En este artículo examinaremos el impacto del cumplimiento del PCI-DSS en la seguridad de los datos y la reputación de las organizaciones. También exploraremos las novedades de la versión 4.0 de este estándar y cómo afectan a las empresas que procesan pagos con tarjeta.
PCI DSS el estandar de pagos con tarjetas
La certificación PCI DSS es un conjunto de estándares de seguridad desarrollado por las principales marcas de tarjetas de pago, como Visa, MasterCard y American Express. Este estándar tiene como objetivo proteger la información confidencial de los tarjetahabientes y prevenir el hackeo de tarjetas de crédito (el termino correcto es tarjeta de pago, pero en este artículo nos referiremos a ellas como tarjeta de crédito por simplicidad).
Para lograr lo anterior el estándar PCI-DSS requiere que todas las empresas y comercios involucrados en el proceso de pagos cumplan con 12 requisitos generales y más de 200 sub-requisitos de seguridad de datos. Cuando hablamos de empresas y comercios nos referimos a bancos, pasarelas de pago, procesadoras de pago, tiendas grandes y pequeñas, incluso del tamaño de la peluquería de barrio que acepta pagos con tarjeta de crédito utilizando una app del celular.
Las siglas de PCI DSS vienen del inglés Payment Card Industry Data Security Standard que se traduce al español como: Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago.
PCI DSS en México: ¿Es un Requisito Legal o una Necesidad Empresarial?
La certificación PCI DSS no es un requisito legal en México, sin embargo, los contratos entre las instituciones involucradas, incluyendo los bancos y comercios, indican la posibilidad de penalizaciones económicas y la suspensión del servicio de pagos con tarjeta en caso de su incumplimiento.
Estos requisitos aplican para todas las empresas que manejan, procesan o transmiten información de tarjetas de crédito y débito las cuales deben cumplir con los estándares de seguridad establecidos por el PCI DSS. Esto incluye comercios minoristas, proveedores de servicios financieros, procesadores de pagos y cualquier otra entidad que almacene, procese o transmita información de tarjetas de pago.
Pero, ¿Quién solicita la certificación PCI DSS?
Antes del estándar PCI DSS, cada una de las empresas como Visa, MasterCard y American Express solicitaban a los comercios y bancos sus propios requerimientos de seguridad. Como el cumplimiento de todos estos requerimientos era tedioso y complicado, en el 2004 las principales marcas de tarjetas de crédito acordaron la creación del Payment Card Industry Security Standards Council para estandarizar los lineamientos de seguridad de datos para el procesamiento de pagos con tarjeta de crédito.
Hoy en día las empresas como Visa y MasterCard solicitan a los bancos, pasarelas de pago y procesadoras de pago el cumplimiento de este estándar. Estas instituciones a su vez solicitan a sus clientes (comerciantes) el cumplimiento de PCI-DSS por medio de sus contratos de adhesión.
Los requerimientos y profundidad de alcance para el cumplimiento del estándar varían de acuerdo con el tamaño de las empresas involucradas y con la cantidad de transacciones anuales realizadas.
Por ejemplo, en el contrato en México del banco BBVA para los comercios que quieran solicitar una terminal de punto de venta, en la sección de SEGURIDAD DE INFORMACIÓN DE CUENTAS, se indica que el comerciante debe cumplir con el PCI DSS so pena de la suspensión del servicio en caso de no hacerlo, como se muestra en la imagen siguiente.
PCI DSS al Detalle: Requisitos, Riesgos y Últimas Actualizaciones
Los principales riesgos que enfrenta una organización que no cumple con PCI DSS son la posibilidad de sufrir un hackeo de datos de tarjetas de pago con pérdidas económicas y de confianza de los clientes.
Según el Informe de investigaciones de violaciones de datos (DBIR) de Verizon 2023, el 83% de las violaciones de datos en 2022 involucraron a actores externos, la mayoría con motivación financiera. El 84% de los casos de violación de datos involucraron datos de cuentas de pago.
Además de los riesgos operativos de sufrir un hackeo, la falta de cumplimiento de PCI DSS v4.0 también puede tener implicaciones legales y regulatorias. Los organismos reguladores y las autoridades encargadas de la protección de datos pueden imponer sanciones adicionales, como:
- La realización de auditorías exhaustivas
- La suspensión o revocación de licencias comerciales
- Multas que pueden variar desde montos fijos hasta cantidades basadas en el volumen de transacciones y la gravedad de la violación.
