man_asking_question_header

En el año que PCI Hispano lleva en Internet hemos recibido un sinnúmero de preguntas de nuestros visitantes, algunas de ellas muy complicadas y otras más sencillas pero no por ello menos importantes. En función del tiempo y disponibilidad intentamos contestarlas todas en el menor tiempo posible y tratando de ser lo más descriptivos en las respuestas. Sin embargo, hemos notado que hay algunas preguntas que han sido recurrentes a lo largo de este periodo,  indicándonos que existe un vacío informativo en esos puntos.

En este artículo se han recopilado las 10 preguntas más frecuentes que hemos recibido en un único artículo para referencias futuras. Aprovechamos para agradecer a todas las personas que nos han escrito y los animamos a continuar participando en el foro.

1. ¿Qué es PCI SSC?

PCI-compliance_2

El PCI SSC (Payment Card Industry Security Standards Council) es un foro compuesto por cinco de las más importantes marcas de pago: Visa Inc., MasterCard, American Express, Discover Financial Services y JCB International. Fue fundado el 7 de septiembre de 2006 con el objetivo de definir los controles de seguridad orientados hacia la protección de los datos de tarjetas de pago durante todo el flujo transaccional. Se trata de una organización independiente que actualmente gestiona el ciclo de vida de los siguientes estándares y de sus documentos asociados:

Una descripción general de estos estándares se puede encontrar en el documento “Payment Card Industry Security Standards Overview“.

Adicionalmente, el PCI SSC se encarga de realizar formaciones específicas a asesores, homologación de empresas para auditorías y servicios (como escaneos ASV y laboratorios), preguntas de uso frecuente (FAQ), actividades de promoción de los estándares a Proveedores de Servicios (Service Providers), Comercios (Merchants), adquirientes (Acquirers), emisores (Issuers) y al público en general, gestión de membresías, reuniones anuales de los miembros (Community Meetings en Europa y Norteamérica), así como la publicación y actualización de los siguientes listados:

Actualmente el PCI SSC cuenta con aproximadamente 700 organizaciones participantes (Participating Organizations) que soportan diferentes actividades dentro del propio foro.

La estructura organizacional del PCI SSC puede ser consultada en esta ubicación.

2. ¿Qué es PCI DSS?

pcidss_logo

El Payment Card Industry Data Security Standard (PCI DSS) es un estándar compuesto por una serie de controles físicos, lógicos, administrativos y documentales cuyo objetivo es gestionar la seguridad de los sistemas y las redes que procesan, almacenan y/o transmiten datos de tarjetas de pago.

Se encuentra dividido en 6 grupos principales y 12 requisitos, como se muestra a continuación:

pcidss

Esquematización de requerimientos del estándar PCI DSS

Así mismo, en el estándar PCI DSS se definen los controles que deben ser aplicados a cada uno de los datos de tarjetas de pago y si se permite o no su almacenamiento y bajo qué criterios se debería realizar:

datos_pcidss

Protección de datos de tarjetas según PCI DSS

Antes de la creación del PCI SSC cada una de las marcas administraba su propio programa de seguridad y definía los controles necesarios para la protección de los datos de sus propias tarjetas:

Para evitar la duplicación de controles y facilitar el cumplimiento cuando un comercio o un proveedor de servicios trabajaba con varias marcas de tarjeta se centralizó todo el esfuerzo en la definición de un único estándar que fuera aceptado por todas las marcas participantes en el PCI SSC. De esta forma se dio origen a PCI DSS, cuya versión actual es la 3.0 y se encuentra publicada en el sitio web del PCI SSC.

Es importante tener presente que con el desarrollo de PCI DSS los programas de cumplimiento de cada marca no desaparecen. Es la propia marca quien en función de sus necesidades define si un comercio o proveedor de servicios asociado debe cumplir con su propio programa o con PCI DSS.

Se puede encontrar información adicional de este estándar en el documento “Getting Started with PCI Data Security Standard“.

3. ¿Quién me exige cumplir con PCI DSS y a quién debo reportar dicho cumplimiento?

card

El cumplimiento de PCI DSS es obligatorio para cualquier comercio o proveedor de servicios que procese, almacene o transmita datos de tarjetas de pago.

Los adquirientes – incluyendo aquellas marcas de pago que también cubren dicho rol – son los responsables de la monitorización y reporte del cumplimiento de sus comercios. Es tarea de los adquirientes (procesadores, centros autorizadores, bancos, cajas, etc.) validar que sus comercios asociados cumplan con PCI DSS. Así mismo, son los adquirientes quienes deben informar a las marcas de pago de los estados de cumplimiento de sus comercios.

