La guía definitiva para el cumplimiento de PCI

Los datos del titular de la tarjeta definidos por el PCI DSS son el número de cuenta principal (PAN) como mínimo, o cualquier combinación del PAN y el nombre del titular de la tarjeta, los datos de caducidad de la tarjeta y el código de servicio. Además, los datos confidenciales de autenticación entran en el cumplimiento de PCI y no deben almacenarse a menos que sea absolutamente necesario. Solo los emisores de tarjetas o las empresas que admiten servicios de emisión de tarjetas pueden almacenar datos de autenticación confidenciales. Esto puede incluir códigos de validación de tarjetas, datos de seguimiento de una banda magnética o chip de tarjeta, PINS u otra información utilizada para validar a los titulares de tarjetas o las transacciones.

A medida que las empresas sigan encontrando nuevas formas de aceptar y procesar los datos de las tarjetas, estas directrices evolucionarán. Si bien mantenerse al tanto de esto puede parecer tedioso, es más beneficioso a largo plazo no solo proteger su reputación, sino también los datos de sus clientes.

Si una empresa almacena, acepta, transmite o procesa información de tarjeta de pago, entonces está sujeto a seguir las directrices y estándares establecidos por PCI SCC. Dado que el marco fue ordenado por los 5 principales proveedores internacionales de tarjetas de pago, se considera un estándar global de la industria para ayudar a garantizar que la información del titular de la tarjeta se maneje de forma segura.

Europa tiene su propio conjunto de normas de seguridad de datos llamadas Reglamento General de Protección de Datos (RGPD). Lo más probable es que hayas oído hablar de él desde que entró en vigor en mayo de 2018. GDPR y PCI DSS comparten cierta superposición, por lo que las empresas que están siguiendo a ambos están protegiendo mejor sus datos.

Si bien el cumplimiento de PCI puede parecer desalentador, piense en ello como una lista de verificación de las mejores prácticas que una empresa puede utilizar como marco cuando se trata de los datos del titular de la tarjeta.

El cumplimiento de la PCI es un proceso continuo que debe evaluarse cada año. Se puede dividir en tres partes:

• Evaluar: este es el paso en el que realiza un inventario de todos sus activos de TI e identifica dónde se encuentran los datos del titular de la tarjeta. Este paso es fundamental para determinar dónde te estás exponiendo a las vulnerabilidades.
• Reparación: aquí es donde arreglarías esos “agujeros”. En esta etapa, también eliminaría cualquier almacenamiento de datos del titular de la tarjeta e implementaría procesos seguros para gestionar mejor la información del titular de la tarjeta.
• Informe: En esta etapa, documenta su evaluación y envía sus informes a las marcas de tarjetas y al banco adquirente con el que hace negocios.

El cumplimiento de PCI no es lo mismo para todas las empresas. Consta de 4 niveles y una empresa está obligada a mantener el cumplimiento dentro de ese nivel específico. A medida que el número de transacciones de una empresa fluctúa, pueden subir o bajar de nivel.

Hay 4 niveles de cumplimiento PCI para los comerciantes, que se enumeran a continuación, incluidos los pasos necesarios para lograr el cumplimiento de cada nivel.

Dependiendo de su nivel de cumplimiento, es posible que algunas empresas necesiten contratar a un Asesor de Seguridad Calificado (QSA) independiente y aprobado por PCI SSC para llevar a cabo una evaluación in situ del cumplimiento de los requisitos de PCI DSS y completar un Informe de Cumplimiento (ROC) después. Otros comerciantes pueden rellenar un Cuestionario de Autoevaluación (SAQ) y una Certificación de Cumplimiento (AOC) en lugar de una ROC. También puede ser necesario un proveedor de escaneo aprobado (ASV) para los escaneos de red trimestrales.

