<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=974250883405448&amp;ev=PageView&amp;noscript=1">
El estándar PCI en pagos on-line

ciberseguridad

El estándar PCI en pagos on-line

Pablo del Hoyo | dic 10, 2021

Las aplicaciones web y, en particular, el comercio electrónico, pueden disponer de métodos de pago on-line que empleen tarjetas de crédito. Debido a la sensibilidad de estos datos y con el objetivo de desarrollar sistemas seguros, se ha desarrollado un estándar denominado PCI que establece una serie de directrices a cumplir.

Introducción

El comercio electrónico ya supone un canal de venta muy relevante prácticamente para cualquier negocio, con un volumen de ventas importante. Así, en 2019, un 47% de los españoles de entre 16 y 74 años afirmó haber realizado una compra online en el plazo de 3 tres últimos meses

Este porcentaje ha ido creciendo durante los últimos años y es de esperar que lo siga haciendo de forma constante hasta alcanzar cuotas todavía mayores, tanto en el ámbito nacional, como internacional.

Igualmente, el crecimiento del canal online lleva consigo la incorporación de métodos de pago on-line. A saber: pasarelas on-line de tarjetas de crédito, pago con Paypal, o incluso más recientemente métodos como Bizum.

Este crecimiento lleva aparejado consigo el aumento del volumen de transacciones e información relativa a los distintos métodos de pago. Obviamente, se trata de información de gran criticidad. El comercio electrónico, debido a su naturaleza intrínseca de estar disponible a cualquier usuario, puede verse expuesto a brechas de seguridad de esta información. La ciberseguridad se ha convertido en un reto para cualquier comercio que quiera habilitar métodos de pago en su portal. Un ejemplo de este riesgo es que en España, en el año 2020, el Instituto Nacional de Ciberseguridad tuvo que gestionar más de 40.000 incidentes relacionados con algún tipo de fraude online.

Con el objetivo de garantizar la ciberseguridad durante las distintas transacciones realizadas al efectuar un pago en Internet se desarrolla un estándar que establece unas directrices que garantizan la seguridad, acceso e integridad de los datos en cualquier sistema que haga uso de una pasarela de pago on-line. Este es el estándar PCI, por sus siglas en inglés equivalentes a Estándar de Seguridad de Datos.

Descripción

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI, DSS o simplemente PCI por sus siglas en inglés), es un estándar desarrollado por las principales compañías de tarjetas de crédito que sirve como guía a cualquier organización para el procesamiento y almacenamiento de datos relativos a las tarjetas de crédito. El principal objetivo de este estándar es mejorar y mantener la seguridad en las distintas transacciones que se ejecuten con dichos datos.

El estándar PCI fue desarrollado por el comité conformado por las principales compañías de tarjetas de crédito, que incluyen a Mastercard, Visa, American Express, Discover y JCB:

Cumplimiento

Este estándar es de obligado cumplimiento para toda organización que acepte tarjetas de crédito o débito. Igualmente, también se aplica a toda compañía que procese, transmita o almacene información relativa a este tipo de tarjetas.

Es importante remarcar que es un estándar, no una ley. A raíz de ello, se fuerza un contrato “forzado” entre las distintas partes involucradas en una transacción, como son el comercio, el banco, y el proveedor del servicio de pago o pasarela. Así, por ejemplo, el incumplimiento de este estándar puede llevar a sanciones de tipo administrativo de la pasarela al banco y, como consecuencia, el banco puede retirar el servicio de este tipo de pago al comercio. También es importante remarcar que, bajo la regulación de la UE, los datos de las tarjetas de crédito se consideran bajo la regulación de la GDPR. Por tanto, no cumplir con el estándar PCI en la UE significa por extensión no cumplir con la GDPR, la cual sí es ley y lleva a sanciones económicas por la Administración

Los criterios a satisfacer varían en función de numerosos factores, como pueden ser el tamaño de la organización o el número de transacciones que se efectúen anualmente.

Niveles de cumplimiento

En función del volumen de transacciones, el estándar PCI define 4 niveles de requisitos, cada uno más restrictivo que el anterior, con una serie de restricciones a cumplir por las organizaciones para prevenir el fraude o brechas de seguridad que puedan producirse en los métodos de pago on-line. Estos niveles se definen en función del número de transacciones con tarjetas que se producen anualmente:

  • Nivel 1: Para organizaciones con más de 6 millones de transacciones.
  • Nivel 2: Para organizaciones entre 1 y 6 millones de transacciones anuales.
  • Nivel 3: Para organizaciones entre 20.000 y 1 millón de transacciones anuales.
  • Nivel 4: Para organizaciones con menos de 20.000 transacciones anuales.

Dichos niveles también determinarán si la organización debe hacer: 

  • Un cuestionario de autoevaluación o SAC (Self-Assessment Questionnaire) que consiste en un reporte proporcionado por el consorcio de PCI con un  número variable (en función del nivel) de preguntas relativas a su política de seguridad.
  • Un reporte de cumplimiento PCI o ROC (Report of Compliance), realizado por consultores externos para los niveles más altos, consistente en una auditoría de seguridad relativa al pago con tarjetas.

New call-to-action

Requisitos

La última versión del estándar especifica 12 objetivos divididos en 6 objetivos de control, que se listan a continuación:

  • Desarrollar y mantener una red segura:
    • Mantener una configuración para bloquear accesos no autorizados de los datos de las tarjetas. Por ejemplo, emplear un firewall para impedir accesos no autorizados.
    • No utilizar contraseñas ni configuraciones por defecto de los distintos proveedores involucrados en una transacción.
  • Proteger los datos de los usuarios de las tarjetas:
    • Proteger estos datos mediante la utilización de algoritmos de cifrado.
    • Proteger las claves del cifrado.
    • Cifrar estos datos si se transmiten en una red pública cuyo destino debe ser conocido.
    • No transmitir los datos a destinatarios desconocidos.
  • Establecer un programa de control de vulnerabilidades:
    • Actualizar el software de forma regular y usar un antivirus actualizado.
    • Utilizar sistemas y aplicaciones seguras. Actualizarlas de forma recurrente y aplicar parches de seguridad tan pronto como sea necesario.
  • Limitar el control de acceso:
    • Limitar el acceso a los datos a los usuarios que estrictamente lo necesiten.
    • Hay que asegurar que la identificación es única para cada usuario con acceso.
    • Restringir el acceso físico a estos datos.
    • Registrar el acceso a dichos datos.
  • Monitorizar y controlar las redes:
    • Loguear y monitorizar los accesos a los datos sensibles.
    • Probar regularmente los sistemas y procesos de seguridad.
  • Mantener una Política de Seguridad de la Información:
    • Mantener esta política que informe tanto a empleados como a los contratistas.

Un ejemplo práctico de estas directrices es que nunca se debe almacenar el número de una tarjeta de crédito en base de datos (o de cualquier otra forma) en bruto, sino que se debe enmascarar de forma que se muestre solo parcialmente dicho número. Obviamente el CCV tampoco se debe almacenar para cumplir con el estándar PCI:

 

Contacta con nosotros

¡Suscríbete!