Norma PCI DSS

12 requisitos para la seguridad de los datos de las tarjetas de pago

¿Qué es la norma PCI DSS?

PCI DSS es un sistema referencial de exigencias de seguridad orientado a garantizar la confidencialidad de los datos de tarjetas de pago en los sistemas de información que los utilizan. Esta norma fue desarrollada por un consejo conformado por las compañías de tarjetas de pago más importantes (VISA, Mastercard, American Express, JCB y Discovery).

Actores de un sistema de información de pago electrónico:

  • Titular: titular de la tarjeta de pago y de la cuenta asociada a la misma (cliente final)
  • Emisor: institución financiera de afiliación del titular de la tarjeta de pago
  • Comerciante: entidad que acepta la tarjeta como forma de pago por bienes y/o servicios
  • Adquiriente: institución financiera que procesa las transacciones con tarjetas de pago
  • Marca de tarjeta: tercero de confianza que garantiza la relación entre los actores de una transacción (Visa, Mastercard, American Express, etc.)
  • Proveedores X de servicios de pago (PSP): el resto de los intermediarios de la cadena de pago electrónico. En calidad de proveedor de IaaS, OVH es PSP

Todo banco que emite de tarjetas de pago para sus clientes titulares de una cuenta bancaria, o que recauda transacciones para sus clientes comerciantes, es libre de definir, de forma contractual, las exigencias de seguridad a respetar por parte de sus clientes y asociados. La norma PCI DSS define una base de seguridad común que cubre la mayor parte de dichas exigencias. En este sentido, la norma PCI DSS se ha convertido en la referencia de seguridad de los sistemas de pago electrónico y de su cumplimiento, una exigencia sistemática para los actores de los sistemas de pago. Cada actor de la cadena de alojamiento del sistema de pago electrónico tiene una parte del conjunto de responsabilidades que garantizan la seguridad global de la plataforma. Estas obligaciones se transfieren de forma contractual a partir de las marcas de tarjetas de pago a todos los actores de la plataforma de pago electrónico.

Concretemente, la norma PCI DSS comprende una lista de más de 250 objetivos de control y requisitos de seguridad que se deben cumplir para garantizar el procesamiento, en total seguridad, de los números de tarjetas bancarias. Estos objetivos de control se clasifican en 6 grupos:

  • Creación y gestión de una red y un sistema seguros

    Requisito #1: instalar y gestionar una configuración de cortafuegos para proteger los datos del titular
    Requisito #2: no utilizar contraseñas del sistema u otros parámetros de seguridad establecidos por defecto por el proveedor
  • Protección de los datos del titular

    Requisito #3: proteger los datos almacenados del titular
    Requisito #4: encriptar la transmisión de datos del titular en las redes públicas abiertas
  • Gestión de un programa de administración de vulnerabilidades

    Requisito #5: proteger todos los sistemas contra los programas maliciosos y actualizar con regularidad los programas antivirus
    Requisito #6: desarrollar y gestionar sistemas y aplicaciones seguras
  • Implementación de medidas estrictas de control de acceso

    Requisito #7: restringir el acceso a los datos del titular, tomando como base la necesidad del funcionario de conocer la información
    Requisito #8: identificar y autenticar el acceso a los componentes del sistema
    Requisito #9: restringir el acceso físico a los datos del titular
  • Monitoreo y pruebas regulares de las redes

    Requisito #10: monitorear y supervisar todos los accesos a los recursos de red y a los datos del titular
    Requisito #11: probar con regularidad el correcto funcionamiento de los procesos y de los sistemas de seguridad
  • Gestión de una política de seguridad de la información

    Requisito #12: mantener una política que contemple la seguridad de la información para todo el personal

Cómo adquirir la conformidad con la noma PCI DSS

El cumplimiento de la norma PCI DSS cubre toda la plataforma de pago electrónico y beneficia al comerciante, al basarse en soluciones avaladas por la certificación PCI DSS de sus proveedores. Esto implica que cada actor involucrado en la operación de la plataforma cumpla con los requisitos de la norma que son relevantes para sus actividades y demuestre este cumplimiento a sus clientes.

En el marco de la infraestructura de pago OVH conforme con la norma PCI DSS, OVH es responsable de la seguridad de la infraestructura, mientras que usted, como cliente, se responsabiliza con la seguridad de las máquinas alojadas, con el uso de las funciones de las redes virtuales y de las capas aplicativas desplegadas en sus máquinas virtuales. En este sentido, la conformidad con la norma PCI DSS es el resultado de un esfuerzo conjunto orientado a combinar las medidas de seguridad de su plataforma aplicativa, del sistema, y de la infraestructura Private Cloud.

El cumplimiento de la norma PCI DSS puede estar avalado por una certificación de conformidad establecido a partir de un cuestionario de autoevaluación o de una auditoría llevada a cabo por un Asesor de Seguridad Certificado QSA (Qualified Security Assessor).

El cumplimiento de la norma PCI DSS por parte de su plataforma es el resultado de un procedimiento estructurado, cuyas características y obligaciones dependen de varios factores:

  • Cantidad de transacciones realizadas anualmente
  • Tipo(s) de tarjeta(s) de pago aceptada(s)
  • Entidad(es) financiera(s) adquiriente(s)
  • Complejidad de la infraestructura de pago electrónico

El cumplimiento de la norma PCI DSS conlleva al acercamiento a los actores implicados, con el fin de conocer sus objetivos de forma precisa. OVH le recomienda comunicarse con la institución financiera adquiriente y/o ponerse en contacto con un asesor de seguridad certificado (QSA) que pueda guiarle en este procedimiento.