• Nivel 1: Comerciantes que procesan más de 6 000 000 de transacciones al año. Los comerciantes de nivel 1 deben contratar una QSA, presentar una ROC y pasar los análisis trimestrales de la red utilizando un ASV.
• Nivel 2: Comerciantes que procesan entre 1.000.000 y 6.000.000 de transacciones anualmente. Los comerciantes de nivel 2 pueden completar un SAQ y un AOC y pasar los escaneos trimestrales de la red utilizando un ASV.
• Nivel 3: Comerciantes que procesan entre 20 000 y 1.000.000 de transacciones anuales. Los comerciantes de nivel 3 pueden completar un SAQ y un AOC y pasar los análisis trimestrales de la red utilizando un ASV.
• Nivel 4: Comerciantes que procesan menos de 20 000 transacciones al año. Los comerciantes de nivel 4 pueden completar un SAQ y un AOC y pasar los escaneos trimestrales de la red utilizando un ASV si es aplicable a su entorno de titular de tarjetas.

Además, hay 2 niveles de cumplimiento PCI para los proveedores de servicios.

Nivel 1: Proveedores de servicios que procesan 300.000 o más transacciones al año. Los proveedores de servicios de nivel 1 deben contratar una QSA, presentar una ROC y pasar los análisis trimestrales de la red utilizando un ASV.

Nivel 2: Proveedores de servicios que procesan menos de 300.000 transacciones al año. Los proveedores de servicios de nivel 2 pueden completar un SAQ y un AOC y pasar los análisis trimestrales de la red utilizando un ASV.

Estos niveles de cumplimiento tienen como objetivo simplificar el proceso de lograr y mantener el cumplimiento de PCI para las empresas más pequeñas que procesan menos transacciones en comparación con las empresas más grandes con más recursos para dedicar al cumplimiento y, como tales, se clasifican por el volumen de transacciones procesadas por una empresa en un año.

La principal consecuencia de no cumplir con las normas PCI DSS es una multa monetaria. Las multas varían en función de las circunstancias. Los tipos de multas pueden ir desde honorarios legales si se trata de una violación masiva de datos de tarjetas de crédito hasta tarifas de monitoreo de crédito y tarifas de auditoría.

Si se produjera una violación de datos en su negocio, se le investigará para ver si estaba en cumplimiento en el momento de la violación. Las multas pueden oscilar entre 5.000 y 100.000 dólares al mes y se pueden añadir multas adicionales si se han producido otros elementos de incumplimiento. Una de las mayores consecuencias que puede ocurrir por el incumplimiento es una mancha en la reputación y la marca de la empresa. Si bien la pérdida financiera puede afectar duramente a un negocio, puede ser más difícil recuperar la confianza de sus clientes en su negocio.

Otra consecuencia podría ser perder su cuenta comercial, por lo que ya no podrá aceptar pagos con tarjeta de crédito. Es difícil imaginar dirigir un negocio en el que no se aceptan tarjetas de crédito.

La mejor manera de evitar ser multado es hacer del cumplimiento un proceso continuo. Sin embargo, ten en cuenta que cumplir con PCI no evita las filtraciones de datos. Reduce significativamente sus posibilidades de incumplimiento porque tiene regulaciones en vigor, pero no hay garantía de que no pueda suceder.

Las tarjetas virtuales se están convirtiendo en un método de pago de uso común, por lo que no es de extrañar que surgieran preguntas sobre si esto cae bajo PCI DSS o no. Esto es lo que señala el PCI SSC en su sitio web:

Artículos 1285 y 1286:
“PCI DSS se aplica a todos los números de cuenta principales (PAN) que representan una marca de tarjeta de pago fundadora de PCI (American Express, Discover, JCB, MasterCard o Visa). Esto incluye los PAN que solo se proporcionan electrónicamente (PAN virtuales), así como los PAN que corresponden a una tarjeta de pago física. Si un PAN único está en el ámbito de PCI DSS dependerá de las restricciones particulares en torno a su uso, tal como se definen en las marcas de pago. Las entidades deben ponerse en contacto con la marca de pago aplicable para determinar cómo se aplica PCI DSS”.

