Estándar de seguridad de datos de la industria de tarjetas de pago

El Estándar de seguridad de datos de la industria de tarjetas de pago ( PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas.

El estándar PCI es obligatorio para las marcas de tarjetas, pero lo administra el Consejo de estándares de seguridad de la industria de tarjetas de pago. El estándar se creó para aumentar los controles sobre los datos de los titulares de tarjetas para reducir el fraude de tarjetas de crédito.

La validación del cumplimiento se realiza anualmente o trimestralmente, mediante un método adecuado al volumen de transacciones manejadas:

• Cuestionario de autoevaluación (SAQ) - volúmenes más pequeños
• Asesor de seguridad calificado (QSA) externo: volúmenes moderados; implica una atestación de cumplimiento (AOC)
• Asesor de seguridad interna (ISA) específico de la empresa: mayores volúmenes; implica la emisión de un Informe de Cumplimiento (ROC)

• 1 Historia
• 2 Requisitos
• 3 Actualizaciones e información complementaria
• 4 niveles de cumplimiento
• 5 Validación del cumplimiento
  • 5.1 Asesor de seguridad calificado (QSA)
  • 5.2 Asesor de seguridad interna (ISA)
  • 5.3 Informe de cumplimiento (ROC)
  • 5.4 Cuestionario de autoevaluación (SAQ)
• 6 Cumplimiento versus validación del cumplimiento
• 7 Legislación
• 8 Gestión de riesgos para proteger los datos de los titulares de tarjetas
• 9 Controversias y críticas
  • 9.1 Cumplimiento y compromisos
• 10 Véase también
• 11 referencias
• 12 Enlaces externos

Historia

Las empresas de tarjetas han puesto en marcha cinco programas diferentes:

• Programa de seguridad de la información de los titulares de tarjetas de Visa
• Protección de datos del sitio de MasterCard
• Política operativa de seguridad de datos de American Express
• Cumplimiento y seguridad de la información de Discover
• la JCB 's Programa de Seguridad de Datos

Las intenciones de cada uno eran aproximadamente similares: crear un nivel adicional de protección para los emisores de tarjetas al garantizar que los comerciantes cumplan con los niveles mínimos de seguridad cuando almacenan, procesan y transmiten datos de titulares de tarjetas. Para solucionar los problemas de interoperabilidad entre los estándares existentes, el esfuerzo combinado realizado por las principales organizaciones de tarjetas de crédito dio como resultado el lanzamiento de la versión 1.0 de PCI DSS en diciembre de 2004. PCI DSS se ha implementado y seguido en todo el mundo.

Luego se formó el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), y estas empresas alinearon sus políticas individuales para crear las PCI DSS. MasterCard, American Express, Visa, JCB International y Discover Financial Services establecieron el PCI SSC en septiembre de 2006 como una entidad de administración / gobierno que exige la evolución y el desarrollo de PCI DSS. Las organizaciones independientes / privadas pueden participar en el desarrollo de PCI después de un registro adecuado. Cada organización participante se une a un SIG (Grupo de Interés Especial) particular y contribuye a las actividades que son encomendadas por el SIG. Se han puesto a disposición las siguientes versiones de PCI DSS:

Versión	Fecha	Notas
1.0	15 de diciembre de 2004
1.1	Septiembre de 2006	aclaraciones y revisiones menores
1.2	Octubre de 2008	mayor claridad, flexibilidad mejorada y riesgos y amenazas en evolución abordados
1.2.1	Julio de 2009	Correcciones menores diseñadas para crear más claridad y coherencia entre los estándares y los documentos de respaldo.
2.0	Octubre de 2010
3,0	Noviembre de 2013	activo desde el 1 de enero de 2014 hasta el 30 de junio de 2015
3.1	Abril de 2015	jubilado desde el 31 de octubre de 2016
3.2	Abril de 2016	jubilado desde el 31 de diciembre de 2018
3.2.1	Mayo de 2018

Requisitos

El Estándar de seguridad de datos de PCI especifica doce requisitos para el cumplimiento, organizados en seis grupos relacionados lógicamente llamados "objetivos de control". Los seis grupos son:

1. Construya y mantenga una red y sistemas seguros
2. Proteja los datos del titular de la tarjeta
3. Mantener un programa de gestión de vulnerabilidades
4. Implementar medidas sólidas de control de acceso
5. Monitorear y probar redes con regularidad
6. Mantener una política de seguridad de la información

Cada versión de PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) ha dividido estos seis requisitos en varios sub-requisitos de manera diferente, pero los doce requisitos de alto nivel no han cambiado desde el inicio del estándar. Cada requisito / sub-requisito se desarrolla adicionalmente en tres secciones.

