PCI Handbook

eguridad de la informacin
Gua de cumplimiento de PCI
Seguridad de la informacin
from hidden threats
Contenido
PCI DSS 2.0 ............ 2
Los 12 requisitos PCI
DSS ........................ 3
Cambios en la poltica
de cumplimiento de
Visa PCI .................. 4
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
La gestin de
contraseas afecta la
conformidad PCI DSS?
12
El Estndar de Datos de Seguridad de la Industria de las

Tarjetas de Pago (PCI DSS) se actualiz por ltima vez en
octubre 28 de 2010. Desde entonces hemos visto algunos
cambios, incluyendo la poltica de cumplimiento por parte de
VISA hasta la fuerte adopcin de nuevas tecnologas como
los pagos mviles. Qu significan exactamente estos
cambios para el cumplimiento regulatorio?
En esta gua esencial de PCI usted puede entender desde lo
ms bsico de PCI hasta los detalles, nuevas tecnologas y
consejos para usar las mejores prcticas en la
implementacin de PCI 2.0.
PCI DSS 2.0
Artculo por: Maggie Sullivan
PCI DSS 2.0 (Estndar de Seguridad de Datos para la Industria de Tarjetas
de Pago, versin 2.0) es la segunda versin del Estndar de Seguridad de
La transparencia en la
nube sigue siendo
problema para el
cumplimiento del PCI
DSS13
Datos para la Industria de Tarjetas de Pago (PCI DSS). El PCI DSS fue
lanzado por primera vez el 26 de octubre de 2010. La tercera revisin est
prevista para 2014.
De acuerdo con el Consejo de Normas de Seguridad de la Industria de
Tarjetas de Pago (PCI), la versin 2.0 no introduce cambios importantes en
los 12 requisitos. Se introdujeron algunos ajustes lingsticos menores para
aclarar el significado de los requisitos. La versin 2.0 refuerza la necesidad
de un profundo alcance antes de una evaluacin y promueve una gestin de
registro ms eficaz. Tambin ampla los requisitos de validacin para la
evaluacin de vulnerabilidades en un entorno comercial. Como resultado, los
comerciantes pueden ahora utilizar las mejores prcticas de la industria para
priorizar las vulnerabilidades.
Pgina 2 de 18
from hidden threats
Los 12 requisitos PCI DSS

Artculo por: Maggie Sullivan
Contenido
Los 12 requisitos PCI DSS son un conjunto de controles de seguridad que
PCI DSS 2.0 ............ 2
las empresas estn obligadas a implementar para proteger los datos de las

DSS ........................ 3
Industria de Tarjetas de Pago (PCI DSS). Los requisitos han sido
de cumplimiento de
Visa PCI .................. 4
Industria de Tarjetas de Pago (PCI).
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
dbito y crdito, deber cumplir con los 12 requisitos de forma directa o bien
La gestin de
12
multas o en la finalizacin de los privilegios de procesamiento de tarjetas de
nube sigue siendo
problema para el
DSS13
tarjetas de crdito y cumplir con el Estndar de Seguridad de Datos para la

desarrollados y mantenidos por el Consejo de Normas de Seguridad de la
Cualquier organizacin que reciba tarjetas de pago, incluyendo tarjetas de

a travs de un control de compensacin. No obstante, los controles de
compensacin no siempre se admiten y deben ser aprobados bajo un criterio
de caso por caso, por parte de un asesor de seguridad cualificado de la PCI
(QSA PCI). El incumplimiento de los 12 requisitos PCI DSS puede derivar en
crdito.
He aqu los 12 requisitos PCI DSS:
1. Instalar y mantener una configuracin de firewall para proteger los datos
de los titulares de tarjetas.
2. No utilizar los valores predeterminados suministrados por el proveedor
para las contraseas del sistema y otros parmetros de seguridad.
3. Proteger los datos almacenados de los titulares de tarjetas.
4. Cifrar la transmisin de los datos de los titulares de tarjetas a travs de
redes pblicas abiertas.
5. Usar y actualizar con regularidad el software antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguras.
Pgina 3 de 18
from hidden threats
7. Limitar el acceso a los datos de los titulares, nicamente a lo que los

negocios necesiten saber.
Contenido
8. Asignar una identificacin nica a cada persona con acceso a una
PCI DSS 2.0 ............ 2
computadora.

