3 ene. 2013

Normas de Seguridad PCI DSS, PA DSS y PCI PTS

Hace poco más de un mes se llevó a cabo en Madrid una nueva edición del seminario "Últimos avances en Medios de Pago" donde se desarrollaron cada uno de los aspectos más importantes de los sistemas de pago que actualmente están en funcionamiento.

Uno de los temas que más comentarios suscitó fue la complejidad para saber qué empresas habían sido auditadas por la organización PCI DSS, aspecto que ha despertado mi curiosidad sobre cuál es la función de esta organización y sus aspectos más destacables y que me ha hecho indagar en este sentido.

Según su propia página web, "PCI Security Standards Council es un foro mundial abierto establecido en el 2006", cuya misión es la de aumentar la seguridad de la industria de las tarjetas de pago, proteger al usuario y disminuir el fraude de tarjetas de crédito.

Las empresas fundadoras de esta organización son American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa, Inc. Estas empresas unificaron sus requisitos propios de seguridad en un único punto con el fin de facilitar el cumplimiento en materia de seguridad. En caso de no cumplir la normativa, esta organización puede imponer multas o incluso denegar el servicio de utilización de las mismas. Actualmente, todas ellas comparten de manera ecuánime el control de la organización así como aquellas actividades relacionadas con la seguridad en la industria de las tarjetas de pago. Además, reconocen que los Evaluadores de Seguridad Certificados (QSA) y los Proveedores Aprobados de Escaneo (ASV) certificados por el PCI SSC son los únicos habilitados para validar el cumplimiento con PCI DSS.

Las empresas que trabajan con datos de tarjetas deben cumplir una serie de requisitos de seguridad, tanto de cara a la seguridad del propio cliente como a la seguridad propia de la compañía, ya que se enfrentan a auditorias severas y un incumplimiento de las mismas puede acarrear una cuantiosa multa.

La función de los miembros del PCI Security Standards Council es la de supervisar y definir normas de seguridad de datos (PCI DSS), requisitos de seguridad de transacciones con PIN (PCI PTS) y elaborar la norma de seguridad para la aplicación de pagos(PA-DSS).

PCI Security Standards Council define en su página web tres normas, cada una de ellas centrada en un ámbito determinado, que unifican los requisitos propios de cada una de las marcas:

PCI DSS

Es un estándar que recoge los requisitos y normas de seguridad de datos que deben seguir todas las compañías que trabajen con transacciones de tarjetas de pago. Es la que más repercusión tiene, se aplica a todas las entidades que participan en procesos de pago con tarjeta y recoge los requerimientos técnicos y operativos desarrollados para proteger los datos de los usuarios. Su adopción es obligatoria desde junio de 2007 y las marcas pueden imponer sanciones a las entidades que no realicen las auditorías prescritas.

Fue actualizada en Octubre de 2010, proporcionándole mayor flexibilidad, comprensión y facilitando su implantación por parte de empresarios y comerciantes. Comenzó a ser efectiva a partir del 1 Enero de 2011, pero se les concedió un año a las organizaciones para adecuarse a la actualización.

La norma está dividida en 12 requisitos de cumplimiento, organizados en 6 secciones llamadas “objetivos de control”. Estas secciones son las siguientes:
  • Desarrollar y Mantener una Red Segura.
  • Proteger los Datos de los propietarios de tarjetas.
  • Mantener un Programa de Manejo de Vulnerabilidad.
  • Implementar Medidas sólidas de control de acceso.
  • Monitorear y Probar regularmente las redes.
  • Mantener una Política de Seguridad de la Información.
Cada una de las secciones recoge los requisitos necesarios para proteger los datos de los titulares de tarjeta y en consecuencia, los pasos que deben seguir las organizaciones para protegerse en caso que ofrezcan el servicio de pago con tarjeta.

Algo que nos puede llevar resultar curioso a las personas que trabajamos en la gestión de la seguridad de la información es la comparación de PCI DSS con la norma ISO 27001 y buscar sus puntos comunes. Ambas normativas comparten propósito, pero difieren mucho en los métodos. Tienen la finalidad de proteger y controlar los datos de los clientes y ambas requieren auditorias periódicas, pero esos son los únicos puntos que comparten.

En la página http://www.focusonpci.com/site/ se puede encontrar un artículo que trata directamente estas diferencias, exponiendo además que “ISO es una medida global para toda la empresa, mientras que PCI está más centralizada en la gestión de la información referida a los pagos con tarjeta. Además la ISO es voluntaria, mientras la PCI DSS es obligatoria”. Incluye también una tabla con algunas de las diferencias más notables:

En el portal de información http://www.iso27001security.com/ se puede encontrar la relación entre los requerimientos que exige el PCI DSS y qué punto de la norma ISO 27.001 lo cubre. Puede ser consultado en el siguiente link: http://www.iso27001security.com/ISO27k_Mapping_ISO_27001_to_PCI-DSS_V1.2.pdf.

PA DSS

Se aplica a los proveedores software. Según su página web "su objetivo es ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguro que no almacenen datos prohibidos, como la banda magnética completa, datos de PIN o de CVV2 (Valor de verificación de la tarjeta), y cerciorarse de que sus aplicaciones de pago admitan el cumplimiento de la PCI DSS."

Este estándar está basado en las buenas prácticas de pago PABP (Payment Application Best Practices) [DOC], que Visa proporciona a los proveedores de aplicaciones. Estas buenas prácticas son voluntarias y aseguran que las aplicaciones de pago no almacenan datos engañosos colaborando en el cumplimiento del PCI DSS.

Esta norma está constituida por 14 requerimientos, y al igual que PCI DSS, fue actualizada en octubre de 2010.

PCI PTS

Aplica a los dispositivos de pago, definiendo los requisitos que debe tener su proceso de fabricación.

Esta norma recoge los requisitos de seguridad para transacciones con PIN. Va dirigida a los productores de los dispositivos de pago, definiendo los requisitos que deben seguir en el diseño, fabricación y transporte de estos dispositivos así como las entidades que los utilicen.

Este ha sido un pequeño resumen de las tres normas que la PCI ha desarrollado para mejorar la protección de los datos de los titulares de las tarjetas y con ello facilitar la adopción de medidas comunes para reducir el fraude en la industria de las tarjetas de crédito.

A finales de 2010 el PCI Security Standards Council publicó la versión 2.0 del PCI DSS y PA-DSS, respondiendo a la necesidad de mayor comprensión y flexibilidad de las normas, así como facilitando su aplicación en las organizaciones.

Fuente: Security Art Work I y II

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!