1. Declaración de Requisitos: Define la descripción principal del requisito. El respaldo de PCI DSS se realiza sobre la implementación adecuada de los requisitos.
2. Procesos de prueba: Los procesos y metodologías que lleva a cabo el evaluador para la confirmación de su correcta implementación.
3. Orientación: Explica el propósito principal del requisito y el contenido correspondiente que puede ayudar en la definición adecuada del requisito.

Los doce requisitos para construir y mantener una red y sistemas seguros se pueden resumir de la siguiente manera:

1. Instalación y mantenimiento de una configuración de firewall para proteger los datos del titular de la tarjeta. El propósito de un firewall es escanear todo el tráfico de la red, bloquear el acceso al sistema de las redes que no son de confianza.
2. Cambiar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Estas contraseñas se descubren fácilmente a través de la información pública y pueden ser utilizadas por personas malintencionadas para obtener acceso no autorizado a los sistemas.
3. Protección de los datos almacenados del titular de la tarjeta. El cifrado, el hash, el enmascaramiento y el truncamiento son métodos que se utilizan para proteger los datos del titular de la tarjeta.
4. Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas. El cifrado sólido, que incluye el uso solo de claves y certificaciones confiables, reduce el riesgo de ser atacado por personas malintencionadas mediante piratería.
5. Proteger todos los sistemas contra malware y realizar actualizaciones periódicas del software antivirus. El malware puede ingresar a una red a través de varias formas, incluido el uso de Internet, el correo electrónico de los empleados, dispositivos móviles o dispositivos de almacenamiento. El software antivirus actualizado o el software antimalware complementario reducirán el riesgo de explotación a través de malware.
6. Desarrollar y mantener sistemas y aplicaciones seguros. Las vulnerabilidades en los sistemas y aplicaciones permiten que personas sin escrúpulos obtengan acceso privilegiado. Los parches de seguridad deben instalarse de inmediato para corregir la vulnerabilidad y evitar la explotación y el compromiso de los datos del titular de la tarjeta.
7. Restringir el acceso a los datos del titular de la tarjeta solo al personal autorizado. Se deben utilizar sistemas y procesos para restringir el acceso a los datos del titular de la tarjeta según la "necesidad de saber".
8. Identificar y autenticar el acceso a los componentes del sistema. A cada persona con acceso a los componentes del sistema se le debe asignar una identificación (ID) única que permita la responsabilidad del acceso a los sistemas de datos críticos.
9. Restringir el acceso físico a los datos del titular de la tarjeta. El acceso físico a los datos del titular de la tarjeta o los sistemas que contienen estos datos debe ser seguro para evitar el acceso no autorizado o la eliminación de datos.
10. Seguimiento y supervisión de todo el acceso a los datos del titular de la tarjeta y los recursos de la red. Deben existir mecanismos de registro para rastrear las actividades de los usuarios que son críticas para prevenir, detectar o minimizar el impacto de los datos comprometidos.
11. Probar los sistemas y procesos de seguridad con regularidad. Continuamente se descubren nuevas vulnerabilidades. Los sistemas, procesos y software deben probarse con frecuencia para descubrir vulnerabilidades que podrían ser utilizadas por personas malintencionadas.
12. Mantener una política de seguridad de la información para todo el personal. Una política de seguridad sólida incluye hacer que el personal comprenda la confidencialidad de los datos y su responsabilidad de protegerlos.

Actualizaciones e información complementaria

El PCI SSC (Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago) ha publicado varios datos complementarios para aclarar varios requisitos. Estos documentos incluyen lo siguiente

• Suplemento de información: Requisito 11.3 Prueba de penetración
• Suplemento de información: Requisito 6.6 Revisiones de código y firewalls de aplicaciones aclarados
• Navegación por las PCI DSS: comprensión de la intención de los requisitos
• "Suplemento de información: Directrices inalámbricas PCI DSS" (PDF). 26 de agosto de 2011.
• Aplicabilidad de PCI DSS en un entorno EMV
• Enfoque priorizado para PCI DSS
• Herramienta de enfoque priorizado
• Guía de referencia rápida de PCI DSS
• Directrices de virtualización de PCI DSS
• Directrices de tokenización de PCI DSS
• Directrices de evaluación de riesgos de PCI DSS 2.0
• El ciclo de vida de los cambios en las PCI DSS y las PA-DSS
• Orientación para la segmentación y el alcance de las PCI DSS
• Se espera que PCI DSS v4.0 se publique en el primer trimestre de 2022

Niveles de cumplimiento

Todas las empresas que están sujetas a los estándares PCI DSS deben cumplir con PCI. Hay cuatro niveles de cumplimiento de PCI y estos se basan en la cantidad que procesa por año, así como en otros detalles sobre el nivel de riesgo evaluado por las marcas de pago.

