La seguridad de los datos de tarjetas de pago no es la misma que hace 10 o 15 años. La masificación de los chips EMV y de las transacciones contactless, el uso de tokenización, la implementación de controles P2PE y el despliegue de terminales de pago alineadas con el estándar PCI PTS POI hacen que la seguridad del proceso se optimice y el riesgo del lado del comercio decaiga. En ese sentido, las marcas de pago han establecido ciertas reglas para no tener que presentar anualmente reportes de cumplimiento de PCI DSS. A continuación, listamos los programas de exención vigentes actualmente por parte de las principales marcas de tarjetas de pago.
Nota:
Los siguientes programas de exención son únicamente para comerciantes (merchants). No aplica para proveedores de servicio.
Estos programas eximen del reporte de cumplimiento de PCI DSS, mas no de la implementación de los controles.
Los programas pueden estar limitados a zonas geográficas específicas. Revisad el detalle.
Antes de aplicar a alguna exención, es importante contactar con el adquiriente y/o las marcas de pago para obtener más información.
Mastercard Cybersecurity Incentive Program (CSIP)
Mastercard ha implementado el Programa de Incentivos de Ciberseguridad de Mastercard (Cybersecurity Incentive Program – CSIP), que establece una serie de exenciones del reporte de cumplimiento de PCI DSS para comerciantes que cumplan con requisitos específicos (uso de tecnologías EMV, soluciones listadas por el PCI SSC o uso de una suite de herramientas de siberseguridad y gestión de riesgos), con el fin de incentivar el uso de tecnologías de seguridad. CISP forma parte del programa de protección de datos de Mastercard (Site Data Protection – SDP) e incluye tres categorías: Risk-based Approach, Validation Exemption Program (VEP) y Compliance and Validation Exemption Program (C-VEP).

Enfoque basado en riesgo (Risk-based Approach)
Un comerciante de nivel 1 o 2 que cumpla los requisitos y esté ubicado fuera de la región de EE.UU. puede utilizar el enfoque basado en el riesgo, que reduce los requisitos de cumplimiento del comerciante a la validación del cumplimiento de los dos primeros de los seis hitos totales establecidos en el enfoque prioritario para alcanzar el cumplimiento del estándar PCI DSS (The Prioritized Approach to Pursue PCI DSS Compliance), de la siguiente manera:
- Un comerciante de nivel 1 debe validar el cumplimiento mediante una evaluación PCI DSS que dé como resultado la finalización de un ROC realizado por un QSA aprobado por PCI SSC o un ISA certificado por PCI SSC;
- Un comerciante de nivel 2 debe validar el cumplimiento mediante un SAQ. Los comerciantes de nivel 2 que completen el SAQ A, el SAQ A-EP o el SAQ D deben contratar adicionalmente a un QSA aprobado por el PCI SSC o a un ISA certificado por el PCI SSC para la validación del cumplimiento; y
- Cada comerciante de nivel 1 y nivel 2 debe revalidar anualmente el cumplimiento de los hitos uno y dos utilizando un SAQ.
Para cumplir con el enfoque basado en el riesgo, un comerciante debe satisfacer todos los siguientes requisitos:
- El comerciante debe certificar que no almacena datos de autenticación confidenciales (Sensitive Authentication Data – SAD).
- De forma continua, el comerciante debe mantener completamente separado el entorno de transacciones «sin tarjeta presente» (card-not-present – CNP) del entorno de transacciones «presenciales» (card present – CP). Una transacción presencial requiere que la tarjeta, el titular de la tarjeta y el comerciante estén presentes juntos en el momento y lugar de la transacción.
- Para un comerciante ubicado en la región de Europa, al menos el 95 % del total anual de transacciones con tarjeta presente de Mastercard y Maestro del comerciante debe realizarse en terminales POS híbridas.
- Para un comerciante ubicado en la región de Asia/Pacífico, la región de Canadá, América Latina y la Región del Caribe, o la Región de Oriente Medio/África, al menos el 75 % del recuento total anual del comerciante de transacciones Mastercard y Maestro con tarjeta presente debe realizarse en terminales POS híbridas.