DSS ........................ 3
9. Restringir el acceso fsico a los datos de los titulares de tarjetas.
de cumplimiento de
Visa PCI .................. 4
10. Rastrear y monitorear todo acceso a los recursos de la red y a los datos
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
11. Probar con regularidad los sistemas y procesos de seguridad.
La gestin de
12
nube sigue siendo
problema para el
DSS13
de titulares de tarjetas.
12. Mantener una poltica que aborde la seguridad de la informacin.
Cambios en la poltica de cumplimiento de Visa PCI: El

Final de las evaluaciones PCI?
Artculo por: Mike Chapple
No hace mucho que Visa Inc. ha cambiado su poltica de evaluacin de
cumplimiento para el estndar de seguridad de pagos de la industria de
tarjetas de crdito (PCI DSS).
Existen numerosos movimientos relacionados que pueden limitar el nmero
de empresas necesarias para cumplir esta evaluacin y que puede reducir el
tiempo necesario para cumplir con sus requisitos.
En concreto, VISA ha decidido cambiar los criterios de sus clientes,
incluyendo la necesidad de procesar el 75% de sus operaciones mediante
terminales dotadas de chip y PIN, que ya no es un aspecto de esa
evaluacin PCI. Por desgracia no todos los comerciantes estn al tanto del
cambio y muy pocos entienden lo que supone para ellos. En este consejo no
solo explicamos los cambios y sus implicaciones sino que tambin vemos
las posibilidades con las que las empresas pueden hacer mucho ms
sencillo el cumplimiento de la PCI.
Pgina 4 de 18
from hidden threats
El fin de la evaluacin PCI?
Contenido
La muerte de la evaluacin PCI DSS seguramente sea una buena noticia

para muchos profesionales que sentan por este tipo de evaluacin el mismo
PCI DSS 2.0 ............ 2
entusiasmo que ante una visita al dentista o a un inspector de Hacienda.

DSS ........................ 3
datos sensibles, como los nmeros de tarjeta de crdito, tambin solemos
de cumplimiento de
Visa PCI .................. 4
Para quienes no estn al tanto de los PCI DSS, los comerciantes
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
efecta a travs de su banco con todos los requisitos necesarios. Sin
La gestin de
12
Con el cambio en las polticas de VISA, podemos ver el fin inminente de
nube sigue siendo
problema para el
DSS13
comercio seguramente sigan siendo una parte integral del programa en los
Aunque todos apreciamos el celo por una seguridad estricta respecto de los
agotarnos ante los interminables cuestionarios de autoevaluacin (SAQS).
normalmente tienen que rellenar un SAQ como parte del proceso de
validacin y evaluacin. Para muchos comerciantes, este SAQ se enva y
embargo, los comerciantes ms grandes deben realizar una evaluacin en el
comercio con un asesor de seguridad PCI cualificado y usar el SAQ para
preparar esa visita.
esa evaluacin PCI? Veremos los detalles sobre los cambios realizados por
Visa, pero lo que s debe quedar claro es que el programa PCI DSS
desaparecer tarde o temprano, aunque las evaluaciones SAQs en el
prximos aos. Dicho esto, hay numerosos movimientos relacionados que
pueden provocar que los comerciantes no tengan que rellenar ms
autoevaluaciones al uso y que reducirn el tiempo empleado por aquellos
que aun tengan que seguir rellenando esos formularios.
Definiendo claramente el entorno del titular de la tarjeta
El primero de los factores sobre el que las empresas de tarjetas de crdito
se han esforzado notablemente es el de reducir el mbito de sus
operaciones con tarjeta de crdito. Cuando apareci el primer PCI DSS all
por 2004, muchos de nosotros protestamos por el tipo de lenguaje incluido
en mbito de cumplimiento que inclua cualquier componente de red,
servidor o aplicacin que estuviera conectada con el entorno del titular de la
tarjeta. Despus de mucho llanto y crujir de dientes por fin pudimos saber
exactamente a qu se referan con eso de conectar con el entorno del titular
de la tarjeta.
Pgina 5 de 18
from hidden threats
Durante los ltimos aos la industria ha pasado de interpretar el idioma
Contenido
como un requisito intimidatorio para incluir prcticamente cualquier aspecto

