En una decisión que ha tomado por sorpresa a todo el ecosistema de medios de pago, Visa anunció que su programa de Seguridad del PIN (Visa PIN Security Program) finalizó el 1 de octubre de 2023.

En un escueto comunicado publicado recientemente en su página web corporativa, Visa anunció que, a partir del 1 de octubre de 2023, su programa de Seguridad del PIN (Visa PIN Security Program) dejó de estar activo. Visa argumenta que esta decisión fue tomada para permitir la focalización de sus esfuerzos en otros riesgos más críticos para el ecosistema de pagos.

Para entender el impacto de esta noticia, es importante distinguir entre el estándar PCI PIN y el programa de seguridad de las marcas de pago (en este caso, Visa):

• Por un lado, el estándar PCI PIN define los controles de seguridad que se deben implementar para la gestión segura, el procesamiento y la transmisión del número personal de identificación (PIN) durante transacciones de pago en cajeros automáticos y terminales de punto de pago (POS).
• Por otro lado, los programas de seguridad de cada marca de pago establecen qué entidades están sujetas a la evaluación de estos controles, la periodicidad de dichas evaluaciones y las potenciales multas en caso de incumplimiento e incidentes de seguridad, entre otros puntos de carácter administrativo.

Con la finalización del programa de seguridad del PIN de Visa, las siguientes actividades ya no serán obligatorias:

• Ya no será obligatorio reportar el cumplimiento de PCI PIN a Visa por parte de las entidades. Por esto, una vez se haya finalizado la evaluación de PCI PIN, ya nos será necesario que la entidad envíe los documentos de cumplimiento (Attestation of Compliance – PCI PIN AoV) a Visa, como se venía realizando anteriormente.
• Visa ya no mantendrá el listado de entidades validadas en PCI PIN en su listado de proveedores de servicio (Visa Global Registry of Service Providers).
• La restricción de cambiar de empresa asesora (Qualified PIN Assessor Company – QPAC) después de dos (2) evaluaciones de cumplimiento simultáneas deja de ser obligatoria.
• Las fechas de expiración de dispositivos de punto de interacción (Point-of-Interaction – POI) serán definidas por el programa PCI PTS POI y por los controles del estándar PCI PIN. Visa ya no establecerá los periodos de uso, remplazo y remoción de este tipo de dispositivos.

No obstante, los siguientes puntos seguirán siendo vigentes después del 1 de octubre de 2023:

• Las evaluaciones de cumplimiento de PCI PIN siguen siendo necesarias. En este sentido, dichas evaluaciones deberán seguir siendo realizadas por un asesor de seguridad cualificado (Qualified PIN Assesor – QPA) y no se permite el uso de cuestionarios de autoevaluación.
• El periodo de validez de la evaluación de PCI PIN continuará siendo de 24 meses.
• Las multas en caso de incumplimiento seguirán siendo aplicables, conforme con los documentos Visa Core Rules y Visa Product and Service Rules.

La finalización de este programa deja a la comunidad de medios de pago con muchas preguntas acerca de la responsabilidad de la gestión del cumplimiento, ya que sin un ente centralizador del proceso (como lo son las marcas de pago) y sin la existencia de un listado de entidades validadas, así como la ausencia de criterios de aplicabilidad, el cumplimiento con PCI PIN podría verse afectado en un futuro.

Por el momento, el Payment Card Industry Security Standards Council (PCI SSC) no se ha pronunciado al respecto y es muy probable que otras marcas de pago que hacen parte del PCI SSC (incluyendo MasterCard) tomen la misma decisión de abandonar sus programas de cumplimiento de PIN en el corto plazo.

Sobra aclarar que aquellas entidades que ya han sido o están siendo evaluadas por un QPA deberán continuar con sus procesos periódicos de validación de forma normal, sin que haya ninguna afectación con este anuncio.