Estándar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas | PwC Venezuela

8/7/2019 Estndar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas | PwC Venezuela

1/9

Agosto 2007Boletn Asesora Gerencial*Estndar de seguridad para PCI (Payment Card Industry):

una respuesta de seguridad para las transacciones con tarjetas

*connectedthinking

Componentes del

estndar PCITecnologas y

tcnicas

Qu organizaciones

deben cumplir con el

estndar PCI?

Introduccin CrditosConclusionesCundo cumplir con

el estndar PCI?


2/9

> Inicio > Imprimir > SalirEstndar de seguridad para PCI (Payment Card Industry):Una respuesta de seguridad para las transacciones con tarjetas

El entorno de negocios cambia de formaacelerada y las nuevas tecnologas influyen cadavez ms la gestin de las organizaciones y en lamanera de hacer negocios, por lo cual, elconcepto de Seguridad de la Informacin ha

incrementado su importancia en el mbito de lasorganizaciones, debido a la constante aparicinde vulnerabilidades.

En la bsqueda del equilibrio, es necesarioentonces procurar el uso de la tecnologa, perocon controles que permitan minimizar el riesgo defraude y robo de informacin. En este sentido, unade las mayores preocupaciones de los comerciosen lnea, es el fraude con tarjetas de crdito, ymuchas fuentes sealan que, slo en Estados

Unidos las Instituciones Financieras han perdidoalrededor 3.000 millones de dlares por fraudeselectrnicos con tarjetas de crdito y dbito. As,si revisamos los fraudes ms comunes asociadosa este rubro, encontramos la siguiente grfica:

Introduccin

Adicionalmente, al consultar la fuente www.gfi.comencontramos los siguientes casos:

- Un proveedor de servicios por Internet, informque un trabajador de su compaa pudo obtener

la informacin de 79.000 clientes que realizaronpagos con tarjetas de dbito y crdito (Enero de2007).

- Una importante empresa de ventas porcatlogos en Internet, denunci una intrusin noautorizada en el sistema electrnico deprocesamiento de tarjetas, en la que al menos45,6 millones de nmeros de tarjetas de crditoy dbito fueron posiblemente por hackers(Febrero de 2007).

Estas referencias nos conducen a resumir lasituacin actual como sigue:

- La banca en lnea y las ventas por medio delcomercio electrnico han incrementado losataques de hackers.

- Los datos de la banda magntica de las tarjetasfrecuentemente son copiados, lo que incluye unriesgo adicional.

Figura N 1. Fraudes ms comunes con tarjetas

Componentes del


tcnicas

Qu organizaciones


estndar PCI?

CrditosConclusionesCundo cumplir con

el estndar PCI?

Fuente: 8th Annual Online Fraud Report

Introduccin
http://print/http://close/http://prevpage/http://close/http://print/


3/9


- La informacin comprometida de lostarjetahabientes, perjudica la reputacin yprestigio de las compaas, en especial, a lasmarcas.

- Existe un Impacto en la confidencialidad de los

consumidores, y en consecuencia una baja en elconsumo.

PCI (Payment Card Industry) como respuesta aeventos con tarjetahabientes

Desde hace algunos aos, las Marcas, como seacostumbra a referir a las principales empresasresponsables de la concesin y gestin deservicio de pagos con tarjetas y operacioneselectrnica, han tenido normativas de seguridad a

ser cumplidas por sus asociados.

Sin embargo, debido a las prdidas por fraudesrealizados con tarjetas de crdito y el esfuerzoque representaba al sistema financiero cumplircon tal diversidad de normativas, fue necesario eldesarrollo de un enfoque unificado, por lo que sefund en Septiembre de 2006, el Consejo deNormas de Seguridad de la Industria de Mediosde Pago PCI Security Standards Council, paracoordinar y administrar acciones relativas a la

seguridad de la informacin relacionada a tarjetasde pago y sus titulares, as como para garantizarque la norma PCI Data Security Standard (PCI-DSS) permanezca en el tiempo, y se realicen lasadaptaciones producto de los cambios en la

tecnologa y nuevos escenarios de fraude.

Sus fundadores son: American Express, DiscoverFinancial Services, JCB International Credit Card,MasterCard Worldwide and Visa International; yentre sus principales objetivos estn:

- Mantener y actualizar el PCI-DSS.- Entrenar y certificar los QSAs (Qualified Security

Assesors).- Entrenar y certificar los ASVs (Approved Scannig

Vendors).

Qu es el estndar de seguridad PCI?

El PCI DSS (Payment Card Industry Data SecurityStandard) es un estndar de seguridad queincluye: requerimientos para el manejo de laseguridad, polticas, procedimientos, arquitecturaconfiable de red, diseo de software y otrasmedidas de proteccin. Este estndar aplica noslo a los bancos, sino tambin a compaas que

acepten pagos con tarjeta, desde tiendas en lnea(on-line ) a operadores mviles y a compaasintermediarias.