Hay dos tipos principales de tarjetas virtuales: de un solo uso y multiuso. Las tarjetas de un solo uso se desactivan después de un solo uso, por lo que no se pueden reutilizar con fines fraudulentos. PCI DSS no se aplicaría necesariamente a ellos. Sin embargo, eso no significa que el negocio que está almacenando, transmitiendo o procesando la tarjeta también esté fuera de alcance.

Sin embargo, es diferente con las tarjetas multiuso. Las tarjetas multiuso están sujetas a las directrices PCI DSS si están siendo almacenadas, transmitidas o procesadas por empresas.

Se espera que los proveedores de tarjetas virtuales cumplan los requisitos de PCI DSS. Si está trabajando con un proveedor de tarjetas virtuales y no está claro si está siguiendo las directrices PCI para este método de pago específico, no dude en preguntar cómo se aplica PCI DSS. Vale la pena señalar que cada empresa de tarjetas de pago puede tener una opinión diferente sobre si está en el ámbito PCI o no. En caso de duda, ¡solo tienes que preguntar!

Un error común es que PCI DSS es una ley que se espera que cumplamos. Vale la pena señalar que se trata de un conjunto de reglas creadas por las cinco principales marcas de tarjetas de crédito para ayudar a promover un estándar de la industria al manejar los datos de los titulares de la tarjeta y proteger mejor a las empresas de una violación. Al igual que hay reglas en otras áreas de nuestra vida que se espera que sigamos, piense en PCI DSS como otro conjunto de prácticas que vale la pena incorporar a su vida empresarial.

Seguridad mejorada: al garantizar que las redes, los sistemas, los procesos y el personal de su empresa estén seguros y que los datos del titular de la tarjeta del cliente estén protegidos de posibles ataques, existe el efecto en cadena de garantizar que otros activos propiedad de su empresa también estén protegidos contra fugas, manipulación o destrucción. Esto puede incluir activos como la propiedad intelectual y otros tipos de datos sensibles y clasificados, además de los datos del titular de la tarjeta.

Protección legal: algunos estados de EE. UU. (directa o indirectamente) requieren que los comerciantes cumplan con PCI según la ley estatal. Por ejemplo, las entidades que cumplen con PCI en Nevada están protegidas contra la responsabilidad por daños en caso de violación de seguridad, siempre y cuando la violación de seguridad no haya sido causada por negligencia grave o mala conducta intencional por parte de la empresa o de cualquier persona o entidad conectada. Las protecciones legales proporcionadas al lograr el cumplimiento de PCI son beneficiosas para la estabilidad y el éxito a largo plazo de las empresas involucradas en el procesamiento de tarjetas de pago.

Confianza del cliente: Lograr el cumplimiento de PCI es una excelente manera de aumentar la confianza del cliente en sus productos y/o servicios, especialmente si logra el cumplimiento de nivel 1. Esto se logra al ser auditado por un Asesor de Seguridad Calificado (QSA) independiente y de confianza. Además, el logro del cumplimiento del nivel 1 permite que una empresa figure en el registro de proveedores de servicios Visa y MasterCard, lo que facilita a los posibles clientes consultar el estado de cumplimiento PCI de su organización.

Impacto de las filtraciones de datos: según el Informe de Costo de una Violación de Datos del Instituto Ponemon de 2019, el costo total promedio de una violación de datos es de 3,92 millones de dólares. Las infracciones también siguen afectando negativamente a las empresas durante un largo período de tiempo. Esto incluye multas, demandas (y costos legales posteriores), sanciones, reducción de las ventas y la pérdida de clientes ante empresas competidoras, pérdida de puestos de trabajo y otras numerosas repercusiones. Lograr y validar el cumplimiento de PCI de nivel 1 contribuye en gran medida a garantizar que se establezcan múltiples controles y procesos de seguridad para proteger los datos confidenciales del compromiso.

El cumplimiento de PCI no es una gran opción para cualquier empresa que valore la seguridad a largo plazo de sus clientes y sus resultados finales, así como su continuidad. Cada empresa que acepte información de pago de sus clientes debe considerar el cumplimiento de PCI tan pronto como pueda dedicar recursos a ese objetivo.