- La prohibición de procesar o almacenar datos de tarjetas de pago en el futuro
Versión vigente de PCI-DSS
La versión más reciente es PCI DSS v4.0 es la publicada en marzo de 2022, la cual requiere el cumplimiento total para marzo de 2025. El estándar da un periodo de gracia de marzo 2024 a marzo 2025 para el cumplimiento de los nuevos requerimientos. Durante este periodo las instituciones no están obligadas a cumplir con los nuevos requisitos. Después del 31 de marzo de 2025, estos requisitos entrarán en vigor como parte de la evaluación PCI DSS.
Puntos importantes a cubrir con la certificación PCI DSS
La certificación PCI DSS cubre una amplia gama de requisitos de seguridad que deben cumplir las empresas que procesan pagos con tarjeta, como:
- Instalar y mantener controles de seguridad de red.
- Aplicar configuraciones seguras a todos los componentes del sistema.
- Proteger los datos almacenados de la cuenta.
- Proteger los datos de los titulares de tarjetas con criptografía sólida durante la transmisión a través de redes públicas abiertas.
- Proteger todos los sistemas y redes del software malicioso (Antivirus y Antimalware).
- Desarrollar y mantener sistemas y software seguros.
- Restringir el acceso a los componentes del sistema y a los datos del titular de la tarjeta según lo que la empresa necesita saber.
- Identificar usuarios y autenticar el acceso a los componentes del sistema.
- Restringir el acceso físico a los datos del titular de la tarjeta.
- Registrar y monitorear todo el acceso a los componentes del sistema y a los datos del titular de la tarjeta .
- Probar la seguridad de los sistemas y redes con regularidad (escaneos de vulnerabilidades)
- Respaldar la seguridad de la información con políticas y programas organizacionales.
Incumplimientos más frecuentes de las empresas con la certificación PCI DSS
A pesar de la importancia de la certificación PCI DSS, las empresas pueden enfrentar desafíos para cumplir completamente con los requisitos de seguridad. Algunos de los puntos donde más fallan las empresas con la certificación PCI-DSS incluyen:
- Falta de conocimiento y comprensión de los requisitos de PCI DSS.
- Implementación inadecuada de medidas de seguridad de red, como firewalls y segmentación de redes.
- Inadecuado manejo de contraseñas y acceso no autorizado a los sistemas de pago.
- Incumplimiento de las políticas de control de acceso y falta de monitoreo adecuado de los sistemas de pago.
- Almacenamiento inseguro de datos de tarjetas de pago, sin cifrado adecuado o protección física.
PCI DSS v4.0: Lo Nuevo en Seguridad de Pagos que Debes Conocer
En el mundo de la seguridad de datos y la protección de la información confidencial, es crucial mantenerse al día con las últimas actualizaciones y mejoras en los estándares de cumplimiento. En este sentido, PCI DSS v4.0 trae consigo importantes cambios y mejoras en los requisitos.
El blog de SecureFrame tiene una lista muy detallada de los nuevos requerimientos por fecha de obligación y tipo de negocio que debe cumplirlo. En resumen:
- Ofrece un enfoque personalizado para cumplir los requisitos de PCI DSS (customized approach)
- Tiene requisitos nuevos o actualizados relacionados con la autenticación multifactor, contraseña, conciencia de seguridad y comercio electrónico
- Tiene nuevos requisitos de responsabilidad y confirmación anual del alcance de PCI DSS
- Tiene informes de evaluación PCI DSS mejorados y permite a las organizaciones completar evaluaciones parciales
Nuevo enfoque personalizado para cumplimiento de requisitos PCI DSS
PCI DSS v4.0 ofrece un nuevo método para cumplir con los requisitos llamado enfoque personalizado (customized approach). Este enfoque proporciona a las organizaciones la flexibilidad necesaria para satisfacer los requisitos de PCI DSS. Cada organización decidirn cómo cumplirá con los requisitos de PCI DSS, incluido si seguirá el enfoque definido (el clásico utilizado anteriormente) o el nuevo enfoque personalizado. Con este enfoque, las organizaciones pueden adaptar los controles de seguridad a su entorno específico y encontrar soluciones que les permitan proteger los datos de las tarjetas de pago de manera personalizada.
Es importante entender que los controles personalizados no son controles compensatorios. Los controles compensatorios son controles mitigantes que se requieren cuando una organización no puede cumplir con un requisito debido a una restricción técnica o comercial legítima y documentada. En cambio, los controles personalizados son una alternativa flexible para cumplir con los requisitos.