En un nivel alto, los niveles son los siguientes:

• Nivel 1: más de 6 millones de transacciones al año
• Nivel 2: entre 1 y 6 millones de transacciones al año
• Nivel 3: entre 20.000 y 1 millón de transacciones al año
• Nivel 4: menos de 20.000 transacciones al año

Cada emisor de tarjetas mantiene su propia tabla de niveles de cumplimiento.

Validación de cumplimiento

La validación del cumplimiento implica la evaluación y confirmación de que los controles y procedimientos de seguridad se han implementado correctamente según las políticas recomendadas por PCI DSS. En resumen, PCI DSS, procedimientos de validación / prueba de seguridad mutuamente como herramienta de validación de cumplimiento. Una evaluación de PCI DSS tiene las siguientes entidades.

Asesor de seguridad calificado (QSA)

Artículo principal: Asesor de seguridad calificado

Un asesor de seguridad calificado es una persona que tiene un certificado proporcionado por el PCI Security Standards Council. Esta persona certificada puede auditar a los comerciantes para el cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Los QSA son los grupos / entidades independientes que han sido certificados por PCI SSC para la confirmación del cumplimiento en los procedimientos de la organización. La confirmación simplemente asigna que un QSA ha cumplido con todos los requisitos previos separados que son obligatorios para realizar evaluaciones de PCI DSS.

Asesor de seguridad interna (ISA)

Artículo principal: Asesor de seguridad interna (ISA)

Un Asesor de Seguridad Interna es una persona que ha obtenido un certificado de PCI Security Standards Company para su organización patrocinadora. Esta persona certificada tiene la capacidad de realizar autoevaluaciones de PCI para su organización. Este programa ISA fue diseñado para ayudar a los comerciantes de Nivel 2 a cumplir con los nuevos requisitos de validación de cumplimiento de Mastercard. La certificación ISA permite al trabajador realizar una evaluación interna de su asociación y proponer soluciones / controles de seguridad para el cumplimiento de PCI DSS. Dado que las NIA son respaldadas por la organización para la afirmación del PCI SSC, están a cargo de la cooperación y participación con los QSA.

Informe de cumplimiento (ROC)

Un Informe de Cumplimiento es un formulario que deben completar todos los comerciantes de nivel 1 Comerciantes de Visa que se someten a una auditoría de PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago). El formulario ROC se utiliza para verificar que el comerciante que se audita cumple con el estándar PCI DSS. ROC confirma que las políticas, estrategias, enfoques y flujos de trabajo son implementados / desarrollados apropiadamente por la organización para la protección de los titulares de tarjetas contra estafas / fraudes en transacciones comerciales basadas en tarjetas. Una plantilla "Plantilla de informes de la ROC" disponible en el sitio del PCI SSC contiene pautas detalladas sobre la ROC.

Cuestionario de autoevaluación (SAQ)

Los cuestionarios de autoevaluación (SAQ) de las PCI DSS son herramientas de validación destinadas a ayudar a los comerciantes y proveedores de servicios a informar los resultados de su autoevaluación de las PCI DSS. Hay ocho tipos diferentes de SAQ, cada uno con un nivel de complejidad diferente. El más básico es el SAQ-A, que consta de solo 22 preguntas; el más complejo es el SAQ-D, que consta de 329 preguntas. -

El cuestionario de autoevaluación es un conjunto de documentos de cuestionarios que los comerciantes deben completar cada año y enviar al banco de su transacción. Otro componente del SAQ es la atestación de cumplimiento (AOC), en la que cada pregunta del SAQ se responde en función de la autoevaluación interna de las PCI DSS. Cada pregunta del SAQ debe responderse con una alternativa de sí o no. En el caso de que una pregunta tenga la respuesta adecuada "no", en ese momento la asociación debe resaltar sus aspectos de implementación futura.

