Desde 2005, más de 11 mil millones de registros de consumidores se han visto comprometidos por más de 8500 violaciones de datos. Estas son las últimas cifras de Privacy Rights Clearinghouse, que informa sobre violaciones de datos y de seguridad que afectan a los consumidores desde 2005.
Para mejorar la seguridad de los datos de los consumidores y la confianza en el ecosistema de pagos, se creó un estándar mínimo de seguridad de datos. Visa, Mastercard, American Express, Discover y JCB formaron el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) en 2006 para administrar y administrar los estándares de seguridad para las empresas que manejan datos de tarjetas de crédito. Antes de que se estableciera el PCI SSC, estas cinco compañías de tarjetas de crédito tenían sus propios programas de estándares de seguridad, cada uno con requisitos y objetivos aproximadamente similares. Se unieron a través del PCI SSC para alinearse con una política estándar, los Estándares de Seguridad de Datos PCI (conocidos como PCI DSS) para garantizar un nivel básico de protección para consumidores y bancos en la era de Internet.
- Comprender PCI DSS puede ser complejo y desafiante
- Descripción general del Estándar de seguridad de datos PCI (PCI DSS)
- Manejo de datos de tarjetas
- Almacenamiento de datos de forma segura
- Validación anual
- Crear y mantener una red y sistemas seguros
- Proteger los datos del titular de la tarjeta
- Mantener un programa de gestión de vulnerabilidades
- Implementar medidas de control de acceso sólidas
- Supervisar y probar regularmente las redes
- Mantenga una política de seguridad de la información
- Guía paso a paso para el cumplimiento de PCI DSS v3.2.1
- Mapee sus flujos de datos
- Compruebe los controles y protocolos de seguridad
- Supervisar y mantener
- Cómo Stripe ayuda a las organizaciones a lograr y mantener el cumplimiento de PCI
- Conclusión
- El cumplimiento de PCI ayuda. No es suficiente.
Comprender PCI DSS puede ser complejo y desafiante
Si su modelo de negocio requiere que maneje datos de tarjetas, es posible que deba cumplir con cada uno de los más de 300 controles de seguridad en PCI DSS. Hay más de 1.800 páginas de documentación oficial, publicadas por el PCI Council, sobre PCI DSS, y más de 300 páginas solo para comprender qué formularios usar al validar el cumplimiento. Esto tardaría más de 72 horas en leerse.
Para aliviar esta carga, la siguiente es una guía paso a paso para validar y mantener el cumplimiento de PCI.
Descripción general del Estándar de seguridad de datos PCI (PCI DSS)
PCI DSS es el estándar de seguridad global para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas y/o datos de autenticación confidenciales. PCI DSS establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos en todo el ecosistema de pagos. Es aplicable a cualquier organización que acepte o procese tarjetas de pago.
El cumplimiento de PCI DSS implica 3 cosas principales:
- Gestionar la entrada de datos de tarjetas de crédito de los clientes, es decir, que los datos confidenciales de la tarjeta se recopilan y transmiten de forma segura
- Almacenar datos de forma segura, lo que se describe en los 12 dominios de seguridad del estándar PCI, como el cifrado, la supervisión continua y las pruebas de seguridad del acceso a los datos de la tarjeta
- Validar anualmente que los controles de seguridad requeridos están consulte la guía paso a paso a continuación para obtener una tabla con los cuatro niveles de requisitos)
Manejo de datos de tarjetas
Algunos modelos de negocio requieren el manejo directo de datos confidenciales de tarjetas de crédito al aceptar pagos, mientras que otros no. Es posible que se requiera que las empresas que necesitan manejar datos de tarjetas (por ejemplo, aceptar cacerolas no grabadas en una página de pago) cumplan con cada uno de los más de 300 controles de seguridad en PCI DSS. Incluso si los datos de la tarjeta solo atraviesan sus servidores por un corto momento, la empresa necesitaría comprar, implementar y mantener software y hardware de seguridad.
