VISA PIN

El Programa de Seguridad VISA PIN regula que las entidades involucradas en los procesos de pago a través de terminales de hardware (Pont-of-Sale, ATM o quioscos) en los que se involucran datos del PIN de las tarjetas de pago cumplan con una serie de medidas de seguridad.  En esta entrada veremos algunas de las características más importantes de dicho programa de seguridad, y su relación con el estándar PCI PIN (parte del programa PCI PTS). Dicho programa de seguridad aplica a las siguientes entidades:

  • Validating Participants:
    • Bancos, terceras partes y proveedores que están implicados en los servicios de adquiriencia relacionados con transacciones PIN en dispositivos de hardware (POS, ATM)
    • Proveedores implicados en la gestión de las claves de cifrado utilizados por los dispositivos POS/ATM
    • Otras entidades implicadas en dichas transacciones PIN no incluidas en las definiciones anteriores, pero consideradas como entidades de alto riesgo por Visa
  • Non-validating participants: Comercios y otras organizaciones que intervienen en transacciones con PIN y/o realizan servicios de gestión de claves de cifrado para dichas transacciones, y que no se incluyen en ninguna de las categorías anteriores.

Y abarca los siguientes controles de seguridad:

  • Requerimientos de seguridad del estándar PCI PIN: Requerimientos de seguridad a nivel de dispositivo de hardware (ATM y POS)
  • Requerimientos de seguridad de la normativa VISA PIN Entry Device (PED): Requerimientos de seguridad en base a la estrategia de adquisición y mantenimiento de los dispositivos de hardware
  • Requerimientos de seguridad TDES: Requerimientos que aseguran que la protección de los datos PIN se realiza con algoritmos de cifrado robustos (TDES)

Por lo tanto, vemos que una de las partes más importantes de dicho programa es que la entidad afectada cumpla los requisitos de seguridad requeridos por el estándar PCI PIN.

Para demostrar el cumplimiento con dicho estándar del PCI SSC, y en general, con todo el programa de seguridad VISA PIN, las entidades afectadas deben llevar a cabo las siguientes acciones:

  • Validating Participants: Deben realizar una auditoría onsite oficial a través de una entidad Visa Approved Assessor cada 24 meses, y reportar los resultados de la auditoría (documento “Visa Attestation of Compliance” (VAOC)) a Visa. El listado de las entidades autorizadas para la realización de esta auditoría onsite pueden verificarse en el siguiente enlace oficial (columna “PIN”): https://usa.visa.com/dam/VCOM/download/security/documents/sa-global-list.pdf
  • Non-validating Participants: Deben rellenar un PIN Self-Assessment Questionnaire (PIN SAQ). No es necesario el reporte de dicho documento a Visa salvo que dicha marca de tarjetas lo solicite expresamente.

Los proveedores que han superado exitosamente una auditoría del programa de seguridad VISA PIN, se encuentran listados en el siguiente enlace, filtrando el campo “Validation Type” con la categoría “PCI-PIN”: http://www.visa.com/splisting

Referencias

Página web oficial del programa de seguridad VISA PIN: www.visa.com/pinsecurity

Guía del Programa de Seguridad VISA PIN: https://usa.visa.com/dam/VCOM/download/security/documents/visa-pin-security-program-guide-public.pdf

Guía para auditores del Programa de Seguridad VISA PIN: https://www.visa-asia.com/ap/center/merchants/riskmgmt/includes/uploads/Visa_PIN_Security_Program_Auditors_Guide_aug_06.pdf

Plantilla PIN SAQ del Programa de Seguridad VISA PIN: https://usa.visa.com/dam/VCOM/download/security/documents/pcipin-saq-v2-template.docx

Normativa VISA PIN Entry Device Requirements (PED) (parte del programa de seguridad VISA PIN): https://usa.visa.com/dam/VCOM/download/merchants/visa-PED-Requirements-2013.pdf