Desenredando el cumplimiento de PCI DSS para los comercios.

Andrés Mejía

Andrés Mejía

COO/CISO/DPO de Payválida

En el mundo del comercio electrónico, bastante se escucha hablar sobre el estándar PCI DSS a la hora de recibir pagos con tarjeta de crédito. Uno de los principales dilemas es sí toda clase de comercios debe cumplir con PCI DSS o no a la hora de recibir pagos con tarjetas de crédito, o que si mi pasarela de pagos es certificada PCI DSS entonces mi comercio también lo es, y ni hablar de la cantidad de siglas que se usan para cada tema, QSA, ASV, ROC, AOC, ETC!! . En este artículo te vamos a aclarar algunos temas con el fin de que tu comercio pueda estar tranquilo y en cumplimiento con este estándar.  

PCI DSS (Payment Card Industry – Data Security Standard), es un conjunto de estándares de seguridad redactados por las principales empresas de tarjetas de crédito (VISA, MasterCard, Amex, Diners, otras) para proteger la información de tarjetas de crédito y débito.

Para la protección de datos de tarjeta de crédito, PCI ha definido una lista de requerimientos de seguridad clasificados en 12 dominios y 250 requerimientos. Si quieres conocer estos requisitos a detalle puedes consultar el sitio web de PCI DSS https://www.pcisecuritystandards.org/document_library/.

Sobre las siglas de PCI DSS.

  • SQA (Self-Assessment Questionnaire): El cuestionario de autoevaluación es una herramienta con la que las empresas se autoevalúan desde el punto de vista de cumplimiento de los requisitos de PCI DSS. El SAQ podrá variar dependiendo del flujo de los datos de la tarjeta de crédito en cada comercio. Si deseas conocer el tipo de SAQ que te aplica puedes buscar el documento “SAQ Instructions and Guidelines” en el sitio web de PCI DSS https://www.pcisecuritystandards.org/document_library/.
  • ROC  (Report of Compliance):  Es un documento que elabora un auditor certificado (QSA) por PCI DSS luego de evaluar a las empresas según los requisitos de PCI DSS. Contiene información detallada de la auditoría (diagramas, inventarios, configuraciones), por ende es un documento confidencial de cada empresa auditada.
  • QSA  (Qualified Security Assessor): Los asesores de seguridad cualificados (QSA) son organizaciones (QSAC) de seguridad independientes cualificadas por el PCI.
  • AOC  (Attestation of Compliance): Es un documento que da fe de los resultados de la evaluación. Afirma o testifica que todo lo dicho en el SAQ o ROC esté en cumplimiento y se puede compartir con cualquiera.
  • ASV  (Approved Scanning Vendor): Son fabricantes de escáneres o proveedores de servicios de escaneo de vulnerabilidades aprobados por PCI DSS para dar cumplimiento al requisito 11.2.2 de PCI DSS (Escaneos Trimestrales Externos) el cual menciona que trimestralmente se debe realizar un escaneo de vulnerabilidades a los servicios expuestos a internet.

¿Quién debe cumplir con PCI DSS?

Deben cumplir con PCI DSS todos los comercios que reciban pagos con tarjeta de crédito, no importa su tamaño, y proveedores de servicio que procesan o almacenan datos de tarjetahabientes en nombre de los comercios, tales como procesadores de pagos e e-commerces.

¿Cómo demuestro el cumplimiento de PCI DSS?

Las empresas deben cumplir con diferentes requisitos dependiendo de la cantidad de transacciones anuales y de la marca de pago que usan (Visa, Mastercard, American Express, Discover, JCB, etc.).

La gran pregunta: si mi pasarela (procesador de pagos) es certificada PCI DSS yo también lo soy?

La gran respuesta: NO. Si eres un comercio y recibes pagos con tarjetas de crédito, uses o no una pasarela de pagos, también debes cumplir con PCI DSS, pero será menos rígida la exigencia dependiendo del número de transacciones que hagas en un año y del modelo de integración con tu pasarela.

Sobre el modelo de integración con tu pasarela. Si usas el checkout de tu pasarela, los datos de tarjeta de crédito los recibe directamente tu pasarela y seguramente tendrás menos requisitos que cumplir, pero igual tienes que cumplir con PCI DSS.

Si los datos de tarjeta de crédito los recibes en tu ecommerce, tendrás que dar cumplimiento a más requisitos.

A continuación ilustraremos algunos escenarios:

Resumen:

EscenarioSAQPreguntas a contestar por parte del comercio
1 (El comercio usa su checkout, almacena datos y usa el API de la pasarela)D393
2 (El comercio usa su checkout y el API de la pasarela)D(Sin capítulo 3)371(-22 Cap 3)
3 (El comercio usa checkout de la pasarela)A24

En Payválida nos tomamos la seguridad muy en serio, es por esto que cumplimos con la certificación PCI DSS bajo los parámetros de nivel 1. 

Si usas nuestros servicios de pasarela de pagos, recuerda que esto no es garantía de que tu comercio esté cumpliendo o este certificado PCI DSS, pero si es un gran valor para tu negocio, por lo cual te invitamos a que revises tus procesos a fin de identificar en qué nivel debes demostrar cumplimiento y por ende las acciones y esfuerzos que debes llevar a cabo.

Conclusiones

  • Si tu empresa es nivel 2, 3 o 4 seguramente debas llenar un SAQ, pero si se clasifica nivel 1, entonces deberás llenar ROC para lo cual debes contratar un QSA.
  • Si tu empresa es nivel 2, 3 o 4, debes saber que existen diferentes categorías de SAQ según el flujo del dato de tarjetas de crédito en tu empresa.
  • En ambos casos debes presentar los SAQ con un AOC firmado por tu empresa y/o por un auditor certificado en caso de que un tercero te lo pida.
  • Si usas el checkout de la pasarela, te ahorras esfuerzo, tiempo y dinero.

Comparte esta publicación con tus amigos