Este estndar de seguridad en el sector de

tarjetas de pago, se basa en lineamientos quefueron creados de forma independiente por cuatro(4) compaas, a saber:1. El programa de seguridad de informacin de

cuentas VISA (AIS, Account Information SecurityProgram) y el programa de seguridad deinformacin de titulares afiliados de tarjeta(CISP, Cardholder Information SecurityProgram);

2. El programa de proteccin de datos deMastercard (SDP, Site Data Protection);

3. La poltica operativa de seguridad de AmericanExpress (DSOP, Data Security OperativePolicies); y

4. El programa de cumplimiento normativo yseguridad de informacin de Discover (DISC,Data Security Guidelines).

Componentes del


tcnicas

Qu organizaciones


estndar PCI?


el estndar PCI?

Introduccin (cont.)

Introduccin


4/9


Introduccin (cont.)

Tecnologas y

tcnicas

Qu organizaciones


estndar PCI?


el estndar PCI?

El principio bsico de este estndar, es restringirel almacenamiento o acceso de informacin deautenticacin, la cual va desde el cdigo deverificacin, la informacin contenida en la bandamagntica, el nombre del tarjetahabiente, las

fechas de expiracin, entre otros. De igual forma,el alcance del estndar se extiende hacia todoslos componentes del ambiente de datos de losemisores y procesadores de transacciones depago con tarjetas, como por ejemplo: servidores,aplicaciones, dispositivo de red, etc.

Adicionalmente, es importante mencionar que:

- El estndar tambin incluye como anexo, lasconsideraciones para la aplicabilidad de las

Normas de Seguridad de Datos en la Industriade las Tarjetas de Pago (PCI-DSS) paraProveedores de Servicios de Hospedaje.

- PCI anunci recientemente (11 de Septiembrede 2007), la incorporacin de los requerimientosde seguridad para los Dispositivos de Entradade PINES (PED).

PCI establece un conjunto completo deestndares de seguridad mundiales para todoslos comerciantes y proveedores de serviciosrelacionados con el almacenamiento, latransmisin o el procesamiento de datos de

titulares de tarjetas de todos los serviciosprincipales correspondientes.Para certificar el cumplimiento oficial con elestndar PCI, se debe realizar una auditora quecompruebe que los estndares se cumplenadecuadamente. A sta le siguen auditoras decumplimiento con las normativas trimestrales yanuales, cuyos requisitos exactos dependern dela clasificacin del comerciante.

En resumen, respaldado por MasterCard, Visa,

American Express, Diners Club y JCB Cards, elestndar PCI cubre seis (6) diferentes aspectos yestablece doce (12) requerimientos relacionadoscon la administracin de la seguridad, polticas,procedimientos, arquitectura de redes, diseo desoftware y otras medidas de proteccin, que sedeben cumplir de manera continua, tal como semenciona a continuacin:

Componentes delestndar PCI

Construir y mantener una red segura

1. Instalar y mantener una configuracin defirewalls para proteccin de los datos,considerando aspectos como: segmentacin de

red, utilizacin de IP Masquerading (NAT), etc.

2. No utilizar los valores por omisin(configuraciones por defecto) para passwords yparmetros de seguridad.

Proteger la informacin de los titulares de lastarjetas

3. Proteger la informacin almacenada (y enparticular restringir el almacenamiento de

informacin sensible, como: Track1 / Track2,CVV2, PIN Block, entre otros).

4. Cifrar la informacin de los tarjetahabientes yotra informacin crtica cuando seantransmitidas mediante redes pblicas.

Componentes del

estndar PCIIntroduccin


5/9


Tecnologas y

tcnicas

Qu organizaciones


estndar PCI?


el estndar PCI?

Mantener un programa de gestin devulnerabilidades

5. Utilizar y actualizar regularmente softwareantivirus.

6. Desarrollar y mantener sistemas y aplicacionesseguras, aplicando las ltimas actualizacionesde seguridad e incorporando los estndares deseguridad de la informacin a lo largo del ciclode desarrollo de software.

Implementar medidas estrictas de control deacceso

7. Restringir el acceso a los datos en funcin de

requerimientos de negocio (business need-to-know).

8. Asignar un identificador nico de usuario acada persona que tenga acceso a equipo decomputacin o sistema, evitando el uso deidentificadores genricos.

9. Restringir el acceso fsico a la informacin de lostitulares de las tarjetas, asegurando fsicamentelos medios de informacin, almacenando los

backups de manera segura e implantando unapoltica de destruccin de medios.

Vigilar y evaluar regularmente las redes

10. Registrar y realizar el monitoreo de todos losaccesos a recursos de la red y a la informacinde los titulares de las tarjetas, para lo cual se

hace necesario la activacin de logs deauditora, as como su revisin.