de la computacin empresarial dentro de los esfuerzos del cumplimiento de
PCI DSS 2.0 ............ 2
la PCI a ser una oportunidad para crear y gestionar sistemas de pago mucho

DSS ........................ 3
empresas ahora segmentan a sus clientes, dejando a un lado a aquellos
de cumplimiento de
Visa PCI .................. 4
de la empresa y limitando el acceso a estos sistemas al personal que
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
Esto ha permitido reducir el mbito de numerosas evaluaciones PCI DSS a
La gestin de
12
Proceso externo de pagos
nube sigue siendo
problema para el
DSS13
proceso. Al elegir un proveedor de servicio certificado para todo el proceso
ms seguros. Para hacer las evaluaciones PCI menos dolorosas, muchas

sistemas que acceden a los datos de la tarjeta de crdito del resto de la red
necesite de acceso expreso a esta informacin sensible.
un nmero concreto de sistemas bien definidos. No es algo que reduzca el

nmero de preguntas que la empresa debe responder pero s limita
notablemente los sistemas que quedan obligados a responder a las mismas.
Una de las formas ms sencillas de reducir dramticamente el alcance de la

PCI es mediante la externalizacin no solo de los principales componentes
de la infraestructura del procesado de tarjetas de crdito, sino de todo el
de gestin de tarjetas de crdito, puede externalizarse el alcance de la
prueba. En algunos casos es posible eliminar por completo los datos
relativos a las tarjetas del entorno, siempre que aseguremos que nunca
vamos a encontrar en el sistema nmeros de tarjeta sin encriptar.
Cuando elegimos un socio para procesar las tarjetas de crdito, debemos
considerar solo aquellos proveedores certificados como PCI DSS y controlar
su estado de manera que garanticen el cumplimiento de la poltica durante
todo el contrato. Visa ofrece un registro global de proveedores de servicio
PCI DSS certificado; cualquier socio potencial debe figurar en esta lista.
La externalizacin del procesado de tarjetas es una forma de extraer los
datos de tarjeta de crdito de los sistemas empresariales y de reducir el
nmero de respuestas a rellenar durante el proceso de cumplimiento PCI
DSS. EL punto de partida de esta evaluacin es un cuestionario completo --
Pgina 6 de 18
from hidden threats
SAQ D que contiene, nada menos, 49 pginas de preguntas. Sin embargo,

la empresa puede reducir la dimensin del cuestionario si:
Contenido
PCI DSS 2.0 ............ 2
No almacena datos de las tarjetas. En este caso el cuestionario

pasa a ser el SAQ C, de solo 26 pginas.
Se traslada a un entorno virtual donde el procesamiento de tarjetas

DSS ........................ 3
de crdito usa una interfaz web que cumple con las obligaciones del
de cumplimiento de
Visa PCI .................. 4
el SAQ C-VT.
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
proveedor del servicio. En este caso el formulario es de 23 pginas,

-
Usa solo equipos imprint o sistemas sencillos de marcado remoto.

