Inicio / Protege tu empresa / Avisos Seguridad / Empieza la cuenta atrás para adecuarse a PCI DSS v3.2

Empieza la cuenta atrás para adecuarse a PCI DSS v3.2

Fecha de publicación: 
09/06/2016
Importancia: 
4 - Alta
Recursos afectados: 

Empresas con tiendas online o ecommerce que incorporen pasarelas para tarjetas de pago.

Descripción: 

Según ha anunciado PCI Hispano el consorcio formado por las principales marcas de tarjetas bancarias, el PCI Security Standard Council, ha publicado en abril una nueva versión del estándar de seguridad para la industria de tarjetas de pago PCI-DSS (Payment Card Industry - Data Security Standard). Este consorcio publica además las normas:

  • PA DSS (Payment Application- DSS) dirigida a fabricantes de software de aplicaciones de pago
  • PTS (PIN Transation Security), dirigida a fabricantes y distribuidores de dispositivos de pago que usan transacciones con PIN (número de identificación personal)

El objeto de estas normas es aumentar la seguridad de los pagos con tarjeta evitando el robo o pérdida de los datos que se manejan en estas transacciones. Estos incidentes afectan tanto a los usuarios, como a los bancos y a los intermediarios financieros.

La PCI-DSS v3.2, incluye requisitos de obligado cumplimiento para todo comercio o empresa que procese, almacene o transmita datos de tarjetas. La norma tiene distintos niveles de cumplimiento según el número de transacciones, la tecnología empleada y el tipo de tarjeta (Visa, Mastercard, American Express, Discover y JCB).

El 1 de febrero de 2018 entrará vigor y, por tanto, los emisores de tarjetas, los bancos y los comercios deben actualizar sus procedimientos de seguridad para adecuarse a la norma. Esta norma solía actualizarse anualmente. Esta es una actualización extraordinaria que indica la madurez de la norma, ya que a partir de ahora se revisará cuando sea necesario para adaptarse a las brechas de seguridad.

Solución: 

El estándar PCI-DSS 3.2 y toda la información asociada se puede descargar de la Document Library del PCI SSC. PCI Hispano dispone de un calendario de aplicación con las fechas clave.

Sigue estas recomendaciones para limitar el riesgo y gestionar el fraude:

  • Nunca almacenes datos de autenticación de tarjetas dentro del entorno de tu web o de tienda online, ni siquiera en los logs del sistema. Asegúrate que esto se cumple también si tienes externalizado el alojamiento de tu web o tienda online.
  • Revisa la seguridad del TPV virtual con el proveedor.
  • Comprueba que las comunicaciones tanto con el proveedor como con los clientes se realizan con protocolos seguros.
  • Revisa si realmente necesitas almacenar datos de tarjetas de pago, si no lo necesitas no lo hagas, externaliza completamente las transacciones financieras en terceros que cumplan PCI-DSS.
  • Si requieres almacenar datos de tarjetas, consolídalos y cífralos.
  • Implanta autenticación de doble factor para los accesos de administrador, sobre todo si el acceso es desde el exterior de tus instalaciones.
  • Si tienes limitaciones técnicas o administrativas para cumplir algún requisito, justifícalas y considera el uso de mecanismos compensatorios o alternativas que ofrezcan una protección similar.
  • Si tienes dudas, consulta con un asesor cualificado sobre el tema.
Detalle: 

La norma persigue salvaguardar en todo momento:

  • los datos de los titulares:
    • número PAN o Personal Account Number
    • nombre y apellidos
    • fecha de caducidad de la tarjeta
  • la información de autenticación para la transacción:
    • información de la banda magnética o el chip EMV
    • código de verificación de la tarjeta o CVV (Card Verification Value)
    • PIN/ PIN Block de la tarjeta

Para prevenir el fraude, las empresas deben vigilar de forma continua el cumplimiento de la norma, por ello se las obliga a monitorizar el sistema a lo largo del año.

Aunque en el estándar no se imponen sanciones en caso de incumplimiento, las entidades emisoras de las tarjetas sí lo hacen, y los bancos también pueden aplicar multas a sus comercios. En caso de pérdida o robo de datos, además de los titulares de las tarjetas, el comercio y los bancos son los principales damnificados, ya que se vería afectada su reputación y podrían ser objeto de sanciones por incumplimiento de la LOPD como responsables de ficheros con datos personales.

La norma PCI-DSS contiene 12 requisitos distribuidos en los 6 dominios:

  • Construir y mantener una red segura:
  1. Instalar y mantener un firewall
  2. No utilizar las contraseñas y otros parámetros de seguridad por defecto de los fabricantes
  • Proteger los datos de titulares de tarjetas:
  1. Proteger los datos almacenados de titulares de tarjetas
  2. Cifrar la transmisión, sobre redes públicas o abiertas, de datos de titulares de tarjetas
  • Mantener un programa de gestión de vulnerabilidades:
  1. Proteger todos los sistemas contra el malware y actualizar regularmente los programas antivirus
  2. Desarrollar y mantener sistemas y aplicaciones seguros
  • Implementar medidas sólidas de control de acceso:
  1. Restringir el acceso de empleados a datos de titulares de tarjetas a aquellos que realmente necesiten este acceso (need to know)
  2. Identificar y autenticar los accesos al sistema y a sus componentes
  3. Restringir el acceso físico a los datos de titulares de tarjetas
  • Probar y monitorizar las redes periódicamente:
  1. Hacer un seguimiento y monitorización del uso de todos los recursos de la red y de los datos de titulares de tarjetas
  2. Hacer pruebas periódicas de los sistemas y procesos
  • Establecer una Política de seguridad de la información:
  1. Mantener una política de seguridad de la información dirigida a todo el personal

La norma se acompaña de un cuestionario de autoevaluación (SAQ) para ayudar a los comercios y proveedores de servicios a conocer su cumplimiento. Los proveedores de servicios, es decir los que ofrecen servicios de intermediación financiera y pasarelas de pago, están autorizados para requerir estas evaluaciones de cumplimiento a los comercios asociados.

El cuestionario se divide en ocho partes para ocho casos posibles:

  • A: comercios sin tarjeta presente (comercio electrónico o telefónico, no cara a cara) que externalizan completamente las transacciones a intermediarios financieros que cumplen con PCI-DSS. Los comercios no almacenan, transmiten ni procesan ningún dato de titulares de tarjetas en sus instalaciones.
  • A-EP: comercios electrónicos que externalizan el proceso de pago a intermediarios financieros que cumplen con PCI-DSS, pero que tienen sitios web donde a pesar de no recibir datos de titulares pueden impactar en la seguridad de la transacción. No se almacena, procesan o transmiten datos de titulares de tarjetas en sus instalaciones.
  • B, B-IP, C-VT, C y P2PE no aplican a comercio electrónico, pero sí a los TPV físicos y otros medios de pago con tarjeta cara a cara.
  • D: para proveedores de servicio de intermediación financiera y comercios no incluidos en los anteriores, incluidas tiendas online que sí almacenen, transmitan o procesen datos de titulares de tarjetas en sus instalaciones.

Para la mayoría de las pymes con ecommerce, adaptarse a la normativa no tiene por qué resultar muy difícil (casos A y A-EP) siempre que a la hora de contratar pasarelas de pago eviten, en la medida de lo posible, almacenar, procesar o transmitir datos de titulares de tarjetas. Si se almacenan, procesan o transmiten datos (D) los requisitos exigen más actuaciones para garantizar la seguridad.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe y Facebook «protegetuempresa». Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Etiquetas: