Corrían los primeros años de la década de 2000 y los casos de fraude con tarjetas de pago (crédito y débito) iban en aumento en forma alarmante. En vistas de esto, en 2006 las empresas de tarjetas más importantes (VISA, Mastercard, American Express, Discover y JCB) crearon el PCI-SSC (Payment Card Industry - Security Standard Council), cuya piedra fundamental fue el estándar conocido como PCI-DSS (Payment Card Industry - Data Security Standard).

El estándar PCI-DSS actualmente va por la versión 3.1 (la última en español es aún la 3.0) y define los requerimientos mínimos de seguridad de los datos que debe cumplir cualquier organización que transmita, procese o almacene información de tarjetas de pago. Se entiende por información de tarjeta el número PAN completo (es el número de 16 dígitos que se encuentra al frente de la tarjeta), el nombre del tarjetahabiente, la fecha de expiración y el código de servicio (código de 3 o 4 dígitos que se encuentra en la banda magnética).

Pero para cerrar una transacción no es necesario contar con todos estos datos, con lo cual se suelen utilizar sólo algunos de ellos en simultáneo, dependiendo de la forma de validación. Adicionalmente, son considerados datos sensibles el código de seguridad (CVC o CVV), la información completa de la banda magnética (o el equivalente en las tarjetas chip) y los PINs, ya que estos datos son los que se utilizan como códigos de autenticación para autorizar las transacciones de pago.

¿Quiénes deben cumplir el estándar PCI-DSS?

En el mercado existe una creencia errónea en relación al cumplimiento de este estándar; se piensa que si la compañía es pequeña o realiza pocas ventas con tarjetas, no está en la obligación de cumplirlo. El consorcio PCI define claramente que no importa si la organización es grande o pequeña: independientemente de si vende productos o servicios, o si es una organización con o sin fines de lucro, mientras utilice este tipo de datos debe cumplir con el estándar. Hay información específica para pequeños comerciantes disponible.

Lo que sí cambiará dependiendo de la cantidad de transacciones anuales que la organización realice, es el modo en que su cumplimiento será auditado. Las compañías de tarjetas de pago han establecido cuatro niveles, cuyas definiciones varían levemente entre una y otra compañía. Pero en lo que todas coinciden es que aquellas organizaciones que procesen más de seis millones de transacciones anuales (Nivel 1 de la clasificación), deben ser auditadas por una empresa auditora habilitada por el consorcio PCI.

Estas empresas son conocidas como QSA (Qualified Security Assessors). Usualmente dentro del grupo de las empresas Nivel 1 encontramos supermercados, líneas aéreas, tiendas de retail y grandes tiendas de ventas online. Para conocer más precisiones sobre las definiciones de los distintos niveles, pueden visitar estos enlaces de VISA y de MASTERCARD con sus propias clasificaciones.

Sin embargo, la mayoría de las organizaciones, entre las cuales posiblemente se encuentre la suya, están alcanzadas por los Niveles 2, 3 y 4. La ventaja en estos casos es que éstas no son auditadas por un QSA, sino mediante un cuestionario de autoevaluación denominado SAC (Self-Assessment Questionaire). Este cuestionario contiene los 12 requerimientos y los subrequerimientos del estándar PCI para que la organización complete si cumple o no con cada uno de ellos.

De más está decir que debe responderse en función del nivel de cumplimiento real, ya que el SAC funciona como una Declaración Jurada de cara a las empresas de tarjetas de pago. Debe ser completado por la organización, firmado por el responsable de su cumplimiento y enviado a las empresas de tarjetas de pago. Este proceso suele hacerse anual o bi-anualmente dependiendo de la organización y del nivel al que pertenece.

Eventualmente las empresas de tarjetas pueden pedir evidencias de cumplimiento de los requerimientos, y en caso de que alguno de ellos no se cumpla, también pueden pedir que se proponga un plan para implementar la o las medidas de seguridad que le den cumplimiento. Incluso cuando por las características del negocio no es posible cumplir con un requerimiento PCI específico, es totalmente válido mitigar el riesgo asociado implementando controles compensatorios.

Un punto importante es que los requerimientos planteados en el estándar están alineados con otros Frameworks de Seguridad, como por ejemplo ISO 27001. Y al igual que en el caso de ISO 27001, el cumplimiento del estándar no depende solamente de las áreas de sistemas y tecnología, sino de toda la organización, especialmente de los máximos directivos. Las áreas de IT o sistemas tienen la responsabilidad de implementar y mantener las medidas o controles de seguridad.

Además, no dejan de ser en muchos casos, implementaciones tecnológicas del sentido común. Probablemente usted no dejaría anotado en un papel sobre un escritorio, los datos de las tarjetas de pago de sus clientes. Almacenar esos mismos datos en una aplicación o archivo excel sin el nivel de seguridad adecuado, es el equivalente tecnológico a dejar el papel en el escritorio.

Lo que vale la pena remarcar en estos casos es que las organizaciones no necesariamente deben incurrir en altos costos para cumplir con el estándar. No es mandatorio que las empresas contraten una consultora externa para dar cumplimiento al estándar, aunque a veces se gana en salud mental y al final termina siendo más rápido y económico. Con perseverancia, conocimiento de la organización, análisis y trabajo, la propia organización puede avanzar por su cuenta y cumplir con los requerimientos.

En próximos artículos trataremos algunas recomendaciones prácticas que faciliten a las pequeñas y medianas empresas cumplir con el estándar con el menor esfuerzo posible.

Héctor R. Jara (@JaraHector)
Director de Servicios Profesionales @ ENFINITY Panamá

Las opiniones expresadas en este artículo son de exclusiva responsabilidad del autor en carácter de invitado y no necesariamente representan la opinión de ESET.