Si una empresa no necesita manejar datos confidenciales de tarjetas de crédito, no debería hacerlo. Las soluciones de terceros (por ejemplo, Elementos de banda) aceptan y almacenan los datos de forma segura, eliminando una complejidad, un costo y un riesgo considerables. Dado que los datos de la tarjeta nunca tocan sus servidores, la compañía solo necesitaría confirmar 22 controles de seguridad, la mayoría de los cuales son sencillos, como el uso de contraseñas seguras.
Almacenamiento de datos de forma segura
Si una organización maneja o almacena datos de tarjetas de crédito, debe definir el alcance de su entorno de datos de titulares de tarjetas (CDE). PCI DSS define CDE como las personas, los procesos y las tecnologías que almacenan, procesan o transmiten datos de tarjetas de crédito, o cualquier sistema conectado a él. Dado que los más de 300 requisitos de seguridad en PCI DSS se aplican al CDE, es importante segmentar adecuadamente el entorno de pago del resto de la empresa para limitar el alcance de la validación PCI. Si una organización no puede contener el alcance de CDE con segmentación granular, los controles de seguridad PCI se aplicarían a cada sistema, computadora portátil y dispositivo de su red corporativa. ¡Caramba!
Validación anual
Independientemente de cómo se acepten los datos de la tarjeta, las organizaciones deben completar un formulario de validación de PCI anualmente. La forma en que se valida el cumplimiento de PCI depende de una serie de factores, que se describen a continuación. Aquí hay 3 escenarios en los que se podría pedir a una organización que demuestre que cumple con PCI:
- Los procesadores de pagos pueden solicitarlo como parte de sus informes requeridos a las marcas de tarjetas de pago
- Los socios comerciales pueden solicitarlo como requisito previo para celebrar acuerdos comerciales
- Para las empresas de plataformas (aquellas cuya tecnología facilita las transacciones en línea entre múltiples conjuntos distintos de usuarios), los clientes pueden solicitarlo para mostrar a sus clientes que están manejando datos de forma segura
estándares, PCI DSS versión 3.2.1, incluye 12 requisitos principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.
- Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
- No utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad
- Proteger los datos almacenados del titular de la tarjeta
- Cifrar los datos de los titulares de tarjetas en redes abiertas o públicas
- Proteger todos los sistemas contra malware y actualizar regularmente el software antivirus
- Desarrollar y mantener la seguridad sistemas y aplicaciones
- Restringir el acceso a los datos del titular de la tarjeta por parte de la empresa Necesidad de saber
- Identificar y autenticar el acceso a los componentes del sistema
- Restringir el acceso físico a los datos del titular de la tarjeta
- Rastrear y supervisar todo el acceso a los recursos de red 3985>
- Pruebe regularmente sistemas y procesos de seguridad
- Mantenga una política que aborde la seguridad de la información para todos personal
Crear y mantener una red y sistemas seguros
Proteger los datos del titular de la tarjeta
Mantener un programa de gestión de vulnerabilidades
Implementar medidas de control de acceso sólidas
Supervisar y probar regularmente las redes
Mantenga una política de seguridad de la información
Para que sea» más fácil » para las nuevas empresas validar el cumplimiento de PCI, el Consejo de PCI creó nueve formularios diferentes o Cuestionarios de Autoevaluación (SAQ) que son un subconjunto de todo el requisito de PCI DSS. El truco es averiguar cuál es aplicable o si es necesario contratar a un auditor aprobado por el Consejo PCI para verificar que se ha cumplido con cada requisito de seguridad PCI DSS. Además, el Consejo de PCI revisa las reglas cada tres años y publica actualizaciones incrementales a lo largo del año, lo que agrega una complejidad aún más dinámica.
