presentar. No obstante, esta información es de referencia y puede ser modificada por la propia marca sin notificación previa, por lo que es recomendable ponerse en contacto con un QSA, el centro autorizador y/o el representante de cada marca en el país y validar las exigencias en el momento de presentar la documentación.

Niveles de cumplimiento definidos por las marcas

pciCada una de las marcas de pago asociadas al PCI SSC (Visa, MasterCard, American Express, Discover y JCB) catalogan a sus comercios (“merchants”) y proveedores de servicio (“service providers”)  de acuerdo con la cantidad de transacciones anuales procesadas con sus tarjetas. Para ello, se han definido 4 niveles de cumplimiento (Nivel 1 hasta Nivel 4), en donde cada marca de pago establece específicamente el umbral de transacciones en cada nivel, pudiendo variar dependiendo de la región geográfica en donde opere la organización.

Requerimientos documentales a presentar

Igualmente, cada marca en función del nivel exige determinada documentación a presentar para validar el cumplimiento, implementación y alineación con los controles del estándar. Algunos de los documentos que se exigen son los siguientes (dependiendo de la marca de pago):

  • AoC (Attestation of Compliance)
  • Quarterly Network Scan
  • Scope of Audit
  • ARD (Agent Registration Designation)

El reporte de cumplimiento con el estándar – dependiendo del nivel – se puede presentar usando:

  • RoC (Report on Compliance)
  • SAQ (Self Assessment Questionnaires)

Tabla comparativa de niveles y requerimientos por marca

Captura

Ya que la descripción y enumeración de los requerimientos de cumplimiento por cada marca es bastante extensa y es muy complicado agruparlo en una única tabla, a continuación se presenta una hoja de cálculo que contiene:

  • Niveles de cumplimiento y requerimientos para comercios por cada una de las marcas
  • Niveles de cumplimiento y requerimientos para proveedores de servicio por cada una de las marcas
  • Un glosario de términos empleados en el reporte

La versión 0.1 de este documento se puede descargar aquí:

Niveles cumplimiento v0.1

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.