Introducción
Desde 2005, más de 11.000 millones de registros de clientes se han puesto en riesgo a causa de más de 8.500 filtraciones de datos. Estos son las últimas cifras de The Privacy Rights Clearinghouse, que informa sobre filtraciones de datos y violaciones de seguridad que afectan a los consumidores desde 2005.
Para mejorar la seguridad de los datos del consumidor y la confianza en el ecosistema de pagos, se creó una norma básica para la seguridad de los datos. En 2006, Visa, Mastercard, American Express, Discover y JCB formaron el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC) destinado a administrar y gestionar las normas de seguridad de las empresas que manejan datos de tarjetas de crédito. Antes de la creación del consejo, estas cinco empresas de tarjetas de crédito tenían programas de normas de seguridad propios, cada una con requisitos y objetivos bastante similares. Se unieron en el PCI SSC para adoptar una sola política estándar, las Normas de Seguridad de los Datos de PCI (conocidas como PCI DSS o "normativa PCI"), a fin de garantizar un nivel básico de protección de los consumidores y los bancos en la era de Internet.
Comprender la normativa PCI es una tarea compleja y desafiante
Si tu modelo de empresa exige manejar datos de tarjetas, es posible que debas cumplir cada uno de los más de 300 controles de seguridad estipulados en esta normativa. Hay más de 1800 páginas de documentación oficial sobre la normativa publicada por el consejo y más de 300 páginas solo para entender qué formularios se usan para validar el cumplimiento. Esto implicaría 72 horas solo de lectura.
Para aliviar esta carga, sigue a continuación una guía paso a paso sobre cómo validar y sostener el cumplimiento de la normativa PCI.
Resumen sobre la normativa PCI de seguridad de los datos (PCI DSS)
PCI DSS es la normativa internacional de seguridad para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjeta o datos sensibles de autenticación. La normativa PCI establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Se aplica a toda organización que acepte o procese tarjetas de pago.
El cumplimiento de la normativa PCI implica 3 aspectos importantes:
- Manejar la recepción de los datos de tarjetas de crédito de los consumidores, es decir, reunir y transmitir los datos sensibles de las tarjetas de manera segura
- Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de la normativa PCI, por ejemplo, mediante cifrado, vigilancia continua y verificación de la seguridad del acceso a los datos de tarjeta
- Validar anualmente que funcionen los controles de seguridad necesarios, lo que puede implicar formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros (ver el cuadro con los cuatro niveles de requisitos de la guía paso a paso a continuación)
Manejo de los datos de tarjeta
Algunos modelos comerciales exigen el manejo directo de los datos sensibles de tarjetas de crédito al aceptar los pagos, mientras que otros no. Es posible que a las empresas que sí necesitan manejar los datos (p. ej., porque aceptan números de cuentas primarias sin un token en una página de pago) se les solicite que cumplan cada uno de los más de 300 controles de seguridad estipulados en la normativa PCI. Aun cuando los datos de las tarjetas pasen por su servidor brevemente, la empresa deberá comprar, instalar y mantener software y hardware de seguridad.
Si una empresa no necesita manejar los datos sensibles de tarjetas de crédito, no debe hacerlo. Hay soluciones de terceros (p. ej., Stripe Elements) que aceptan y almacenan los datos de manera segura, con lo que se evitan todas las complicaciones, los costes y los riesgos. Debido a que los datos de las tarjetas nunca entran en contacto con sus servidores, estas empresas solo necesitan confirmar 22 controles de seguridad, la mayoría de los cuales son muy simples como, por ejemplo, el uso de una contraseña segura.
Almacenamiento seguro de los datos
Si una organización maneja o almacena datos de tarjetas de crédito, debe definir el alcance del entorno de datos del titular de la tarjeta (CDE). La normativa PCI define el CDE como las personas, los procesos y las tecnologías que sirven para almacenar, procesar o transmitir datos de tarjetas de crédito, o cualquier sistema relacionado con esto. Debido a que al CDE se le aplican todos los requisitos de seguridad de la normativa PCI, que son más de 300, es importante segmentar bien el entorno de pago del resto de la empresa para limitar el alcance de la validación conforme a esta normativa. Si una organización no puede contener el alcance del CDE con una segmentación pormenorizada, los controles de seguridad conforme a la normativa PCI deben aplicarse a todo sistema, ordenador portátil o dispositivo que esté en su red corporativa. ¡Impresionante!
Validación anual
Independientemente de cómo se acepten los datos de tarjeta, las organizaciones deben completar un formulario de validación conforme a la normativa PCI todos los años. La forma como se valide el cumplimiento de la normativa PCI depende de varios factores, que se describen abajo. A continuación, se presentan 3 casos por los que se le podría pedir a una organización que demuestre que cumple con la normativa PCI:
- Los procesadores de pagos pueden solicitarlo como parte de su proceso obligatorio de notificación a las marcas de tarjetas de pago.