Nivel de notificación de VISA

Niveau Descripción Obligaciones
1 Más de 6 millones de transacciones por año Auditoría llevada a cabo por una empresa auditora autorizada (QSA)
Scan trimestral llevado a cabo por un proveedor autorizado (ASV)
Aval de conformidad
2 Entre 1 y 6 millones de transacciones por año Cuestrionario de autoevaluación
Scan trimestral llevado a cabo por un proveedor autorizado (ASV)
Aval de conformidad
3/4 Menos de 1 millón de transacciones por año Definido y controlado por cada institución financiera

fuente: https://www.visaeurope.com/receiving-payments/security/merchants
Estos datos tienen carácter informativo. Su banco comprador puede brindarle esta información adaptada a su contexto empresarial.

Cada año, OVH somete su plataforma a una auditoría que se lleva a cabo por parte de un asesor de seguridad certificado (QSA), y pone a su disposición los documentos expedidos como resultado de dicha auditoría lo cual le permite:

  • Comprender cuáles son los requisitos que cubre nuestra certificación
  • Determinar cuáles son los requisitos que su empresa debe cubrir
  • Demostrar a su asesor de seguridad certificado (QSA) que OVH cumple con todos los requisitos aplicables conforme a la norma PCI DSS

Por otra parte, OVH puede ayudarle en la obtención de su conformidad con esta norma, gracias a un equipo de expertos y documentación de asesoría:

  • Modelo de distribución de responsabilidades PCI DSS
  • Requisitos específicos que precisan la responsabilidades de OVH
  • Modelo de informe de exigencias para la realización de las pruebas obligatorias de penetración en la red

Modelo de responsabilidades

Este modelo de responsabilidades describe la responsabilidad de OVH y de El Cliente con respecto a las exigencias de la norma PCI DSS con el fin de disminuir el esfuerzo que queda a su cargo para obtener la certificación. El análisis detallado ofrecido bajo demanda al contratar un servicio, le ofrece la información necesaria para poner en marcha su proceso de obtención de la certificación.

Creación y gestión de una red y un sistema seguros
Requisito #1: Instalar y gestionar una configuración de cortafuegos para proteger los datos del titular OVH es responsable de la red física
El Cliente es responsable de las funciones de redes virtuales en el centro de datos virtual
Requisito #2: No usar contraseñas del sistema u otros parámetros de seguridad establecidos por el proveedor OVH para los equipamientos de infraestructuras El Cliente es responsable de las máquinas virtuales y las aplicaciones
Protección de los datos del titular
Requisito #3: Proteger los datos almacenados del titular Responsabilidad exclusiva del cliente, asociada a la implementación de las soluciones de almacenamiento de datos
Requisito #4: Encriptar la transmisión de los datos del titular en las redes públicas abiertas Responsabilidad exclusiva del cliente, asociada a la implementación de las soluciones de almacenamiento de datos
Gestión de un programa de administración de vulnerabilidades
Requisito #5: Proteger todos los sistemas contra los programas maliciosos y actuaizar con regularidad los programas antivirus OVH es responsable de los equipamientos de infraestruturas
El Cliente es responsable de las máquinas virtuales y las aplicaciones
Requisito #6: Desarrollar y gestionar aplicaciones y sistemas seguros OVH es responsable de los equipamientos de infraestruturas
El Cliente es responsable de las máquinas virtuales y las aplicaciones
Implementación de medidas estrictas de control de acceso
Requisito #7: Restringir el acceso a los datos del titular, tomando como base la necesidad del funcionario de conocer la información OVH es responsable de los equipamientos de infraestruturas
El Cliente es responsable de las máquinas virtuales y las aplicaciones
Requisito #8: Identificar y autenticar el acceso a los componentes del sistema OVH es responsable de los equipamientos de infraestruturas
El Cliente es responsable de las máquinas virtuales y las aplicaciones
Requisito #9: Restringir el acceso físico a los datos del titular Responsabilidad exclusiva de OVH, asociada al alojamiento físico de la plataforma
Monitoreo y pruebas regulares de las redes
Requisito #10: Efectuar el monitoreo y supervisar todos los accesos a los recursos de red y a los datos del titular OVH es responsable de los equipamientos de infraestruturas
El Cliente es responsable de las máquinas virtuales y las aplicaciones
Requisito #11: Comprobar con regularidad el correcto funcionamiento de los procesos y los sistemas de seguridad OVH es responsable de los equipamientos de infraestruturas
El Cliente es responsable de las máquinas virtuales y las aplicaciones
Gestión de una política de seguridad de la información
Requisito #12: Mantener una política que contemple la seguridad de la información para todo el personal OVH es responsable de los equipamientos de infraestruturas
El Cliente es responsable de las máquinas virtuales y las aplicaciones

Hoja informativa de la infraestructura de pago de OVH

  • Proveedor de servicios de pago (PSP) Nivel 1
  • PCI DSS V3.2
  • QSA Provadys
  • Opción PCI DSS disponible en la infraestructura de pago de OVH. Posibilidad de mejora a partir de cualquier infraestructura SDDC
  • Perímetro: Dominios de responsabilidad de OVH (ver modelo de distribución de responsabilidades)

Visión esquemática

A continuación se muestran dos ejemplos de cadenas de alojamiento de servicios de pago electrónico, que ilustran las relaciones contractuales y el informe del aval de conformidad. Cada caso tiene sus particularidades y requiere de un análisis profundo, pero la mayoría de las situaciones se asemejan a uno de los modelos siguientes.

Usted es un comerciante o proveedor de servicios y tiene su plataforma alojada en una infraestructura OVH PCI DSS:

Usted es un proveedor de servicios de pago (PSP), tiene su sistema de información alojado en una infraestructura OVH PCI DSS y sus clientes son comerciantes.