Guía paso a paso para el cumplimiento de PCI DSS v3.2.1
El primer paso para lograr el cumplimiento de PCI es saber qué requisitos se aplican a su organización. Hay cuatro niveles de cumplimiento de PCI diferentes, que normalmente se basan en el volumen de transacciones con tarjetas de crédito que procesa su negocio durante un período de 12 meses.
Se aplica a los requisitos | ||
Nivel 1 |
|
|
Nivel 2 | Organizaciones que procesan entre 1-6 millones de transacciones anuales |
|
Nivel 3 |
|
|
Nivel 4 |
|
Para el Nivel 2-4, hay diferentes tipos de SAQ dependiendo de su método de integración de pago. Aquí hay una breve tabla:
SAQ | Descripción |
A |
Comerciantes sin tarjeta (comercio electrónico o pedido por correo / teléfono), que han subcontratado completamente todas las funciones de datos de titulares de tarjetas a proveedores de servicios externos que cumplen con PCI DSS, sin almacenamiento, procesamiento o transmisión electrónicos de datos de titulares de tarjetas en los sistemas o instalaciones del comerciante. No se aplica a canales cara a cara. |
A-EP |
Comerciantes de comercio electrónico que externalizan todo el procesamiento de pagos a terceros validados por PCI DSS y que tienen un sitio web que no recibe directamente los datos del titular de la tarjeta, pero que puede afectar la seguridad de la transacción de pago. No almacenamiento, procesamiento o transmisión electrónicos de datos de titulares de tarjetas en los sistemas o instalaciones del comerciante. Aplicable solo a canales de comercio electrónico. |
B |
Comerciantes que utilizan sólo:
No se aplica a los canales de comercio electrónico. |
B-IP |
Comerciantes que utilizan solo terminales de pago independientes aprobados por PTS con conexión IP al procesador de pagos sin almacenamiento electrónico de datos del titular de la tarjeta. No se aplica a los canales de comercio electrónico. |
C-VT |
Comerciantes que ingresan manualmente una sola transacción a la vez a través de un teclado en una solución de terminal de pago virtual basada en Internet que proporciona y aloja un proveedor de servicios externo validado por PCI DSS. Sin almacenamiento electrónico de datos del titular de la tarjeta. No se aplica a los canales de comercio electrónico. |
C |
Comerciantes con sistemas de aplicación de pago conectados a Internet, sin almacenamiento electrónico de datos de titulares de tarjetas. No se aplica a los canales de comercio electrónico. |
P2PE |
Comerciantes que utilizan solo terminales de pago de hardware incluidos y administrados a través de una solución de cifrado punto a punto (P2PE) validada y con lista PCI SSC, sin almacenamiento electrónico de datos de tarjetahabientes. No se aplica a los comerciantes de comercio electrónico. |
D |
SAQ D para comerciantes: Todos los comerciantes no incluidos en las descripciones de los tipos de SAQ anteriores. SAQ D para Proveedores de Servicios: Todos los proveedores de servicios definidos por una marca de pago como elegibles para completar un SAQ. |
Para seleccionar los documentos SAQ y de certificación que mejor se aplican a su organización, el diagrama de flujo de la página 18 de este documento de PCI puede ser útil.
Los requisitos de PCI DSS cambian con el tiempo, por lo que una de las mejores formas de obtener actualizaciones sobre requisitos de certificación nuevos o cambiantes y cómo cumplirlos es convertirse en una Organización Participante de PCI (PO).
Mapee sus flujos de datos
Antes de poder proteger los datos confidenciales de tarjetas de crédito, debe saber dónde viven y cómo llegan allí. Querrá crear un mapa completo de los sistemas, las conexiones de red y las aplicaciones que interactúan con los datos de tarjetas de crédito en toda su organización. Dependiendo de tu rol, probablemente necesites trabajar con tu(s) equipo (s) de TI y seguridad para hacer esto.