- Los socios comerciales pueden solicitarlo como un requisito previo a la firma de un acuerdo comercial.
- En caso de empresas que usan una plataforma (aquellas cuya tecnología facilita las transacciones en línea de varios subconjuntos de usuarios), los clientes pueden solicitarlo para demostrarle a su clientela que manejan los datos de manera segura.
El último conjunto de normas de seguridad, PCI DSS versión 3.2.1, incluye 12 requisitos principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.
- Instalar y mantener un cortafuego configurado para proteger los datos de los titulares de tarjeta
- No uses los valores predeterminados suministrados por el proveedor para las contraseñas de los sistemas y otros parámetros de seguridad.
- Proteger los datos del titular almacenados
- Cifrar la transmisión de los datos de titulares de tarjeta en las redes abiertas o públicas
- Proteger todos los sistemas contra software maliciosos y actualizar periódicamente el software antivirus
- Desarrollar y mantener sistemas y aplicaciones seguros
- Restringir el acceso a los datos conforme a la necesidad de saber que tenga la empresa
- Identificar y autenticar el acceso a los componentes del sistema
- Restringir el acceso físico a los datos de titulares de tarjeta
- Rastrear y monitorizar todo el acceso a los recursos de la red y los datos de titulares de tarjeta
- Verificar periódicamente los sistemas y procesos de seguridad
- Tener una política que contemple la seguridad de la información para todo el personal
Crear y mantener sistemas y una red seguros
Proteger los datos de los titulares de tarjeta
Mantener un programa de gestión de vulnerabilidades
Aplicar medidas sólidas de control de acceso
Vigilar y verificar periódicamente las redes
Tener una política de seguridad de la información
Para que a las empresas nuevas les resulte "más fácil" el proceso de validación del cumplimiento de la normativa PCI, el Consejo PCI creó nueve formularios diferentes o cuestionarios de autoevaluación (SAQ) que subdividen los requisitos de la normativa PCI. La clave está en determinar cuál se aplica o si es necesario contratar a un auditor aprobado por el consejo para que verifique si se ha cumplido cada requisito de seguridad conforme a la normativa PCI. Además, este consejo modifica las reglas cada tres años y publica actualizaciones progresivas durante todo el año, lo que hace que su complejidad sea aún más dinámica.
Guía paso a paso para cumplir con la normativa PCI DSS v3.2.1
1. Conoce tus requisitos
El primer paso para cumplir con la normativa PCI implica conocer los requisitos que se aplican a tu organización. Hay cuatro niveles diferentes de cumplimiento que, por lo general, se basan en el volumen de transacciones con tarjeta de crédito que procese tu empresa en un lapso de 12 meses.
Se aplica a | Requisitos | |
Nivel 1 |
|
|
Nivel 2 | Organizaciones que procesan entre 1 y 6 millones de transacciones por año |
|
Nivel 3 |
|
|
Nivel 4 |
|
Para los niveles 2 a 4, hay diferentes tipos de SAQ según qué método de integración de pagos uses. He aquí una tabla resumida:
SAQ | Descripción |
A |
Comerciantes que operan sin presencia de la tarjeta (comercio electrónico o pedidos por teléfono o por correo) que subcontratan a terceros validados conforme a la normativa PCI para que manejen todas las funciones relacionadas con datos de titulares de tarjeta sin que se almacenen, procesen o transmitan por vía electrónica datos de titulares de tarjeta a través de sus sistemas o establecimientos. No aplicable a canales cara a cara. |
A-EP |
Comerciantes de comercio electrónico que subcontratan a terceros validados conforme a la normativa PCI para que procesen todos los pagos y que tienen sitios web que no reciben los datos de los titulares de tarjeta directamente, pero que pueden afectar a la seguridad de la transacción de pago. No se almacenan, procesan ni transmiten por vía electrónica datos de los titulares de tarjeta a través de los sistemas o establecimientos del comerciante. Aplicable solo a canales de comercio electrónico. |
B |
Comerciantes que usan solo:
No aplicable a canales de comercio electrónico. |
B-IP |
Comerciantes que usan solo terminales de pago autónomas aprobadas conforme a la norma de seguridad de transacciones con PIN (PTS) con una conexión IP al procesador de pagos sin almacenamiento electrónico de datos de titulares de tarjeta. No aplicable a canales de comercio electrónico. |
C-VT |
Comerciantes que introducen manualmente una transacción por vez mediante el uso de un teclado conectado a una terminal de pago virtual basada en Internet, provista y alojada por un proveedor de servicios validado conforme a la normativa PCI. No aplicable a canales de comercio electrónico. |
C |
Comerciantes con sistemas de aplicaciones de pago conectados a Internet sin almacenamiento electrónico de los datos de titulares de tarjeta. No aplicable a canales de comercio electrónico. |
P2PE |
Comerciantes que usan solo terminales de pago físicas incorporadas a una solución de cifrado de punto a punto (P2PE) incluida en la lista del consejo PCI y administradas por dicha solución sin almacenamiento electrónico de los datos del titular. No aplicable a comerciantes de comercio electrónico. |
D |
SAQ D para comerciantes: Todos los comerciantes no incluidos en las descripciones de los tipos de SAQ que figuran arriba. SAQ D para proveedores de servicios: Todos los proveedores de servicios definidos por una marca de pago como admisibles para completar un SAQ. |
El diagrama de flujo que aparece en la página 18 de este documento sobre la normativa PCI te ayudará a elegir el SAQ y los documentos de certificación que mejor se ajusten a tu organización.