Los requerimientos de cumplimiento (incluyendo fechas límite), penalizaciones, multas y cualquier otra acción correctiva son definidas por las marcas de pago para el adquiriente y es labor del adquiriente reportarlas a sus comercios. Como se puede observar, las marcas de pago (con excepción de aquellas que actúan como adquirientes) nunca tienen contacto directo con los comercios. El contacto lo realiza a través del adquiriente, quien es el conducto regular para cualquier comunicación.

Es importante aclarar que el PCI SSC no gestiona el cumplimiento de PCI DSS de comercios o de proveedores de servicio. Estas tareas las realiza directamente cada marca. De acuerdo con esto, cuando se realiza una auditoría de PCI DSS o se reporta un SAQ, es la marca quien recibe esos informes, los analiza y publica y actualiza las listas (si aplica).

Es responsabilidad del comercio identificar y mantener comunicación continua con su adquiriente para conocer sus requerimientos de cumplimiento, fechas límite y envío de reportes.

4. ¿Qué es un SAQ?

SAQ_PCISSC

Un SAQ (Self-Assessment Questionnaire) es un cuestionario que contiene un subconjunto de controles de PCI DSS aplicados a un escenario específico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento mediante una auto-evaluación de los mismos y una confirmación que dicho trabajo se ha realizado siguiendo las indicaciones del PCI SSC.

Dependiendo del tipo de canal utilizado (comercio electrónico, pagos presenciales, pagos por correo o por teléfono, etc.) y de la cantidad de transacciones anuales realizadas (entre otras variables), se debe usar una de las siguientes versiones de SAQ:

  • SAQ A
  • SAQ A-EP
  • SAQ B
  • SAQ B-IP
  • SAQ C
  • SAQ C-VT
  • SAQ P2PE
  • SAQ D (Merchant)
  • SAQ D (Service Provider)

Se puede encontrar más información en el artículo “Todo lo que siempre ha querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación)“, publicado hace un par de meses en PCI Hispano.

5. ¿Quién puede realizar una auditoría de certificación de PCI DSS?

qsa

Cuando se requiere realizar una auditoría de certificación en PCI DSS, el comercio o a proveedor de servicios debe contratar a una empresa homologada y listada por el PCI SSC como “Qualified Security Assessor Companies“. Dichas empresas deben demostrar que cuentan con personal especializado y certificado, con amplia experiencia en el campo de la seguridad de la información y con criterios objetivos para realizar una auditoría que cumpla con los requerimientos de las normativas. Así mismo, deben aprobar una auditoría exhaustiva, pagar unos costes de mantenimiento anuales y en función de los resultados, calidad de sus auditorías y feedback de sus clientes pueden ser auditadas nuevamente por el SSC dentro del PCI SSC Assessor Quality Management (AQM) Program.

Para la ejecución de la auditoría, la empresa homologada asignará un PCI DSS QSA (Qualified Security Assessor) de su plantilla. Un profesional certificado PCI DSS QSA se encuentra capacitado para ofrecer consultoría objetiva y realizar auditorías de cumplimiento de PCI DSS (sólo una auditoría realizada y validada por un QSA es válida ante el PCI SSC). Dichos profesionales deben pertenecer a una empresa homologada. Esto es: No se pueden hacer auditorías a título personal o sin pertenecer a una empresa homologada. Para comprobar si un profesional está homologado para realizar auditorías de PCI DSS se puede comprobar en esta página: Verify QSA Employee.

Para resumir: Una auditoría de PCI DSS únicamente puede ser ejecutada por un profesional certificado PCI DSS QSA y perteneciente a una empresa homologada por el PCI SSC. Es importante que comercios y proveedores de servicio validen los listados del PCI SSC antes de contratar una empresa para realizar una auditoría de PCI DSS.

Más información en esta entrada del foro y en el MITO 6: “PCI DSS requiere contratar a un Qualified Security Assessor” en el artículo “Una revisión a los 10 mitos comunes de PCI DSS“.

6. Cuando finalizo la auditoría o reporto un SAQ, ¿obtengo un certificado de cumplimiento de PCI DSS?

pci-dss-compliant

Esta es una pregunta que continuamente nos realizan. La respuesta es NO. Al finalizar una auditoría de PCI DSS (o de cualquiera de los otros estándares del PCI SSC) no se obtiene ningún certificado de cumplimiento ni por parte del PCI SSC ni por parte de las marcas. La acción final después de una auditoría es la publicación del nombre de la empresa en los listados oficiales de empresas homologadas provistos por cada una de las marcas (si aplica).