Con este planteamiento el comerciante pasa al formulario SAQ B y
solo necesita un formulario de 20 pginas.
Alcanza el autntico nirvana del PCI DSS y externaliza por completo

todo el proceso. No todos pueden hacerlo, pero quienes lo logran
disfrutan del formulario SAQ A de 15 pginas.
La gestin de
12
Externalizar la gestin de tarjetas de crdito fuera de los sistemas de TI y
nube sigue siendo
problema para el
DSS13
posible reducir notablemente el tiempo empleado en la evaluacin de
sus componentes puede reducir dramticamente el tiempo y esfuerzo

necesario para cumplimentar el SAQ: cuando se combinan tales esfuerzos
para limitar el alcance de los sistemas que deben ser conformes a la PCI es
rendimiento.
Usando terminales EMV
Aunque es difcil, es posible eliminar todas las responsabilidades de
evaluacin PCI DSS. Tanto Visa como Master Card han publicado guas que
permiten a los comerciantes utilizar la tecnologa de PINC y Chip de
Europay, MasterCard y Visa (EMV) para eliminar por completo la necesidad
de evaluaciones. Es la forma de estas empresas de fomentar la adopcin de
estas nuevas tecnologas inteligentes de pago.
Las empresas que cumplan los siguientes criterios pueden solicitar la
exencin de las evaluaciones PCI DSS:
Pgina 7 de 18
from hidden threats
El 75% de sus operaciones se realizan mediante terminales de chip

y PIN (aunque no se requiere un porcentaje equivalente de
Contenido
operaciones realizadas usando chip y PIN).

-
Los comerciantes no deben almacenar informacin sensible.
PCI DSS 2.0 ............ 2
Los comerciantes deben segmentar los procesos mediante tarjeta

DSS ........................ 3
de cumplimiento de
Visa PCI .................. 4
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
La gestin de
12
nube sigue siendo
problema para el
DSS13
presente y ausente.
Los comerciantes no deben haber tenido incidencias de pagos
durante el ltimo ao.
Los comerciantes deben haber realizado su evaluacin PCI en el
ao anterior.
Es importante destacar que aunque una empresa no cumpla con todos los
requisitos de la evaluacin todava es posible cumplir con los requisitos del
programa PCI DSS. Por otro lado, aunque Visa y Master Card han acordado
poner en marcha este programa en 2012, American Express no empieza a
ofrecer el programa hasta octubre de 2013.
Adems, se ven buenas nuevas en el horizonte. A medida que los
comerciantes se sienten ms cmodos con los requisitos PIC DSS y con el
mbito de su entorno, la comunidad PCI est empezando a adoptar
planteamientos basados en riesgos que permiten a los comerciantes no
verse implicados en actividades de alto riesgo. Por eso est previsto ver ms
cambios en estos aspectos en el futuro.
Combine el procesamiento de pagos mviles y cumpla la

normativa PCI
Las pequeas empresas alrededor del mundo estn aceptando tarjetas de
crdito debido a las nuevas tecnologas que permiten la aceptacin de las
mismas a travs de telfonos inteligentes y tabletas.
Nuevos proveedores, como Square Inc. y Sail, de VeriFone Inc.,
proporcionan pequeas llaves de hardware que se conectan directamente a
los dispositivos mviles y proporcionan un procesamiento barato y sencillo
de pagos con tarjeta de crdito. Si todava no ha visto uno de estos
Pgina 8 de 18
from hidden threats
dispositivos en un taxi, en una pequea tienda o con un comerciante de

acera, no pasar mucho tiempo hasta que note la nueva tecnologa en uso.
Contenido
Sin embargo, aunque esta tecnologa sea algo tan fascinante y
PCI DSS 2.0 ............ 2
revolucionario, existen algunas ramificaciones que debemos considerar.

DSS ........................ 3
regulatorio? Eso es lo que vamos a cubrir en este artculo.
de cumplimiento de
Visa PCI .................. 4
PCI sigue siendo vigente; P2PE hace ms sencillo el cumplimiento
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
tarjeta de crdito, independientemente de la tecnologa utilizada, debe
La gestin de
12
nube sigue siendo
problema para el
DSS13
Qu significa exactamente el uso de esta tecnologa para el cumplimiento
En primer lugar, el Payment Card Industry Data Security Standard (PCI

