Introducción a PCI DSS: Payment Card Industry Data Security Standard

Hace poco más de un mes se llevó a cabo en Madrid una nueva edición del seminario “Últimos avances en Medios de Pago”. Un seminario organizado por “Atenea Interactiva”, donde se desarrollaron cada uno de los aspectos más importantes de los sistemas de pago que actualmente están en funcionamiento.

Uno de los temas que más comentarios suscitó fue la complejidad para saber qué empresas habían sido auditadas por la organización PCI DSS, aspecto que ha despertado mi curiosidad sobre cuál es la función de esta organización y sus aspectos más destacables y que me ha hecho indagar en este sentido.

Según su propia página web, “PCI Security Standards Council es un foro mundial abierto establecido en el 2006”, cuya misión es la de aumentar la seguridad de la industria de las tarjetas de pago, proteger al usuario y disminuir el fraude de tarjetas de crédito.

Las empresas fundadoras de esta organización son American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa, Inc. Estas empresas unificaron sus requisitos propios de seguridad en un único punto con el fin de facilitar el cumplimiento en materia de seguridad. En caso de no cumplir la normativa, esta organización puede imponer multas o incluso denegar el servicio de utilización de las mismas. Actualmente, todas ellas comparten de manera ecuánime el control de la organización así como aquellas actividades relacionadas con la seguridad en la industria de las tarjetas de pago. Además, reconocen que los Evaluadores de Seguridad Certificados (QSA) y los Proveedores Aprobados de Escaneo (ASV) certificados por el PCI SSC son los únicos habilitados para validar el cumplimiento con PCI DSS.

Las empresas que trabajan con datos de tarjetas deben cumplir una serie de requisitos de seguridad, tanto de cara a la seguridad del propio cliente como a la seguridad propia de la compañía, ya que se enfrentan a auditorias severas y un incumplimiento de las mismas puede acarrear una cuantiosa multa.

La función de los miembros del PCI Security Standards Council es la de supervisar y definir normas de seguridad de datos (PCI DSS), requisitos de seguridad de transacciones con PIN (PCI PTS) y elaborar la norma de seguridad para la aplicación de pagos(PA-DSS).

PCI Security Standards Council define en su página web tres normas, cada una de ellas centrada en un ámbito determinado, que unifican los requisitos propios de cada una de las marcas:

  • PCI DSS es la que más repercusión tiene, se aplica a todas las entidades que participan en procesos de pago con tarjeta y recoge los requerimientos técnicos y operativos desarrollados para proteger los datos de los usuarios. Su adopción es obligatoria desde junio de 2007 y las marcas pueden imponer sanciones a las entidades que no realicen las auditorías prescritas.
  • PA DSS se aplica a los proveedores software. Según su página websu objetivo es ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguro que no almacenen datos prohibidos, como la banda magnética completa, datos de PIN o de CVV2 (Valor de verificación de la tarjeta), y cerciorarse de que sus aplicaciones de pago admitan el cumplimiento de la PCI DSS.”
  • PCI PTS aplica a los dispositivos de pago, definiendo los requisitos que debe tener su proceso de fabricación.

A finales de 2010 el PCI Security Standards Council publicó la versión 2.0 del PCI DSS y PA-DSS, respondiendo a la necesidad de mayor comprensión y flexibilidad de las normas, así como facilitando su aplicación en las organizaciones.

En el siguiente post trataré un poco más en profundidad qué dice cada norma, a quién va dirigida, que cambios han traído consigo las actualizaciones y como han afectado a las empresas certificadas.

Comments

  1. Espero con ganas el siguiente post…el tema de la seguridad con las tarjetas es algo preocupante

  2. Es muy interesante el proceso de la seguridad en las tarjeta. Te animo a seguir y que continues “ilustrándonos”.