- En primer lugar, identifique cada área del negocio orientada al consumidor que involucre transacciones de pago. Por ejemplo, puede aceptar pagos a través de un carrito de compras en línea, terminales de pago en la tienda o pedidos realizados por teléfono.
- A continuación, identifique las diversas formas en que se manejan los datos de los titulares de tarjetas en toda la empresa. Es importante saber exactamente dónde se almacenan los datos y quién tiene acceso a ellos.
- Luego, identifique los sistemas internos o las tecnologías subyacentes que tocan las transacciones de pago. Esto incluye sus sistemas de red, centros de datos y entornos en la nube.
Compruebe los controles y protocolos de seguridad
Una vez que mapee todos los puntos de contacto potenciales para los datos de tarjetas de crédito en toda su organización, trabaje con los equipos de TI y seguridad para garantizar que se implementen las configuraciones y protocolos de seguridad correctos (consulte la lista de 12 requisitos de seguridad para PCI DSS anterior). Estos protocolos están diseñados para asegurar la transmisión de datos, como la Seguridad de la capa de Transporte (TLS).
Los 12 requisitos de seguridad para PCI DSS v3.2. 1 se derivan de las mejores prácticas para proteger los datos confidenciales de cualquier empresa. Varios se superponen con los requeridos para cumplir con el RGPD, la HIPAA y otros mandatos de privacidad, por lo que es posible que algunos de ellos ya estén implementados en su organización.
Supervisar y mantener
Es importante tener en cuenta que el cumplimiento de PCI no es un evento único. Es un proceso continuo para garantizar que su negocio siga cumpliendo con la normativa, incluso a medida que evolucionan los flujos de datos y los puntos de contacto con los clientes. Algunas marcas de tarjetas de crédito pueden requerir que envíe informes trimestrales o anuales, o que complete una evaluación anual en el sitio para validar el cumplimiento continuo, particularmente si procesa más de 6 millones de transacciones cada año.
Gestionar el cumplimiento de PCI a lo largo del año (y año tras año) a menudo requiere apoyo y colaboración interdepartamental. Si esto aún no existe, puede valer la pena crear un equipo dedicado internamente para mantener el cumplimiento adecuadamente. Si bien cada empresa es única, un buen punto de partida para un «equipo de PCI» incluiría la representación de los siguientes:
- Seguridad: El Director de Seguridad( CSO), el Director de Seguridad de la Información (CISO) y sus equipos se aseguran de que la organización siempre esté invirtiendo adecuadamente en los recursos y políticas de privacidad y seguridad de datos necesarios.
- Tecnología / Pagos: El Director de Tecnología( CTO), Vicepresidente de Pagos y sus equipos se aseguran de que las herramientas principales, las integraciones y la infraestructura sigan siendo compatibles a medida que evolucionan los sistemas de la organización.
- Finanzas: El Director Financiero (CFO) y su equipo se aseguran de que todos los flujos de datos de pago se contabilicen cuando se trata de sistemas de pago y socios.
- Legal: Este equipo puede ayudarlo a navegar por los muchos matices legales del cumplimiento de PCI DSS.
Para obtener más información sobre el complejo mundo del cumplimiento de PCI, visite el sitio web del Consejo de Normas de Seguridad de PCI. Si solo lee esta guía y algunos otros documentos PCI, le recomendamos comenzar con estos: enfoque priorizado para PCI DSS, instrucciones y directrices de SAQ, preguntas frecuentes sobre el uso de los criterios de elegibilidad de SAQ para determinar los requisitos de evaluación in situ y preguntas frecuentes sobre las obligaciones de los comerciantes que desarrollan aplicaciones para dispositivos de consumo que aceptan datos de tarjetas de pago.