Cumplimiento versus validación del cumplimiento

Aunque las PCI DSS deben ser implementadas por todas las entidades que procesan, almacenan o transmiten datos de titulares de tarjetas, la validación formal del cumplimiento de PCI DSS no es obligatoria para todas las entidades. Actualmente, tanto Visa como MasterCard requieren que los comerciantes y proveedores de servicios sean validados de acuerdo con las PCI DSS. Visa también ofrece un programa alternativo llamado Programa de Innovación Tecnológica (TIP) que permite a los comerciantes calificados suspender la evaluación de validación anual de PCI DSS. Estos comerciantes son elegibles si están tomando precauciones alternativas contra el fraude por falsificación, como el uso de EMV o cifrado punto a punto.

Los bancos emisores no están obligados a pasar por la validación de PCI DSS, aunque todavía tienen que proteger los datos confidenciales de una manera compatible con PCI DSS. Los bancos adquirentes deben cumplir con PCI DSS, así como que su cumplimiento sea validado mediante una auditoría.

En caso de una infracción de seguridad, cualquier entidad comprometida que no cumpliera con las PCI DSS en el momento de la infracción estará sujeta a sanciones adicionales por el esquema de tarjetas, como multas.

Legislación

La ley federal de los Estados Unidos no exige el cumplimiento de PCI DSS. Sin embargo, las leyes de algunos estados de EE. UU. Se refieren directamente a PCI DSS o establecen disposiciones equivalentes. Los eruditos legales Edward Morse y Vasant Raval han argumentado que, al consagrar el cumplimiento de PCI DSS en la legislación, las redes de tarjetas han reasignado el costo externalizado del fraude de los emisores de tarjetas a los comerciantes.

En 2007, Minnesota promulgó una ley que prohíbe la retención de algunos tipos de datos de tarjetas de pago después de 48 horas después de la autorización de la transacción.

En 2009, Nevada incorporó el estándar a la ley estatal, requiriendo el cumplimiento de los comerciantes que hacen negocios en ese estado con el PCI DSS actual, y protege a las entidades que cumplen con la responsabilidad. La ley de Nevada también permite a los comerciantes evitar la responsabilidad por otros estándares de seguridad aprobados.

En 2010, Washington también incorporó el estándar a la ley estatal. A diferencia de la ley de Nevada, las entidades no están obligadas a cumplir con PCI DSS, pero las entidades que cumplen están protegidas de responsabilidad en caso de una violación de datos.

Gestión de riesgos para proteger los datos de los titulares de tarjetas

Según el requisito 3 de PCI DSS, se ruega a los comerciantes e instituciones financieras que protejan los datos confidenciales de sus clientes con una sólida criptografía. Las soluciones no compatibles no pasarán la auditoría. Un programa típico de gestión de riesgos se puede estructurar en 3 pasos:

1. Identifique todos los riesgos conocidos y regístrelos / descríbalos en un registro de riesgos. Por ejemplo, los módulos de seguridad de hardware (HSM) que se utilizan en el proceso de gestión de claves criptográficas podrían presentar sus propios riesgos si se ven comprometidos, ya sea física o lógicamente. Los HSM crean una raíz de confianza dentro del sistema. Sin embargo, aunque es poco probable, si el HSM se ve comprometido, esto podría comprometer todo el sistema.
2. Desarrollar un programa de gestión de riesgos consiste en analizar todos los riesgos identificados. Este análisis debe incluir una combinación de técnicas cualitativas y cuantitativas para determinar qué métodos de tratamiento de riesgos deben usarse para reducir la posibilidad de riesgos. Por ejemplo, una organización podría analizar el riesgo de usar un HSM en la nube frente a un dispositivo físico que usa en el sitio.
3. Trate los riesgos en respuesta al análisis de riesgos que se realizó anteriormente. Por ejemplo, emplear diferentes tratamientos para proteger la información del cliente almacenada en un HSM en la nube versus garantizar la seguridad tanto física como lógicamente para un HSM en el sitio, lo que podría incluir implementar controles u obtener un seguro para mantener un nivel de riesgo aceptable.

El monitoreo y la revisión continuos son parte del proceso de reducción de los riesgos de criptografía PCI DSS. Esto incluye programas de mantenimiento y rutinas de recuperación y escalado predefinidas cuando se descubren debilidades de seguridad.

Controversias y críticas

Visa y Mastercard imponen multas por incumplimiento.

Stephen y Theodora "Cissy" McComb, propietarios de Cisero's Ristorante and Nightclub en Park City, Utah, supuestamente fueron multados por una infracción por la cual dos firmas forenses no pudieron encontrar evidencia de que hubiera ocurrido:

"El sistema PCI es menos un sistema para asegurar los datos de las tarjetas de los clientes que un sistema para obtener ganancias para las compañías de tarjetas a través de multas y sanciones. Visa y MasterCard imponen multas a los comerciantes incluso cuando no hay ninguna pérdida por fraude, simplemente porque las multas 'son provechosos para ellos' ".

