Guía Esencial

Navegue en las secciones

Cambios en la política de cumplimiento de Visa PCI: ¿El Final de las evaluaciones PCI?

¿Significa el fin para la evaluación PCI cambio en políticas de cumplimiento de Visa? Chapple discute significado para profesionales de seguridad

No hace mucho que Visa Inc. ha cambiado su política de evaluación de cumplimiento para el estándar de seguridad de pagos de la industria de tarjetas de crédito (PCI DSS).

Existen numerosos movimientos relacionados que pueden limitar el número de empresas necesarias para cumplir esta evaluación y que puede reducir el tiempo necesario para cumplir con sus requisitos.

En concreto VISA ha decidido cambiar los criterios de sus clientes, incluyendo la necesidad de procesar el 75% de sus operaciones mediante terminales dotadas de “chip y PIN”, que ya no es un aspecto de esa evaluación PCI. Por desgracia no todos los comerciantes están al tanto del cambio y muy pocos entienden que supone para ellos. En este consejo no solo explicamos los cambios y sus implicaciones sino que también vemos las posibilidades con las que las empresas pueden hacer mucho más sencillo el cumplimiento de la PCI.

¿El fin de la evaluación PCI?

La “muerte” de la evaluación PCI DSS seguramente sea una buena noticia para muchos profesionales que sentían por este tipo de evaluación el mismo entusiasmo que ante una visita al dentista o a un inspector de Hacienda. Aunque todos apreciamos el celo por una seguridad estricta respecto de los datos sensibles, como los números de tarjeta de crédito, también solemos agotarnos ante los interminables cuestionarios de autoevaluación (SAQS). Quienes no estén al tanto de los PCI DSS, los comerciantes normalmente tienen que rellenar un SAQ como parte del proceso de validación y evaluación. Para muchos comerciantes este SAQ se envía y efectúa a través de su banco con todos los requisitos necesarios. Sin embargo los comerciantes más grandes deben realizar una evaluación en el comercio con un asesor de seguridad PCI cualificado y usar el SAQ para preparar esa visita.

Con el cambio en las políticas de VISA ¿podemos ver el fin inminente de esa evaluación PCI? Veremos los detalles sobre los cambios realizados por Visa, pero lo que si debe quedar claro es que el programa PCI DSS desaparecerá tarde o temprano, aunque las evaluaciones SAQs en el comercio seguramente sigan siendo una parte integral del programa en los próximos años. Dicho esto hay numerosos movimientos relacionados que pueden provocar que los comerciantes no tengan que rellenar más autoevaluaciones al uso y que reducirán el tiempo empleado por aquellos que aun tengan que seguir rellenando esos formularios.

Definiendo claramente el entorno del titular de la tarjeta

El primero de los factores sobre el que las empresas de tarjetas de crédito en el que se han esforzado notablemente son en reducir el ámbito de sus operaciones con tarjeta de crédito. Cuando apareció el primer PCI DSS allá por 2004, muchos de nosotros protestamos por el tipo de lenguaje incluido en ámbito de cumplimiento que incluía “cualquier componente de red, servidor o aplicación que estuviera conectada con el entorno del titular de la tarjeta”. Después de “mucho llanto y crujir de dientes” por fin pudimos saber exactamente a que se referían con eso de “conectar con el entorno del titular de la tarjeta.

Durante los últimos años la industria ha pasado de interpretar el idioma como un requisito intimidatorio para incluir prácticamente cualquier aspecto de la computación empresarial dentro de los esfuerzos del cumplimiento de la PCI a ser una oportunidad para crear y gestionar sistemas de pago mucho más seguros. Para hacer las evaluaciones PCI menos dolorosas muchas empresas ahora segmentan a sus clientes, dejando un lado a aquellos sistemas que acceden a los datos de la tarjeta de crédito del resto de la red de la empresa y limitando el acceso a estos sistemas al personal que necesite de acceso expreso a esta información sensible.

Esto ha permitido reducir el ámbito de numerosas evaluaciones PCI DSS a un número concreto de sistemas bien definidos. No es algo que reduzca el número de preguntas que la empresa debe responder pero si limita notablemente los sistemas que quedan obligados a responder a las mismas.