11. Evaluar regularmente los sistemas y procesosde seguridad, considerando la ejecucin deperidica de un diagnstico de vulnerabilidades,evaluacin de controles y acceso a la red,pruebas de intrusin anuales, entre otros.

Mantener una Poltica de Seguridad de laInformacin

12. Mantener una poltica que atiendaespecficamente la seguridad de la informacin,implementando un programa formal deconcientizacin.

Componentes delestndar PCI (cont.)

Componentes del

estndar PCI


6/9


Componentes del

estndar PCI

Qu organizaciones


estndar PCI?


el estndar PCI?

Las siguientes estrategias son aplicables alcumplimiento del estndar PCI. A continuacin unresumen de las recomendaciones que comprendeel estndar:

- Confidencialidad y autenticacin:

Este es el objetivo central del estndar PCI:proteger la informacin de las tarjetas de crditode los consumidores. Desafortunadamente, losdesarrolladores no tienen control total y globalsobre el proceso de operacin de tarjetas decrdito.En un mundo ideal, los datos de las tarjetas decrdito se podran intercambiar directamenteentre la compaa de la tarjeta de crdito y la

persona, pero la realidad es otra: los datos delas tarjetas de crdito a menudo pasan porvarios agentes intermediarios, algunos de loscuales los consumidores desconocen, pero seven obligados a confiar de forma implcita. Lamejor solucin que se puede implementar desdela perspectiva de una sola organizacin, es la deasegurar que los datos se hayan cifradocorrectamente y que slo los sistemas o losagentes autorizados puedan tener acceso a lainformacin.

Tecnologas y tcnicas

- Registro y auditora:

Este es el segundo aspecto ms importante encuanto a cumplimiento del estndar PCI. Losdesarrolladores deben asegurarse que su

cdigo proporcione las facilidades para registrartodas las transacciones y eventos asociados alas cuentas de los tarjetahabientes.

Desafortunadamente, es difcil para loscomerciantes determinar proactivamente casosde fraude de tarjetas de crdito, ya que nodisponen de un banco con informacincentralizada de patrones de consumo, queindique qu pautas de uso son irregulares enuna cuenta dada. Desde la perspectiva de PCI,

es importante garantizar que las transaccionesrealizadas con las tarjetas, queden registradas,por lo cual, las aplicaciones desarrolladasinternamente debern cumplir con esta premisaa fin de poder suministrar la informacin cuandosea requerida.

Segn Gartner: la proteccin de datos de clienteses mucho menos costosa que la reparacin deuna brecha de seguridad en la que los registrosquedan expuestos y son mal utilizadospotencialmente. Los requisitos de cumplimiento

de Payment Card Industry (PCI) brindan a lasempresas una buena justificacin paraincrementar la proteccin de los datos.

Tecnologas y

tcnicas


7/9


El cumplimiento del estndar PCI es una ventaja,ya que mejora el soporte de interoperabilidad,adems de proveer al usuario un entorno confiableen cuanto a sus transacciones, bien sea de dbitoo crdito. Cumplir con esta normativa asegurar

que los datos de usuario no queden atrapados enformatos electrnicos.

Ahora bien, el estndar PCI aplica a todaorganizacin que procese informacin de tarjetasde crdito o dbito, incluyendo comercios yproveedores de servicio que almacenen, proceseno transmitan datos de tarjetas de crdito/dbito. Esimportante mencionar, que si una organizacinest catalogada en algunas de las actividadesdescritas anteriormente, PCI es un requisito, tal

como lo establece el PCI Security StandardsCouncil: los requisitos establecidos en los Normasde Seguridad de Datos de Tarjetas de Pago (PCI-DSS) son aplicables slo si se guarda, procesa otransmite un nmero de cuenta primario (PAN,Primary Account Number). Si este nmero decuenta primario no se guarda, procesa o transmite,no se aplican estos requisitos.

Sin embargo, es importante mencionar que el PCISecurity Standards Council no reemplazar los

Qu organizaciones deben cumplircon el estndar PCI?

programas de cumplimientos de las marcasindividuales que lo conforman: las marcasparticipantes de manera individual, determinarnque compaas deben cumplir no tan slo con loestablecido en PCI, sino tambin con el programa

de seguridad establecido en cada marca. De igualforma, cada marca establecer las sanciones(suspensin o revocacin de privilegios paraprocesar transacciones) o multas a ser canceladaspor una compaa que no est en cumplimiento.