Nuevos requisitos de PCI-DSS v4.0
En la era digital en la que vivimos, la seguridad de los datos y la protección de la información privada se han convertido en prioridades fundamentales. En este sentido, PCI DSS v4.0 ha introducido nuevas exigencias para prevenir y detectar amenazas tanto nuevas como en curso contra la industria de pagos, incluyendo ataques de phishing, comercio electrónico y “e-skimming”.
Una de las principales mejoras en PCI DSS v4.0 se centra en los controles de autenticación multifactor. Ahora se requerirá un proceso de autenticación adicional para confirmar la identidad del usuario, garantizando aún más la seguridad de los datos de la tarjeta.
Otra actualización importante se refiere a los requisitos de contraseña. En PCI DSS v4.0 se ha aumentado la longitud mínima de la contraseña de 8 caracteres a 12. Esta medida reforzará la seguridad de las contraseñas, dificultando la posibilidad de que sean descifradas o adivinadas fácilmente por los atacantes.
Además, se han realizado cambios en los requisitos relacionados con las cuentas compartidas, grupales y genéricas. Estos cambios buscan establecer pautas más específicas y claras sobre cómo manejar y controlar estas cuentas, evitando posibles brechas de seguridad causadas por el acceso no autorizado o inadecuado.
PCI DSS v4.0 establece la necesidad de roles y responsabilidades claramente definidos para cada uno de los requisitos. Esto garantiza una distribución adecuada de responsabilidades dentro de la organización, lo que contribuye a una implementación más efectiva y una mejor gestión de la seguridad de la información.
Además, el crecimiento del comercio electrónico ha llevado a un aumento de los riesgos asociados con las transacciones en línea. Para abordar este desafío, PCI DSS v4.0 ha implementado nuevas medidas de seguridad para proteger las transacciones electrónicas. Estas medidas incluyen controles adicionales relacionados con el cifrado de datos, la monitorización constante de las transacciones y la protección de los sistemas involucrados en el procesamiento de pagos en línea.
Por último, la nueva versión de PCI DSS también se preocupa por los ataques de “e-skimming”, una forma de fraude electrónico en la que los ciberdelincuentes roban información de tarjetas de crédito de los sitios web de comercio electrónico. Para abordar este tipo de amenaza, PCI DSS v4.0 establece requisitos específicos para la protección de los sistemas y aplicaciones utilizados en los sitios web de comercio electrónico, así como la implementación de controles de seguridad adicionales para prevenir y detectar estos ataques.
En resumen, PCI DSS v4.0 trae consigo importantes actualizaciones en los requisitos de seguridad de datos. Estas actualizaciones buscan fortalecer aún más la seguridad de los datos de las tarjetas de pago y proporcionar una guía más precisa y completa para las organizaciones que desean cumplir con los estándares de PCI DSS.
Mejoras en los informes de evaluación PCI DSS v4.0
Con la llegada de PCI DSS v4.0, se han implementado mejoras significativas en el cuestionario de autoevaluación (SAQ, por sus siglas en inglés) y en la plantilla del Informe de Cumplimiento (RoC), con el fin de brindar una guía más completa y precisa a las organizaciones y a los evaluadores.
El SAQ es una herramienta utilizada por las organizaciones para evaluar su cumplimiento de los requisitos de PCI DSS. En PCI DSS v4.0, se han realizado mejoras al cuestionario para asegurar que sea claro y completo, abordando de manera adecuada todos los requisitos necesarios para el cumplimiento. Estas mejoras permitirán a las organizaciones comprender mejor qué información se requiere y cómo documentarla adecuadamente en el SAQ.
La plantilla del Informe de Cumplimiento (RoC) también ha sido mejorada en PCI DSS v4.0. El RoC es un documento en el que los evaluadores detallan los resultados de la evaluación de cumplimiento de una organización en relación con los requisitos de PCI DSS.
Estas mejoras en el SAQ y en la plantilla del RoC buscan ayudar a las organizaciones a realizar una autoevaluación más efectiva y a los evaluadores a documentar de manera más precisa y completa los resultados de las evaluaciones. Esto contribuirá a una implementación más adecuada de las medidas de seguridad y a un proceso de auditoría más efectivo.
En conclusión, PCI DSS v4.0 introduce mejoras significativas en la documentación y los informes de las evaluaciones de cumplimiento.