DSS) todava se aplica en estas situaciones. Cualquiera que acepte una
cumplir con el PCI DSS. Aunque la probabilidad de que los puestos
callejeros de perritos calientes estn sujetos a una inspeccin de PCI DSS
es bastante baja, los bancos comerciales solicitarn anualmente la
validacin del cumplimiento de PCI DSS.
Lo ms importante que pueden hacer los comerciantes que estn
considerando el uso de sistemas de procesamiento de pagos mviles es
asegurarse de que utilizan un escner de tarjetas que est certificado por el
PCI Security Standards Council (SSC), conforme con su cifrado punto-apunto (P2PE) estndar. Los dispositivos que utilizan P2PE deben
asegurarse de que el telfono inteligente nunca vea la informacin sensible
de la tarjeta de crdito sin cifrarla, lo que hara que el dispositivo no
cumpliese el PCI DSS.
Esto es un gran problema, de lo contrario tratar que los telfonos inteligentes
cumplan con el PCI DSS dentro del alcance del sistema de procesamiento
de pagos sera muy difcil. El Payment Card Industry Security Standards
Council (PCI SSC) public un conjunto de requisitos para P2PE, pero an no
ha publicado una lista de productos o fabricantes P2PE validados.
Visite su sitio web para encontrar esa lista en los prximos meses. Algunos
podran considerar posponer el lanzamiento de esta tecnologa hasta que la
lista se haga pblica. De lo contrario, existe un pequeo riesgo de que el
Pgina 9 de 18
from hidden threats
equipo tenga que ser reemplazado si el producto inicialmente elegido no es

validado con xito.
Contenido
Con P2PE, el lector de tarjetas en s mismo utiliza tecnologa de cifrado para
PCI DSS 2.0 ............ 2
proteger los detalles de una transaccin con tarjeta de crdito. El nmero de

DSS ........................ 3
cifrado que no puede ser ledo sin la clave secreta. El lector entonces utiliza
de cumplimiento de
Visa PCI .................. 4
la transaccin de tarjeta de crdito, el cual posee la clave de descifrado.
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
entre el lector de tarjetas y el procesador de transacciones tienen acceso a
La gestin de
12
Los comerciantes que utilizan dispositivos de cifrado P2PE homologados se
nube sigue siendo
problema para el
DSS13
tarjeta y otro tipo de informacin sensible se transforman en un mensaje

el telfono inteligente para transmitir este mensaje cifrado al procesador de
La belleza de este enfoque es que ninguno de los puntos de transaccin

la informacin sensible y, por lo tanto, no estn sujetos a los rigurosos
procedimientos de cumplimiento exigidos por la norma PCI DSS.
Proceso simplificado de validacin
alivian de una carga significativa de exigencias de PCI DSS. El Consejo PCI
reconoce esto y permite a los comerciantes utilizar un proceso de validacin
de cumplimiento simplificado si renen cuatro requisitos:
1. El comerciante est utilizando un producto P2PE en la lista, que ser
publicada prximamente, de productos P2PE validados por PCI SSC.
2. El comerciante no almacena, procesa o transmite ninguna informacin del
titular en ningn sistema aparte del producto P2PE validado.
3. El comerciante no almacena datos de titulares de tarjetas en formato
electrnico, incluyendo datos de titulares provenientes de sistemas de pago
anteriores.
4. El comerciante ha obtenido una copia del manual de instrucciones P2PE
PCI SSC (proporcionado por el proveedor) para su producto P2PE
especfico y conoce todos los requisitos descritos en este manual.
Pgina 10 de 18
from hidden threats
Los comerciantes que cumplan con estos cuatro requisitos son elegibles
para rellenar el Cuestionario de autoevaluacin P2PE-HW (SAQ) abreviado.
Contenido
PCI DSS 2.0 ............ 2
En resumen, esta versin de la SAQ slo hace preguntas sobre:

El contenido de las polticas comerciales y los procedimientos relacionados
con la retencin de datos del titular, respuestas a incidentes, eliminacin y