Por ejemplo, para el 30 de Septiembre de 2007,VISA ha establecido multas de hasta $25.000 paralos comercios que no cumplan con el estndar.Ahora bien, para la aplicabilidad del estndar PCI,los comerciantes se categorizan en niveles

diferentes segn su volumen promedio anual detransacciones de tarjeta de crdito, y esto se debeal intento de conciliar las dificultades asociadas a lanecesidad de equilibrar la seguridad con la cargaprctica. Cuantas ms transacciones procese unaorganizacin, ms importante ser que cumpla conlos estndares PCI para atender riesgos mssignificativos.

En la siguiente figura se muestra los requerimientosde validacin, segn la categora de los comercios.

qRetorno

Para ampliar la imagen, haga click sobre el cuadro6

Componentes del


tcnicasIntroduccin CrditosConclusiones

Cundo cumplir con

el estndar PCI?

Como dato curioso, y tomando las estadsticas deVISA, slo el 18% de los comercios Nivel 1estaban para el ao 2006 en cumplimiento con elestndar, a diferencia del ao 2007, que hanobtenido un 35%. Otro 51% de los comercios,reportado que cumplen con el estndar, pero un

93% han certificado que no almacenan PIN,nmeros de verificacin de las tarjetas u otrainformacin de la tarjeta de crdito.Ahora bien, es importante mencionar, que noporque una organizacin est cumplimientoactualmente con el estndar PCI-DSS, significaque sta continuar siendo certificada de maneraindefinida, debido a los cambios en el entorno,nuevas tecnologas y nuevas vulnerabilidades. Engeneral, el cumplimiento 100% del estndar no esslo para un momento especfico.

Figura N 2 Requerimientos de validacin vs. categora de loscomercios

Qu organizaciones


estndar PCI?


8/9


Cundo cumplir con el estndarPCI?

En trminos generales, se estima que para finalesde 2007, las organizaciones que acepten

transacciones de tarjetas de crdito o dbito

deben estar en cumplimientos con el estndar. Sin

embargo, se han establecido las siguientes fechas

importantes:

31 de Marzo 2007:

Comerciantes con Nivel 1 y 2 deben demostrarcmo almacenan los datos de los

tarjetahabientes.

30 de Septiembre de 2007:Todos los comerciantes de Nivel 1 deben

cumplir completamente con PCI DSS

31 de Diciembre de 2007:Todos los comerciantes de Nivel 2 deben

cumplir completamente con PCI DSS

Para lograr determinar una evaluacin adecuadacon respecto a los controles en tecnologas de

informacin y en particular lo relacionado a la

seguridad, de manera sustancial, los auditores

debern tomar el liderazgo en estos esfuerzos, ya

que se enfrentan cotidianamente a la necesidadde validar y sustentar sus opiniones acerca de los

controles internos que garantizan razonablemente

la confiabilidad de la informacin que se genera ypor ende el cumplimiento de sus metas y

objetivos.

En resumen, el estndar PCI brinda lasherramientas y medidas necesarias para ayudar

en el desarrollo de una cultura internacional de

seguridad entre los comerciantes, propiciando as

el auge sostenido del comercio electrnico;asimismo, implementando los mecanismos

adecuados que minimizan los riesgos, las

transacciones electrnicas con tarjetas de crdito/

dbito pueden convertirse en operacionescotidianas, que generen confianza en los clientes.

Componentes del


tcnicas

Qu organizaciones


estndar PCI?

Introduccin Crditos

Conclusiones

Cundo cumplir con

el estndar PCI?Conclusiones


9/9


El Boletn Asesora Gerencial es publicadomensualmente por la Lnea de Servicios deAsesora Gerencial (Advisory) de Espieira,Sheldon y Asociados, Firma miembro dePricewaterhouseCoopers.

El presente boletn es de carcter informativo y noexpresa opinin de la Firma. Si bien se hantomado todas las precauciones del caso en lapreparacin de este material, Espieira, Sheldon yAsociados no asume ninguna responsabilidad porerrores u omisiones; tampoco asume ningunaresponsabilidad por daos y perjuicios resultantesdel uso de la informacin contenida en el presentedocumento. *connectedthinking es una marcaregistrada de PricewaterhouseCoopers. Todas las

otras marcas mencionadas son propiedad de susrespectivos dueos. PricewaterhouseCoopersniega cualquier derecho sobre estas marcas

Editado por Espieira, Sheldon y AsociadosDepsito Legal pp 1999-03CS141Telfono master: (58-212) 700 6666

Si est interesado en recibir en su correoelectrnico este Boletn, por favor envenos sudireccin de e-mail a:

[email protected]

2007. Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopersse refiere a la firma venezolana Espieira, Sheldon y Asociados, o segn el contexto, a la red de firmasmiembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad

legal separada e independiente. RIF: J-00029997-3

Boletn Asesora Gerencial

Componentes del


tcnicas

Qu organizaciones


estndar PCI?

Introduccin ConclusionesCundo cumplir con

el estndar PCI?Crditos

Documents

Estándar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas | PwC Venezuela