Como ya dije en mi anterior post, el PCI Security Standars Council es un órgano creado con el fin de aumentar la seguridad de los datos en la industria de las tarjetas de pago. Esta organización ha redactado una serie de normas que describen los requisitos de seguridad y sirven como guía para aquellas organizaciones que procesan, almacenan y/o transmiten datos con el fin de prevenir los fraudes que involucran tarjetas de pago débito y crédito. Vamos a desarrollar en profundidad estas normas:
PCI DSS
Es un estándar que recoge los requisitos y normas de seguridad de datos que deben seguir todas las compañías que trabajen con transacciones de tarjetas de pago.
Fue actualizada en Octubre de 2010, proporcionándole mayor flexibilidad, comprensión y facilitando su implantación por parte de empresarios y comerciantes. Comenzó a ser efectiva a partir del 1 Enero de 2011, pero se les concedió un año a las organizaciones para adecuarse a la actualización.
La norma está dividida en 12 requisitos de cumplimiento, organizados en 6 secciones llamadas “objetivos de control”. Estas secciones son las siguientes:
- Desarrollar y Mantener una Red Segura.
- Proteger los Datos de los propietarios de tarjetas.
- Mantener un Programa de Manejo de Vulnerabilidad.
- Implementar Medidas sólidas de control de acceso.
- Monitorear y Probar regularmente las redes.
- Mantener una Política de Seguridad de la Información.
Cada una de las secciones recoge los requisitos necesarios para proteger los datos de los titulares de tarjeta y en consecuencia, los pasos que deben seguir las organizaciones para protegerse en caso que ofrezcan el servicio de pago con tarjeta.
Algo que nos puede llevar resultar curioso a las personas que trabajamos en la gestión de la seguridad de la información es la comparación de PCI DSS con la norma ISO 27001 y buscar sus puntos comunes. Ambas normativas comparten propósito, pero difieren mucho en los métodos. Tienen la finalidad de proteger y controlar los datos de los clientes y ambas requieren auditorias periódicas, pero esos son los únicos puntos que comparten.
En la página http://www.focusonpci.com/site/ se puede encontrar un artículo que trata directamente estas diferencias, exponiendo además que “ISO es una medida global para toda la empresa, mientras que PCI está más centralizada en la gestión de la información referida a los pagos con tarjeta. Además la ISO es voluntaria, mientras la PCI DSS es obligatoria”. Incluye también una tabla con algunas de las diferencias más notables:
En el portal de información http://www.iso27001security.com/ se puede encontrar la relación entre los requerimientos que exige el PCI DSS y qué punto de la norma ISO 27.001 lo cubre. Puede ser consultado en el siguiente link: http://www.iso27001security.com/ISO27k_Mapping_ISO_27001_to_PCI-DSS_V1.2.pdf.
PA DSS
Como ya explicamos en la anterior entrada, según la propia PCI SSC, el objetivo de la PA DSS es ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguro que no almacenen datos prohibidos, como la banda magnética completa, datos de PIN o de CVV2 (Valor de verificación de la tarjeta), y cerciorarse de que sus aplicaciones de pago admitan el cumplimiento de la PCI DSS.
Este estándar está basado en las buenas prácticas de pago PABP (Payment Application Best Practices), que Visa proporciona a los proveedores de aplicaciones. Estas buenas prácticas son voluntarias y aseguran que las aplicaciones de pago no almacenan datos engañosos colaborando en el cumplimiento del PCI DSS.
Esta norma está constituida por 14 requerimientos, y al igual que PCI DSS, fue actualizada en octubre de 2010.
PCI PTS
Esta norma recoge los requisitos de seguridad para transacciones con PIN. Va dirigida a los productores de los dispositivos de pago, definiendo los requisitos que deben seguir en el diseño, fabricación y transporte de estos dispositivos así como las entidades que los utilicen.
Este ha sido un pequeño resumen de las tres normas que la PCI ha desarrollado para mejorar la protección de los datos de los titulares de las tarjetas y con ello facilitar la adopción de medidas comunes para reducir el fraude en la industria de las tarjetas de crédito.
(Fotografía por PT Money · ptmoney.com)
Excelente resumen en el tema. Siempre había leído sobre estos estándares en seguridad IT pero sin saber de qué trataban.