DSS ........................ 3
almacenamiento seguros de los datos de los tarjetahabientes.
de cumplimiento de
Visa PCI .................. 4
Aplicacin y revisin de las polticas y procedimientos de la organizacin.
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
("cdigo de seguridad" de tres o cuatro dgitos en el reverso de la tarjeta).
La gestin de
12
nube sigue siendo
problema para el
DSS13
Uso y almacenamiento de cdigos/valores de verificacin de tarjeta
Enmascaramiento de nmeros de tarjetas de crdito cuando se muestran

en papel.
Prohibir la transmisin de nmeros de tarjetas a travs del correo
electrnico, de mensajera instantnea y de tecnologa de chat.
Asegurar el soporte fsico que contenga informacin de los
tarjetahabientes.
Entrenamiento del personal sobre concienciacin de seguridad.
Uso de proveedores de servicios.
Planificacin de respuestas a incidentes.
Las siete pginas de preguntas en este SAQ son un alivio en comparacin
con los largos cuestionarios requeridos para los sistemas ms complejos de
procesamiento de informacin de tarjetahabientes.
Conclusin
Los pequeos comerciantes que pueden satisfacer sus necesidades de
negocio con los sistemas de pago mviles, encontrarn que su carga de
Pgina 11 de 18
from hidden threats
cumplimiento de exigencias puede reducirse significativamente si utilizan un

producto P2PE vlido de procesamiento de tarjetas de crdito.
Contenido
Mediante la eliminacin de los datos de la tarjeta del entorno del
PCI DSS 2.0 ............ 2
comerciante, los productos P2PE proporcionan a los clientes un alto grado

DSS ........................ 3
sea la fuente de una brecha de la seguridad de la informacin.
de cumplimiento de
Visa PCI .................. 4
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
La gestin de
12
nube sigue siendo
problema para el
DSS13
de seguridad y reducen dramticamente el riesgo de que un comerciante
La gestin de contraseas afecta la conformidad PCI DSS?

En trminos generales el Estndar de Seguridad de Datos para el Sector de
Pagos con Tarjeta (PCI DSS) es el nico criterio fundamental que establece
requisitos claros sobre seguridad de contraseas. Estos requisitos se
encuentran en el apartado 8 de esa PCI DSS. Las mejores prcticas de
seguridad para gestin de contraseas que indica establecen las siguientes
recomendaciones:
-
Se prohbe el uso de contraseas de grupo, genricas o

compartidas. Algo que no debera sorprender a nadie, ya que es una
prctica estndar en cualquier sector. Las contraseas compartidas
desactivan la seguridad de las contraseas y la individualidad de las
cuentas.
Las contraseas deben cambiarse cada 90 das como mnimo. Una

de las cuestiones ms conflictivas de la PCI DSS por las molestias
que genera a los usuarios. En muchas empresas que no deben
cumplir estos requisitos las contraseas se cambian cada ao o
cada semestre. LA PCI DSS es mucho ms estricta.
Las contraseas deben ser de al menos siete caracteres, con

nmeros y letras. Otra prctica de seguridad estndar presente en
todas las empresas. No es necesario usar caracteres especiales o
signos de puntuacin.
Los usuarios no deben volver a usar ninguna de las cuatro ltimas

contraseas. Este requisito establece la prohibicin de reciclar
contraseas usadas durante el ltimo ao.
Pgina 12 de 18
from hidden threats
Si est sujeto a las prcticas de PCI DSS entonces todo esto no debe ser
nuevo para usted. Los fallos en el cumplimiento de estas reglas le
Contenido
PCI DSS 2.0 ............ 2
DSS ........................ 3
de cumplimiento de
Visa PCI .................. 4
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
La gestin de
12
nube sigue siendo
problema para el
DSS13
perjudicarn en su prxima auditoria. Y si est trabajando en el cumplimiento

de otro estndar diferente que no le ofrezca una orientacin concreta,
tambin es un excelente juego de recursos para conocer las mejores
prcticas usadas en la empresa actual.
La transparencia en la nube sigue siendo problema para el