- El comerciante no debe haber experimentado un evento Account Data Compromise (ADC) o un evento ADC potencial en los últimos 3 años, incluyendo, entre otros, responsabilidades pendientes o acciones que impidan el cierre completo del evento ADC. A discreción de Mastercard, este y otros criterios pueden ser eximidos si el comerciante validó el cumplimiento total de PCI DSS en el momento del evento ADC o del evento ADC potencial.
- El comerciante debe establecer y probar anualmente un plan de respuesta a incidentes de acuerdo con los requisitos de PCI DSS.
Programa de exención de validación (Validation Exemption Program – VEP)
Todos los comerciantes (merchants) catalogados como nivel 1, 2, 3 y 4 que cumplan los requisitos y utilicen tecnologías seguras, como la tecnología de chips EMV, una solución de cifrado punto a punto (P2PE) incluida en la lista PCI, una solución de aceptación mobile POS (MPOS EMV) como SPoC, CPoC o MPoC, o la tokenización de pagos EMV, pueden participar en el Programa de exención de validación (VEP), que exime al comerciante de validar anualmente su cumplimiento con PCI DSS, a menos que la participación del comerciante entre en conflicto con la legislación o normativa aplicable que exija dicha validación.
Para participar en el VEP, un funcionario debidamente autorizado y facultado del comerciante debe certificar por escrito al adquirente del comerciante que este ha cumplido con todos los siguientes requisitos:
- El comerciante no almacena datos de autenticación confidenciales. El adquirente debe notificar a Mastercard, mediante un informe de validación de cumplimiento, el estado del almacenamiento por parte del comerciante de datos de autenticación confidenciales.
- Mastercard no debe haber identificado al comerciante como afectado por un incidente ADC o un posible incidente ADC durante los tres años anteriores, incluyendo, entre otros, responsabilidades pendientes o acciones que impidan el cierre completo del incidente ADC;
- El comerciante ha establecido y prueba anualmente un plan de respuesta a incidentes de acuerdo con los requisitos de PCI DSS; y
- El comerciante ha cumplido uno de los siguientes requisitos:
a. Al menos el 75 % del total anual de transacciones Mastercard y Maestro adquiridas por el comerciante se procesa a través de terminales POS híbridas, según se determina en función de las transacciones del comerciante procesadas durante los doce (12) meses anteriores a través del Sistema Global de Gestión de Compensación (GCMS) y/o el Sistema de Mensaje Único. Las transacciones que no hayan sido procesadas por Mastercard pueden incluirse en el recuento anual
de transacciones adquiridas si los datos están fácilmente disponibles para Mastercard;
b. El comerciante ha implementado una solución P2PE que figura en el sitio web de PCI SSC;
c. El comerciante ha implementado una solución de aceptación MPOS EMV, como SPoC, CPoC o MPoC, que figura en el sitio web de PCI SSC; O
d. Al menos el 75 % del recuento total anual de transacciones Mastercard y Maestro adquiridas por el comerciante se procesa utilizando tokens Mastercard de TSP que cumplen con el estándar PCI Token Service Provider (PCI TSP).
Como práctica recomendada, se recomienda a los comerciantes que reúnan los requisitos para participar en el VEP que validen el cumplimiento del estándar PCI DSS en los doce (12) meses anteriores a su incorporación al VEP.
El adquirente debe conservar todas las certificaciones de elegibilidad de los comerciantes para el VEP durante un mínimo de cinco (5) años. A petición de Mastercard, el adquirente debe proporcionar la certificación de elegibilidad de un comerciante para el VEP y cualquier documentación y/u otra información aplicable a dicha certificación. El adquirente es responsable de garantizar que cada certificación del VEP sea veraz y precisa.
Un comerciante que no cumpla los criterios de elegibilidad del VEP, incluido cualquier comerciante cuyo volumen de transacciones provenga principalmente del comercio electrónico que no utilice canales de aceptación de pagos EMV ni canales de aceptación de pedidos por correo/teléfono (MO/TO), debe seguir validando su cumplimiento del estándar PCI DSS.
Todos los comerciantes deben mantener el cumplimiento continuo del estándar PCI DSS, independientemente de si la validación anual del cumplimiento es un requisito o no.