Sin embargo, es una práctica común que las empresas homologadas por el PCI SSC para realizar auditorías le entreguen a sus clientes un certificado propio en el cual indican que cumple con los requerimientos del estándar pero dicho certificado no es oficial ni demuestra el estado real de cumplimiento, como si ocurre con los listados publicados por las marcas.

7. ¿Qué pasa si no cumplo con PCI DSS?

failed

Como en cualquier normativa, hay dos opciones a escoger: Cumplir o no cumplir. Si se opta por no cumplir con PCI DSS o inclusive aplazar el cumplimiento hasta donde sea posible en un acto irresponsable de procrastinación, una organización se arriesga a las siguientes acciones potenciales:

  • Imposibilidad de trabajar con un adquiriente: El adquiriente como tal debe garantizar que todos sus comercios cumplen con PCI DSS. En el caso que un comercio no cumpla con el estándar, dicho adquiriente puede finalizarle su servicio de forma discrecional debido al riesgo que le supone el gestionar transacciones provenientes de un comercio no alineado con los controles.
  • Pago de multas en caso de fraudes: Dichas multas pueden ser impuestas por las marcas de pago y por los adquirientes.
  • Pago de indemnizaciones a clientes afectados.
  • Costes asociados de una investigación forense, que debe ser ejecutada por un profesional PCI Forensic Investigator (PFI) únicamente.
  • Problemas derivados de mala prensa y pérdida de imagen de cara al público
  • Costes asociados a la implementación de los controles de PCI DSS de forma correctiva después de un incidente de seguridad, que siempre serán mucho más altos que si se implementan de forma preventiva.
  • Posibilidad de problemas legales derivados del incumplimiento colateral de otras leyes o normativas

De acuerdo con ello, para la gestión del riesgo asociado a los datos de tarjetas de pago es obligatorio el cumplimiento con los controles de PCI DSS integrándolos a la operación diaria de la organización y familiarizándose con el estándar. Si esto se realiza de forma metodológica, los resultados serán visibles en el corto plazo. Más información en el artículo “El círculo de Deming (o círculo PDCA) y la gestión de PCI DSS“.

8. ¿Qué es ASV?

asv

Dentro de PCI DSS se define el control 11.2 que establece la realización de análisis internos y externos de las vulnerabilidades de la red de forma trimestral. Los análisis internos pueden ser realizados por personal interno calificado, pero los análisis externos deben ser realizados obligatoriamente por una empresa homologada por el PCI SSC como “Approved Scanning Vendor” (ASV). Dichas empresas siguen una metodología específica,  emplean herramientas especiales y cuentan con personal certificado para la realización de dichas pruebas bajo las siguientes premisas:

  • Los escaneos de vulnerabilidades no deben afectar la operación normal del entorno del cliente
  • Los escaneos de vulnerabilidades no deben penetrar o alterar de forma intencional el entorno del cliente

Al final del ejercicio, el proveedor ASV debe generar un reporte en el cual se indique si los resultados son PCI PASS o PCI FAIL con base en los criterios de la metodología de escaneos.

9. ¿Cuál es el periodo de presentación de resultados de cumplimiento de PCI DSS?

2012-calendar-printable-redcircle

Por lo general, los periodos de presentación de resultados de cumplimiento (ya sea empleando un SAQ o un reporte de auditoría) son anuales. Sin embargo, este periodo puede ser modificado de forma discrecional por las marcas o por los adquirientes dependiendo del nivel de riesgo asociado que tenga un comercio en particular. La responsabilidad de reportar el cumplimiento recae tanto en el comercio como en el adquiriente, quienes deben trabajar de forma mancomunada para enviar los informes a las marcas dentro de los plazos establecidos.

10. ¿Puedo cumplir con PCI DSS si tengo implementados de forma parcial los requerimientos del estándar?

partial

La respuesta es NO. PCI DSS – y los demás estándares del PCI SSC – son estándares con cumplimiento binario: SI/NO.

Sin embargo, se puede reportar un cumplimiento parcial y unas fechas de finalización de la implementación que la propia organización debe definir siendo lo más realista posible. Este reporte parcial debe ser enviado al adquiriente quien se encargará de monitorizar el estado de cumplimiento en la finalización del periodo definido dependiendo de sus propias políticas internas.

Es importante tener en cuenta que el no tener implementados la totalidad de los controles del estándar implica que la organización estará asumiendo un potencial riesgo si se presenta un incidente de seguridad, por lo cual la gestión de este cumplimiento debe ser un proyecto prioritario.

¿Tiene más preguntas o considera que necesita mayor detalle en alguno de estos puntos? Tiene a su disposición los comentarios y el foro. Así mismo, los invitamos a visitar de forma continua el portal, seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.