Este requisito de PCI requiere que todas las empresas que almacenan datos del titular de la tarjeta establezcan una serie de controles para garantizar que estos datos se almacenen de forma segura y no se divulguen a partes no autorizadas. Esto no solo incluye métodos para proteger los datos almacenados del titular de la tarjeta, como el hash, el cifrado, el truncamiento, el enmascaramiento y la tokenización, sino también las políticas de retención de datos, los flujos de datos del titular de la tarjeta (para garantizar que se tengan en cuenta todos los sistemas que interactúan con los datos del titular de la tarjeta), y políticas y procedimientos de gestión de claves para garantizar que las claves utilizadas para cifrar los datos del titular de la tarjeta se manejen y almacenen de la manera más segura posible y a las a las que accedan el menor número posible de custodios claves.

Este requisito también define qué partes de los datos del titular de la tarjeta se pueden almacenar después de la autorización (como el nombre del titular de la tarjeta, el número de cuenta principal/número de tarjeta de crédito, la marca de la tarjeta, la fecha de vencimiento, etc.) y qué partes no se pueden almacenar (datos de seguimiento completo, datos PIN y el código/valor de verificación de la tarjeta de 3 dígitos en el reverso de la tarjeta), a menos que la empresa realice, facilite o apoye los servicios de emisión de tarjetas o tenga una necesidad comercial legítima de almacenar esos datos. Además, se debe implementar el enmascaramiento para garantizar que no sean visibles más de los primeros seis y los últimos cuatro dígitos de un PAN, a menos que haya una necesidad comercial legítima de ver el PAN completo.

Para lograr el cumplimiento de este requisito, una empresa debe identificar todos los sistemas que interactúan con los datos del titular de la tarjeta, asegurarse de que los datos del titular de la tarjeta solo se almacenen en ubicaciones de almacenamiento autorizadas y seguras, y de que no existan en ubicaciones como los registros del sistema y las herramientas de mensajería del usuario final. Esto se puede verificar utilizando un escáner de descubrimiento PAN o detectar manualmente. Los datos del titular de la tarjeta también deben eliminarse de forma periódica y segura cuando ya no sean necesarios de acuerdo con la política de retención de datos documentada. Una buena regla general es no almacenar nunca los datos del titular de la tarjeta a menos que sea necesario. Por último, las políticas y procedimientos de gestión de claves deben documentarse, mantenerse y difundirse a los custodios clave para garantizar que los datos del titular de la tarjeta, así como las claves de cifrado, estén protegidos contra la divulgación y el uso indebido. Todas las personas que tengan acceso a los datos del titular de la tarjeta y a las claves de cifrado utilizadas para protegerlos deben estar documentadas.

Este subrequisito PCI requiere que todos los sistemas dentro del ámbito PCI estén protegidos de vulnerabilidades conocidas mediante la instalación de parches críticos o urgentes en el plazo de un mes a partir de su lanzamiento. Todos los demás parches de seguridad pueden instalarse en un plazo razonable de hasta tres meses a partir de su lanzamiento. Este requisito también requiere que la dirección cree, documente y apruebe políticas y procedimientos para que el proceso de gestión de parches.

Dependiendo del tamaño de su negocio, puede ser difícil detectar los parches que faltan para los sistemas operativos y el software instalado en su infraestructura crítica. Sin embargo, las soluciones de gestión de parches se pueden utilizar para detectar e instalar automáticamente los parches seleccionados.

Una buena práctica sería parchear los sistemas aplicables en fases después de que se hayan verificado en un entorno de prueba o ensayo. También se recomienda realizar reinicios en fases (si lo requiere su sistema operativo después del parcheo) para garantizar la menor interrupción posible del tiempo de inactividad.

Este subrequisito PCI requiere que todas las empresas que desarrollen software personalizado se aseguren de que todo el software lanzado se desarrolle de manera segura (es decir, con seguridad incorporada en cada fase del ciclo de vida de desarrollo de software) y libre de las vulnerabilidades de codificación más comunes.