Programa de exención de cumplimiento y validación (Compliance and Validation Exemption Program – C-VEP)
Un comerciante que cumpla los requisitos de nivel 3 o nivel 4 y que integre un conjunto de herramientas de ciberseguridad y gestión de riesgos podrá participar en el Programa de exención de cumplimiento y validación (C-VEP), que exime al del comerciante de cumplir con el PCI DSS y validar su cumplimiento ante Mastercard anualmente, a menos que la participación del comerciante entre en conflicto con la legislación o normativa aplicable que exija dicho cumplimiento y validación.
Para poder participar o seguir participando en el C-VEP, el adquirente y el comerciante deben cumplir todos los requisitos siguientes:
- El comerciante no almacena datos de autenticación confidenciales.
- El comerciante no ha sido identificado por Mastercard como afectado por un evento ADC o un evento ADC potencial (tal y como se definen en la sección 10.1 de este manual) durante los tres años anteriores, incluyendo, entre otros, responsabilidades pendientes o acciones que impidan el cierre completo del evento ADC;
- El comerciante ha establecido y prueba anualmente un plan de respuesta a incidentes;
- El adquirente proporciona al comerciante un conjunto de herramientas de ciberseguridad y gestión de riesgos que, como mínimo, incluye cada uno de los siguientes elementos:
a. Evaluación y puntuación continua de riesgos;
b. Supervisión de malware web;
c. Protección contra el robo de identidad, incluyendo:
i. Supervisión de la web oscura;
ii. Supervisión de las redes sociales en línea;
iii. Supervisión del crédito; y
iv. Servicio de reparación del robo de identidad basado en personas y educación sobre concienciación en materia de seguridad. - La evaluación y puntuación continuas del riesgo del comerciante por parte del adquirente deben identificar los riesgos abordados por cada uno de los siguientes elementos (en conjunto, las «herramientas de corrección»):
a. Protección de terminales, incluyendo:
i. Antivirus.
ii. Supervisión de la integridad de los archivos.
iii. Escaneo de políticas.
iv. Detección de amenazas en los terminales.
b. Inventario y supervisión de scripts de sitios web;
c. Gestión de vulnerabilidades autenticada que permita la detección de vulnerabilidades externas e internas con autenticación basada en credenciales para los activos de la red;
d. Detección y protección contra amenazas de red, incluyendo:
i. Seguridad del sistema de nombres de dominio (DNS);
ii. Protección contra bots; y
iii. Cortafuegos de aplicaciones web;
e. Gestión de información y eventos de seguridad (SIEM); y
f. Gestión del cifrado de datos; - El adquirente deberá utilizar una herramienta de corrección si la evaluación y puntuación de riesgos continuas del adquirente detectan alguna vulnerabilidad en un comerciante; y
- El adquirente deberá realizar evaluaciones y puntuaciones de riesgos continuas para las herramientas de corrección al menos una vez al trimestre, y sin demora tras la implementación de una herramienta de corrección para un comerciante.
El adquirente deberá conservar todas las certificaciones de elegibilidad de los comerciantes para el C-VEP durante un mínimo de cinco (5) años. A petición de Mastercard, el adquirente deberá proporcionar la certificación de elegibilidad de un comerciante para el C-VEP y cualquier documentación y/u otra información aplicable a dicha certificación. El adquirente es responsable de garantizar que cada certificación C-VEP sea veraz y precisa.
Un comerciante que no cumpla los criterios de elegibilidad del C-VEP deberá seguir validando su cumplimiento del estándar PCI DSS anualmente.
VISA Technology Innovation Program (TIP)
Por su parte, Visa ha establecido el programa Technology Innovation Program (TIP) para beneficiar a aquellos comerciantes en Estados Unidos que hayan tomado medidas para ayudar a prevenir el fraude por falsificación invirtiendo en tecnología segura. Este programa recompensa a los comerciantes que cumplan los requisitos eliminando el requisito de verificar el cumplimiento del estándar PCI DSS cuando al menos el 75 % de las transacciones anuales se originen a través de terminales con chip EMV, una solución de cifrado punto a punto validada o una solución de tokenización integrada estándar del sector que cumpla con la especificación de tokenización de EMVCo.