Proceso externo de pagos

Una de las formas más sencillas de reducir dramáticamente el alcance de la PCI es mediante la externalización de los principales componentes de la infraestructura del procesado de tarjetas de crédito, sino de todo el proceso. Al elegir un proveedor de servicio certificado todo el proceso de gestión de tarjetas de crédito puede externalizarse del alcance de la prueba. En algunos casos es posible eliminar por completo los datos relativos a las tarjetas del entorno, siempre que aseguremos que nunca vamos a encontrar en el sistema números de tarjeta sin encriptar.

Cuando elegimos un socio para procesar las tarjetas de crédito, debemos considerar solo aquellos proveedores certificados como PCI DSS y controlar su estado de manera que garanticen el cumplimiento de la política durante todo el contrato. Visa ofrece un registro global de proveedores de servicio PCI DSS certificado; cualquier socio potencial debe figurar en esta lista.

La externalización del procesado de tarjetas es una forma de extraer los datos de tarjeta de crédito de los sistemas empresariales y de reducir el número de respuestas a rellenar durante el proceso de cumplimiento PIC DSS. EL punto de partida de esta evaluación es un cuestionario completo -- SAQ D –que contiene, nada menos, que 49 páginas de preguntas. Sin embargo la empresa puede reducir la dimensión del cuestionario si:

  • No almacena datos de las tarjetas. En este caso el cuestionario pasa a ser el SAQ C, de “solo” 26 páginas.
  • Se traslada a un entorno virtual donde el procesamiento de tarjetas de crédito usa una interfaz web que cumple con las obligaciones del proveedor del servicio. En este caso el formulario es de 23 páginas, el SAQ C-VT.
  • Usa solo equipos “imprint” o sistemas sencillos de marcado remoto. Con este planteamiento el comerciante pasa al formulario SAQ B y solo necesita un formulario de 20 páginas.
  • Alcanza el autentico nirvana del PCI DSS y externaliza por completo todo el proceso. No todos pueden hacerlo, pero quienes lo logran disfrutan del formulario SAQ A de 15 páginas.

Externalizando la gestión de tarjetas de crédito fuera de los sistemas de IT y sus componentes puede reducir dramáticamente el tiempo y esfuerzo necesario para cumplimentar el SAQ: cuando se combinan tales esfuerzos para limitar el alcance de los sistemas que deben ser conformes a la PCI es posible reducir notablemente el tiempo empleado en la evaluación de rendimiento.

Usando terminales EMV

Aunque es difícil, es posible eliminar todas las responsabilidades de evaluación PCI DSS. Tanto Visa como Master Card han publicado guías que permiten a los comerciantes utilizar la tecnología de PINC y Chip de Europay, MasterCard y Visa (EMV) para eliminar por completo la necesidad de evaluaciones. Es la forma de estas empresas de fomentar la adopción de estas nuevas tecnologías inteligentes de pago.

Las empresas que cumplan los siguientes criterios pueden solicitar por la exención de las evaluaciones PCI DSS:

  • El 75% de sus operaciones se realizan mediante terminales de chip y PIN (aunque no se requiere un porcentaje equivalente de operaciones realizadas usando chip y PIN).
  • Los comerciantes no deben almacenar información sensible.
  • Los comerciantes deben segmentar los procesos mediante tarjeta presente y ausente.
  • Los comerciantes no deben haber tenido incidencias de pagos durante el último año.
  • Los comerciantes deben haber realizado su evaluación PCI en el año anterior.

Es importante destacar que aunque una empresa no cumpla con todos los requisitos de la evaluación todavía es posible cumplir con los requisitos del programa PCI DSS. Por otro lado, aunque Visa y Master Card han acordado poner en marcha este programa en 2012, American Express no empieza a ofrecer el programa hasta octubre de 2013.

Además se ven buenas nuevas en el horizonte. A medida que los comerciantes se sientan más cómodos con los requisitos PIC DSS y con el ámbito de su entorno, la comunidad PCI está empezando a adoptar planteamientos basados en riesgos que permiten a los comerciantes no verse implicados en actividades de alto riesgo. Por eso está previsto ver más cambios en estos aspectos en el futuro.

Sobre el autor:
Mike Chapple, Ph. D., CISA, CISSP, es gestor de seguridad IT de la universidad de Notre Dame. Ha trabajado como investigador de seguridad de la información en la National Security Agency y en el U.S. Air Force. Chapple es colaborador habitual de SearchSecurity.com, y es experto residente en Conformidad Empresarial, entornos y estándares para IT. También es editor de la revista Information Security y autor de numerosos títulos sobre seguridad de la información incluyendo títulos como CISSP Prep Guidey Information Security Illuminated.

Investigue más sobre Seguridad de la información