Esto puede ser un desafío para su empresa, ya que requiere que todos los desarrolladores de software reciban y completen capacitación sobre técnicas de codificación seguras actualizadas al menos una vez al año para garantizar que los desarrolladores de aplicaciones tengan las habilidades necesarias para evitar vulnerabilidades de codificación comunes.

Esta formación de codificación segura puede ser desarrollada internamente o proporcionada por un tercero. También es importante tener en cuenta que la lista de vulnerabilidades de codificación comunes identificadas en los requisitos de PCI es una línea de base mínima. Es responsabilidad de la empresa mantenerse al día con las tendencias de vulnerabilidad e incluir medidas contra las amenazas en su formación y prácticas de codificación seguras.

Una buena práctica para garantizar el cumplimiento de este requisito sería que las pruebas estáticas y dinámicas de seguridad de las aplicaciones se lleven a cabo temprano y, a menudo, durante el ciclo de vida del desarrollo del software. Esto complementa la formación en codificación segura y evita que se introduzcan vulnerabilidades de codificación comunes en las compilaciones de producción del software de su empresa.

Este requisito PCI requiere que todas las empresas se aseguren de que se registre y supervise toda la actividad del usuario que lleve a acceder a los datos del titular de la tarjeta. Esto incluye no solo garantizar la integridad y exactitud de los registros de seguridad y/o eventos, sino también garantizar que estén protegidos contra la manipulación y solo sean vistos por los usuarios autorizados.

Para lograr esto, todos los registros deben generarse automáticamente y ser lo suficientemente detallados (incluidos detalles como el nombre de usuario, el evento, la hora y la fecha del evento, el recurso afectado, etc.) para vincular todo el acceso a cuentas individuales, incluidas las cuentas especialmente privilegiadas. Esto también incluye actividades como el acceso de inicio de sesión no válido, los cambios en las cuentas privilegiadas (incluido el escalado de privilegios), los cambios en el registro (incluida la pausa, la detención, la eliminación, etc.) y los cambios en los objetos a nivel del sistema. Los registros también deben hacerse copias de seguridad de forma centralizada y revisarse periódicamente, con políticas y procedimientos documentados que definan la revisión periódica (al menos diaria) de los eventos de seguridad y los seguimientos e investigaciones posteriores como resultado de las revisiones si se detectan excepciones y anomalías.

La adquisición de una solución de gestión de información y eventos de seguridad (SIEM) será extremadamente beneficiosa para cualquier empresa que intente superar este requisito. Cuando se configura correctamente, el SIEM se puede utilizar para recopilar y analizar automáticamente registros de varios sistemas y luego almacenar estos registros de forma centralizada, donde el personal responsable puede acceder a ellos y analizarlos con frecuencia. También se puede utilizar para notificar a los usuarios de eventos y alertas y desempeñar un papel en la prevención o respuesta a incidentes.

Un SIEM es una herramienta muy útil para garantizar que los sistemas críticos que interactúan con los datos del titular de la tarjeta (siempre y cuando envíen registros completos y precisos) se supervisen adecuadamente en busca de amenazas y ayuda en gran medida a los procesos de investigación y respuesta a incidentes.

Este requisito de PCI requiere que todas las empresas prueben todas las vulnerabilidades de todos los sistemas y procesos, así como que remedian todas las vulnerabilidades y exploits encontrados lo antes posible. También describe la necesidad de contar con soluciones como sistemas de detección de intrusos (IDS) o sistemas de prevención de intrusiones (IPS) y herramientas de monitoreo de la integridad de archivos (FIM) para prevenir infracciones, así como políticas y procedimientos documentados que guíen todo lo anterior. Por último, hay que crear un proceso para detectar e identificar puntos de acceso inalámbrico no autorizados para garantizar la seguridad de la red y otras infraestructuras.