Para poder participar en el programa y beneficiarse de sus ventajas, los comerciantes estadounidenses deben cumplir todos los criterios siguientes:
- Confirmar que los datos de autenticación confidenciales (es decir, el contenido completo de la banda magnética, el valor de verificación de la tarjeta 2 (CVV2) y los datos del PIN) no se almacenan tras la autorización de la transacción, tal y como se define en la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
- Asegurarse de que al menos el 75 % de todas las transacciones se originen a través de uno de los siguientes canales de aceptación seguros:
– Terminales habilitados y operativos para la lectura de chips (los comerciantes estadounidenses deben cumplir los criterios de volumen con terminales de doble interfaz con contacto/sin contacto). Los terminales habilitados para chips deben tener una aprobación EMV válida y actualizada y superar los requisitos de prueba del Kit de herramientas de validación de dispositivos del adquirente (ADVT), el Kit de herramientas de evaluación sin contacto (CDET) y la Herramienta de prueba Visa payWave (VpTT), según corresponda.
– Servicio de cifrado punto a punto validado: La solución de cifrado punto a punto debe estar incluida en la lista de soluciones validadas del PCI Security Standards Council o validada de forma independiente por una empresa de cifrado punto a punto evaluadora de seguridad cualificada del PCI Security Standards Council. - No estar involucrado en la violación de los datos de los titulares de tarjetas. Un comerciante que haya sufrido una violación puede optar al TIP si posteriormente ha validado el cumplimiento del estándar PCI DSS.
Los comerciantes que no cumplan los requisitos de terminalización del programa, incluidos los comerciantes cuyo volumen de transacciones provenga principalmente de canales de aceptación de comercio electrónico y pedidos por correo/teléfono (MO/TO), siguen estando obligados a validar el cumplimiento del estándar PCI DSS anualmente, de acuerdo con los programas de cumplimiento de Visa.
American Express Security Technology Enhancement Program (STEP)
El Programa de mejora de la tecnología de seguridad (STEP) es una forma que tiene American Express de reconocer a los comerciantes que implementan tecnologías de seguridad adicionales para mejorar la seguridad de los datos de los titulares de tarjetas y los datos de autenticación confidenciales.
Para poder optar al Programa de Mejora de la Tecnología de Seguridad (STEP), hay varios requisitos que se deben cumplir:
- Cumplimiento actual del estándar PCI DSS.
- Ausencia de incidentes relacionados con datos en los últimos 12 meses.
- Al menos el 75 % de las transacciones con su tarjeta American Express se realizan:
o A través de terminales compatibles con EMV, o
o Utilizando una solución de cifrado punto a punto (P2PE) incluida en el listado del PCI Security Standards Council, o
o Utilizando una solución de cifrado punto a punto aprobada por un evaluador de seguridad cualificado (QSA).
En este caso, solamente se requiere enviar el formulario de validación anual de STEP y no se requerirá reportar el cumplimiento anual de PCI DSS o escaneos ASV.
Recomendaciones del QSA
Aunque los programas de exenciones mencionados anteriormente fueron definidos por las marcas de pago como incentivo para utilizar tecnologías que minimizan el riesgo en la gestión de datos de tarjetas de pago, es muy importante establecer las diferencias claras entre cumplimiento y seguridad. En este caso, el objetivo de estos programas es minimizar el reporte del cumplimiento de PCI DSS, más no exonerar a los comerciantes de la implementación de los controles. Los controles de PCI DSS deben continuar siendo implementados, lo que cambia es la necesidad de enviar los reportes de cumplimiento de forma anual como parte de la cadena de cumplimiento.
En ese sentido, mi recomendación como QSA es que, si la entidad cumple con los requisitos exigidos por los programas de exención, contacte con su adquiente y/o las marcas de pago y proceda. Pero, nuevamente, esto no implica que los controles del estándar PCI DSS no se implementen o dejen de ser monitorizados. Simplemente, al existir una tecnología segura en el entorno (transacciones con chips EMV, soluciones P2PE o tokenización), la exposición al riesgo es menor y, por lo tanto, hay más flexibilidad y confianza en el comerciante, lo cual es un valor añadido al utilizar estas tecnologías.