Michael Jones, CIO de Michaels 'Stores, testificó ante un subcomité del Congreso de EE. UU. Con respecto a PCI DSS:

"(... los requisitos de las PCI DSS...) son muy costosos de implementar, confusos de cumplir y, en última instancia, subjetivos, tanto en su interpretación como en su aplicación. A menudo se afirma que solo hay doce 'Requisitos' para Cumplimiento de PCI. De hecho, hay más de 220 requisitos secundarios; algunos de los cuales pueden representar una carga increíble para un minorista y muchos de los cuales están sujetos a interpretación ".

Otros han sugerido que PCI DSS es un paso para hacer que todas las empresas presten más atención a la seguridad de TI, incluso si los estándares mínimos no son suficientes para erradicar por completo los problemas de seguridad. Por ejemplo, Bruce Schneier se ha pronunciado a favor de PCI DSS:

"La regulación (SOX, HIPAA, GLBA, PCI de la industria de tarjetas de crédito, las diversas leyes de divulgación, la Ley Europea de Protección de Datos, lo que sea) ha sido el mejor palo que la industria ha encontrado para vencer a las empresas en la cabeza. Y funciona. La regulación obliga a las empresas a tomarse la seguridad más en serio y vende más productos y servicios ".

El gerente general del PCI Council, Bob Russo, respondió a las objeciones de la Federación Nacional de Minoristas :

"[PCI es una combinación estructurada]... [de] especificidad y conceptos de alto nivel [que permite] a las partes interesadas la oportunidad y la flexibilidad de trabajar con asesores de seguridad calificados (QSA) para determinar los controles de seguridad adecuados dentro de su entorno que cumplan con la intención de los estándares PCI ".

Cumplimiento y compromisos

Según la directora de riesgo empresarial de Visa, Ellen Richey (2018):

"... aún no se ha encontrado que ninguna entidad comprometida cumpla con las PCI DSS en el momento de la infracción".

En 2008, una violación de Heartland Payment Systems, una organización validada como compatible con PCI DSS, resultó en el compromiso de cien millones de números de tarjetas. Por esta misma época, Hannaford Brothers y TJX Companies, también validadas como compatibles con PCI DSS, fueron violadas de manera similar como resultado de los supuestos esfuerzos coordinados de Albert "Segvec" González y dos piratas informáticos rusos no identificados.

Las evaluaciones examinan el cumplimiento de los comerciantes y proveedores de servicios con las PCI DSS en un momento específico y con frecuencia utilizan una metodología de muestreo para permitir que el cumplimiento se demuestre a través de sistemas y procesos representativos. Es responsabilidad del comerciante y del proveedor de servicios lograr, demostrar y mantener su cumplimiento en todo momento, tanto durante el ciclo anual de validación / evaluación como en todos los sistemas y procesos en su totalidad. Aunque podría ser que una falla en el cumplimiento de los comerciantes y proveedores de servicios con el estándar escrito fuera el culpable de las infracciones, Hannaford Brothers había recibido su validación de cumplimiento de PCI DSS un día después de haber tenido conocimiento de un compromiso de dos meses de duración. sus sistemas internos. El hecho de que esto no sea identificado por el evaluador sugiere que la verificación incompetente del cumplimiento socava la seguridad del estándar.

Otra crítica radica en que la validación de cumplimiento se requiere solo para los comerciantes de nivel 1-3 y puede ser opcional para el nivel 4 según la marca de la tarjeta y el adquirente. Los detalles de validación de cumplimiento de Visa para comerciantes establecen que los requisitos de validación de cumplimiento de comerciantes de nivel 4 los establece el adquirente, los comerciantes de nivel 4 de Visa son "Comerciantes que procesan menos de 20,000 transacciones de comercio electrónico de Visa al año y todos los demás comerciantes procesan hasta 1 millón de transacciones de Visa al año".. Al mismo tiempo, más del 80% de los compromisos con tarjetas de pago entre 2005 y 2007 afectaron a los comerciantes de Nivel 4; manejan el 32% de las transacciones.

Ver también

• Prueba de penetración
• Gestión de vulnerabilidades
• LAN inalámbrico
• Seguridad inalámbrica

Referencias

enlaces externos

• Sitio oficial del PCI Security Standards Council
• Una guía para el cumplimiento de PCI