Cómo Stripe ayuda a las organizaciones a lograr y mantener el cumplimiento de PCI
Stripe simplifica significativamente la carga de PCI para las empresas que se integran con Pagos, Elementos, SDK móviles y SDK de terminales. Los elementos Stripe Checkout y Stripe utilizan un campo de pago alojado para manejar todos los datos de la tarjeta de pago, de modo que el titular de la tarjeta ingresa toda la información de pago confidencial en un campo de pago que se origina directamente de nuestros servidores validados por PCI DSS. Los SDK móviles y terminales de Stripe también permiten al titular de la tarjeta enviar información de pago confidencial directamente a nuestros servidores validados por PCI DSS.
Con métodos de aceptación de tarjetas más seguros como estos, rellenaremos el formulario PCI (SAQ) en el panel de control de bandas, haciendo que la validación de PCI sea tan fácil como hacer clic en un botón. Para las organizaciones más pequeñas, esto puede ahorrar cientos de horas de trabajo, para las más grandes, esto puede ahorrar miles.
Para todos nuestros usuarios, independientemente del tipo de integración, Stripe actúa como defensor de PCI y puede ayudar de varias maneras diferentes.
- Analizaremos su método de integración y le asesoraremos sobre qué formulario PCI usar y cómo reducir su carga de cumplimiento.
- Le notificaremos con anticipación si un volumen de transacciones creciente requerirá un cambio en la forma en que valida el cumplimiento.
- Para grandes comerciantes (Nivel 1), proporcionamos un paquete PCI que puede reducir el tiempo de validación de PCI de meses a días. Si necesita trabajar con una QSA PCI (porque almacena datos de tarjetas de crédito o tiene un flujo de pago más complejo), hay más de 350 empresas de QSA de este tipo en todo el mundo, y podemos conectarlo con varios auditores que entienden profundamente los diferentes métodos de integración de bandas.
Visa de Comerciante del Nivel de | Promedio de auditoría tiempo (estimaciones anuales) | Promedio de auditoría tiempo con la Raya de los Elementos, el proceso de pago o SDK para Móviles (estimaciones anuales) |
Nivel 1 | 3-5 meses | 2-5 días |
Nivel 2 | 1-3 meses | 0 días |
Nivel 3 | 1-3 meses | 0 días |
Nivel 4 | 1-3 meses | 0 días |
Para obtener más información acerca de cómo Raya le ayuda a proteger su los datos de los clientes y lograr el cumplimiento de PCI, consulte nuestros documentos sobre la seguridad de la integración.
Conclusión
La evaluación y validación del cumplimiento de la PCI generalmente se realiza una vez al año, pero el cumplimiento de la PCI no es un evento único, es un esfuerzo continuo y sustancial de evaluación y corrección. A medida que una empresa crece, también lo harán la lógica y los procesos empresariales básicos, lo que significa que los requisitos de cumplimiento también evolucionarán. Un negocio en línea, por ejemplo, puede decidir abrir tiendas físicas, ingresar a nuevos mercados o lanzar un centro de atención al cliente. Si algo nuevo involucra datos de tarjetas de pago, es una buena idea verificar proactivamente si esto tiene algún impacto en su método de validación de PCI y volver a validar el cumplimiento de PCI según sea necesario.
El cumplimiento de PCI ayuda. No es suficiente.
El cumplimiento de las directrices PCI DSS es una capa de protección necesaria para su negocio, pero no es suficiente. PCI DSS establece estándares importantes para el manejo y almacenamiento de los datos de los titulares de tarjetas, pero por sí solo no proporciona la protección suficiente para todos los entornos de pago. En cambio, pasar a un método de aceptación de tarjetas más seguro (como Stripe Checkout, Elements y SDK móviles) es una forma mucho más efectiva de proteger a su organización. El beneficio de larga data que esto proporciona es que no necesita confiar en los estándares de referencia de la industria ni preocuparse por el posible fallo de los controles de seguridad. Este enfoque proporciona a las empresas ágiles una forma de mitigar una posible filtración de datos y evitar el enfoque histórico emocional, lento y costoso de la validación de PCI. Sin mencionar que un método de integración más seguro es confiable todos los días del año.
Volver a guías