Los requisitos PCI cambian con el paso del tiempo, por lo que una de las mejores formas de mantenerse al tanto de los nuevos requisitos de certificación o los cambios y cómo cumplirlos consiste en convertirse en una organización participante del consejo PCI (PO) .
2. Traza el diagrama de los flujos de datos
Para poder proteger los datos sensibles de tarjetas de crédito, debes saber dónde residen y cómo llegan hasta allí. Tendrás que trazar un diagrama integral de los sistemas, las conexiones de red y las aplicaciones que interactúen con datos de tarjetas de crédito en tu organización. Según cuál sea tu función, es probable que para esto, tengas que trabajar con los equipos de TI y seguridad.
- En primer lugar, identifica las áreas de la empresa orientadas al consumidor que impliquen transacciones con tarjeta. Por ejemplo, puedes aceptar pagos a través de un carrito de compra virtual, las terminales de pago de una tienda o un pedido telefónico.
- En segundo lugar, identifica las diferentes maneras como se manejan los datos de los titulares de tarjeta en toda la empresa. Es importante saber exactamente dónde se guarda la información y quién tiene acceso a ella.
- Por último, identifica los sistemas internos o tecnologías subyacentes que tienen contacto con transacciones de pago. Esto incluye tus sistemas de red, los centros de datos y los entornos en la nube.
3. Verificación de los controles y protocolos de seguridad
Una vez que identificas todos los puntos que podrían tener contacto con datos de tarjetas de crédito en tu organización, trabaja con los equipos de TI y seguridad para garantizar que se instituyan las configuraciones y protocolos de seguridad correctos (ver la lista de 12 requisitos de seguridad de la normativa PCI arriba). Estos protocolos han sido concebidos para proteger la transmisión de datos, como Transport Layer Security (TLS).
Los 12 requisitos de seguridad de la normativa PCI DSS v3.2.1 salen de las mejores prácticas para proteger los datos sensibles de cualquier empresa. Varios se superponen con los requisitos exigidos conforme al RGPD, la HIPAA y otros mandatos de privacidad, por lo que es posible que tu organización ya esté cumpliendo algunos de ellos.
4. Vigilar y mantener
Cabe destacar que el cumplimiento de la normativa PCI no es un acontecimiento aislado, sino un proceso continuo con el que asegurar que tu empresa siga cumpliendo con la normativa a medida que el flujo de datos y los puntos de contacto con los clientes aumentan. Algunas marcas de tarjetas de crédito pueden solicitar informes trimestrales o anuales o llevar a cabo una evaluación anual en el establecimiento para validar el cumplimiento constante, en especial si procesas más de 6 millones de transacciones por año.
La gestión del cumplimiento de la normativa PCI durante el año ( y a través de los años) suele requerir apoyo y colaboración interdepartamental. Si no existe, vale la pena crear un equipo interno dedicado a ello para asegurar debidamente el cumplimiento. Si bien cada empresa es única, para crear un buen "equipo PCI" se puede empezar por incluir un representante de cada uno de los siguientes sectores:
- Seguridad: el Director General de Seguridad (CSO), el Director General de Seguridad Informática (CISO) y sus equipos garantizan que la organización siempre invierta correctamente en los recursos y políticas de privacidad y seguridad de los datos necesarios.
- Tecnología / Pagos: El Director General de Tecnología (CTO), el vicepresidente de Pagos y sus equipos garantizan que las principales herramientas, integraciones e infraestructuras se mantengan dentro de la norma a medida que crecen los sistemas de la organización.
- Finanzas: El Director General de Finanzas (CFO) y su equipo garantizan que se tomen en cuenta todos los flujos de datos de pago cuando se trata de socios y sistemas de pago.
- Asuntos Jurídicos: Este equipo ayuda a manejar la gran cantidad de matices legales que implica el cumplimiento de la normativa PCI.