Aprobar este requisito puede ser un poco difícil dependiendo de los recursos disponibles para su empresa. Es importante utilizar una solución de detección de puntos de acceso sin escrúpulos al menos trimestralmente para garantizar que no haya puntos de acceso inalámbricos no autorizados en su red que puedan provocar una violación. Los programas de análisis de vulnerabilidades internos y externos deben implementarse y documentarse (preferiblemente mensualmente), y se debe utilizar un ASV para llevar a cabo el análisis externo. En ambos casos, todas las vulnerabilidades deben remediarse, con los rescaneos realizados hasta que se realice un escaneo de paso trimestralmente.

Las pruebas de penetración interna y externa deben llevarse a cabo con una metodología aceptada por la industria y por personal cualificado. Un recurso interno cualificado puede llevar a cabo pruebas internas, o un tercero externo cualificado puede llevar a cabo las pruebas de penetración internas y externas, al menos una vez al año. Todos los exploits encontrados durante las pruebas de penetración deben resolverse lo antes posible, y la prueba de penetración no se considera exitosa hasta que se lleve a cabo un nuevo escaneo para garantizar la corrección. Los proveedores de servicios también tendrán que realizar pruebas de penetración en los controles de segmentación cada seis meses. Por último, las soluciones IDS/IPS y FIM deben implementarse y configurarse correctamente y supervisarse de acuerdo con el requisito PCI 10.

El último de los 12 requisitos de PCI es el menos técnico y se centra en la creación, implementación, mantenimiento y difusión de políticas y procedimientos de seguridad a los empleados para garantizar que sean conscientes de sus responsabilidades de seguridad. Esto incluye a terceros, como contratistas, proveedores y socios comerciales, si procede. Describe las políticas y procedimientos de seguridad que todas las empresas que buscan el cumplimiento de PCI deben establecer y revisar al menos una vez al año.

Para superar este requisito, cada empresa debe crear políticas y procedimientos que incluyan, entre otros, los siguientes:

• Un proceso de evaluación de riesgos para identificar todos los activos críticos, amenazas y vulnerabilidades, así como las estrategias de mitigación de riesgos. El proceso también debe incluir evaluaciones anuales de riesgos.
• Políticas de uso de la tecnología que definen las formas adecuadas y seguras de utilizar la tecnología propiedad de la empresa, incluidos los procedimientos de aprobación, los inventarios, las políticas de tecnología de acceso remoto, las ubicaciones aceptables, etc. para garantizar que se minimice el riesgo para estas tecnologías.
• Políticas y procedimientos de seguridad que garantizan que las funciones y responsabilidades de seguridad de todos los empleados estén claramente definidas y documentadas.
• Políticas de gestión de la seguridad de la información dirigidas a los equipos y/o personas responsables de la seguridad de la información que definen el seguimiento y el análisis de las alertas de seguridad, las revisiones de registros, la respuesta a incidentes, la administración de cuentas y el control de acceso.
• Un programa formal de sensibilización sobre seguridad que educa al personal sobre sus responsabilidades de seguridad al contratar y que ocurre anualmente.
• Proceso recurrente anual que requiere que todo el personal reconozca que ha leído las políticas y procedimientos de seguridad aplicables.
• Políticas de recursos humanos/contratación que requieren una revisión exhaustiva (incluida la verificación de antecedentes) para todo el personal antes de la contratación para reducir el riesgo de acceso y uso no autorizados de los datos del titular de la tarjeta por parte de los empleados.
• Una política de gestión de terceros/proveedores que defina los requisitos de seguridad para todos los terceros con los que se comparten los datos del titular de la tarjeta, incluido el reconocimiento de que son responsables de garantizar la seguridad de los datos que se comparten con ellos, así como de exigir una investigación exhaustiva para todos los terceros antes de su compromiso.
• Un plan de respuesta a incidentes que describa los procedimientos y el personal necesarios para garantizar que todos los incidentes se respondan de la manera más rápida y eficiente posible para minimizar el impacto en la seguridad de los datos del titular de la tarjeta.