Para obtener más información sobre el complejo mundo del cumplimiento de la normativa PCI, visita el sitio web de PCI Security Standards Council. Si solo lees esta guía y algunos otros documentos acerca de la normativa, te recomendamos empezar por estos: enfoque prioritario de la normativa PCI, instrucciones y guía sobre los SAQ, las preguntas más frecuentes sobre el uso de los criterios de admisibilidad de los SAQ a fin de determinar los requisitos de evaluación en el lugar, y las preguntas más frecuentes sobre las obligaciones de los comerciantes que desarrollan aplicaciones para dispositivos que aceptan datos de tarjetas de pago de los consumidores.
Cómo ayuda Stripe a que las organizaciones cumplan y sostengan el cumplimiento de la normativa PCI
Stripe simplifica considerablemente la carga del cumplimiento de esta normativa para las empresas que adoptan Checkout, Elements, SDK para móviles y SDK para Terminal. Stripe Checkout y Stripe Elements usan un campo de pago alojado para manejar todos los datos de las tarjetas de pago, de modo que el titular de la tarjeta introduce todos los datos sensibles de pago en un campo que se origina directamente en nuestros servidores validados PCI DSS. Los SKD para móviles y para Terminal de Stripe también le permiten al titular de la tarjeta enviar la información delicada directamente a nuestros servidores validados PCI DSS.
Al contar con métodos de aceptación de tarjetas más seguros como estos, rellenamos el cuestionario de autoevaluación (SAQ) de la normativa PCI en el Dashboard de Stripe para que la validación conforme a la normativa implique solo hacer clic en un botón. En caso de organizaciones pequeñas, esto puede ahorrar cientos de horas de trabajo. En caso de organizaciones más grandes, puede implicar miles de horas menos.
Para todos los usuarios, independientemente del tipo de integración, Stripe actúa como un intercesor de la normativa PCI y ayuda de diferentes maneras.
- Analizaremos tu método de integración y te aconsejaremos qué formulario usar y cómo aliviar la carga del proceso de cumplimiento.
- Te notificaremos con anticipación en caso de que el aumento del volumen de transacciones requiera un cambio en la forma de validación del cumplimiento.
- Para grandes comerciantes (Nivel 1), proporcionamos un paquete sobre la normativa PCI que reduce de meses a días el tiempo de validación conforme a esta normativa. Si necesitas trabajar con un asesor de seguridad certificado (QSA) (porque almacenas datos de tarjetas de crédito o tienes un flujo de pago más complejo), hay más de 350 empresas asesoras en el mundo, y podemos ponerte en contacto con varios auditores que comprenden a fondo los diferentes métodos de integración de Stripe.
Nivel de comerciante de Visa | Tiempo medio de la auditoría (estimaciones anuales) | Tiempo medio de auditoría con Stripe Elements, Checkout o SDK para móviles (estimaciones anuales) |
Nivel 1 | 3 a 5 meses | 2 a 5 días |
Nivel 2 | 1 a 3 meses | 0 días |
Nivel 3 | 1 a 3 meses | 0 días |
Nivel 4 | 1 a 3 meses | 0 días |
Si deseas más información para saber cómo te ayuda Stripe a proteger los datos de tus clientes y cumplir con la normativa PCI, consulta nuestros documentos sobre seguridad de la integración.
Conclusión
La evaluación y la validación del cumplimiento de la normativa PCI, por lo general, se hacen una vez al año, pero no se trata de un acontecimiento aislado, sino de un gran esfuerzo continuo de evaluación y reparación. A medida que una empresa crece, se amplían los principales procesos y lógicas comerciales, lo que implica que aumentan también los requisitos de cumplimiento. Una empresa online, por ejemplo, puede decidir abrir tiendas físicas, entrar en nuevos mercados o lanzar un centro de soporte para el cliente. Si algo de lo nuevo implica datos de tarjetas de pago, es aconsejable que te adelantes y verifiques si repercute en tu método de validación conforme a la normativa PCI y revalida el cumplimiento según sea necesario.
El cumplimiento de la normativa PCI ayuda, pero no es suficiente.
La observancia de las directrices de la normativa PCI es una instancia necesaria de protección de tu empresa, pero no es suficiente. La normativa PCI establece normas importantes para el manejo y el almacenamiento de los datos del titular, pero por sí sola, no ofrece suficiente protección para todos los entornos de pago. En cambio, cambiar a un método de aceptación de tarjetas más seguro (como Stripe Checkout, Elements y SDK para móviles) es una forma mucho más eficaz de proteger tu organización. El beneficio duradero que esto da es que no será necesario que te bases en las normas básicas de la industria ni que te preocupes por si fallan los controles de seguridad. Este enfoque les da a las empresas versátiles una forma de mitigar posibles filtraciones de datos y evitar el proceso de validación de la normativa PCI que tradicionalmente ha implicado inversión de tiempo, gastos y un coste emocional, por no mencionar que un método de integración más seguro resulta fiable todos los días del año.
Volver a las guías