cumplimiento del PCI DSS, segn expertos
Artculo por: Robert Westervelt
La transparencia en la nube sigue siendo el mayor problema a la hora de
adoptar servicios basados en la nube, segn informa un experto, que afirma
que mantener el cumplimiento de PCI en la nube es posible, pero que los
comerciantes todava deben levantar un muro a la hora de obtener visibilidad
entre los sistemas y procesos en la nube.
"Se ha hablado mucho sobre la transparencia, pero realmente no se han
visto muchos cambios prcticos, afirma Diana Kelley, Socia de la consultora
Security Curve de Amherst, New Hampshire.
Asistimos a una asuncin lenta de los servicios basados en la nube. Los
comerciantes que estn moviendo sus sistemas de pago a la nube, o lo
estn considerando, estn esperando la orientacin del PCI Security
Standards Council (PCI SSC) para asegurarse de que cumplen con las
normas PCI durante y despus de la transicin. Segn Kelley se ha logrado
cierto progreso. La Alianza de Seguridad en la Nube (CSA), una entidad no
lucrativa, est liderando un movimiento para estandarizar la transparencia
de las prcticas de seguridad de los proveedores en la nube.
Sin embargo, los proveedores de pagos en la nube siguen obligando a sus
clientes a firmar contratos donde la responsabilidad ltima de los datos de
las tarjetas de crdito recae en el comerciante. Sin embargo no proporcionan
la visibilidad y documentacin necesaria para mantener ese cumplimiento.
Pgina 13 de 18
from hidden threats
Muchos servicios basados en la nube se niegan a ser auditados, segn

Kelley. Las grandes empresas s pueden forzar a su proveedor en la nube
Contenido
PCI DSS 2.0 ............ 2
para que acepte una auditora, pero las pequeas empresas no. Si no eres
lo suficientemente grande para ellos, no les importa dejarte ir, afirma Kelley.
La orientacin en cumplimientos PCI est copando el gasto en

DSS ........................ 3
tecnologa, segn la experta
de cumplimiento de
Visa PCI .................. 4
empresas ya estn trabajando en las iniciativas de cumplimiento, segn
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
En una entrevista concedida a SearchSecurity.com, Kelley explica cmo las
La gestin de
12
tarjetas de sus sistemas.
nube sigue siendo
problema para el
DSS13
cumplimiento de las PCI?
Aunque no se prevn actualizaciones de PCI DSS hasta finales de 2012, las

Diana Kelley de Security Curve.
empresas estn usando los ltimos documentos de cumplimiento PCI y por

qu el uso de encriptacin punto a punto (P2P) y de informes de
virtualizacin puede ayudar eficazmente a los comerciantes a reducir los
entornos de gestin de tarjetas de crdito y a purgar los datos de esas
La PCI DSS no ser actualizada hasta finales de 2013. Estn las

empresas invirtiendo ya en tecnologas relacionadas con el
Diana Kelley: De momento tenemos una PCI DSS, y aunque se actualiza en

ciclos de tres aos, ya est empleando cierta tecnologa emergente. Algunas
cuestiones que merecen cierta priorizacin estn siendo gestionadas a
travs de grupos especiales de inters (SIGs) y requieren de orientacin por
separado. En este punto da igual que se publique algo por separado de la
PCI DDS, pero creo que s estarn muy relacionadas. Es posible echar un
vistazo a las orientaciones, tenerlas en cuenta y hacerlas parte del programa
global de cumplimiento de PCI pero todava tienen que cumplir con la PCI
DSS. Por eso se ven como un paraguas general.
Algunas de estas organizaciones de tecnologa emergente estn priorizando
reas como la virtualizacin. Existe una gua separada que trata
concretamente de los avances en el ltimo ao sobre virtualizacin. Todo
sobre la nube. La nube va a ser la estrella de este ao. La tokenizacion es
Pgina 14 de 18
from hidden threats
otro ejemplo de esas tecnologas emergentes insertadas dentro del CDE

(Entorno de gestin de tarjetas) que no figura en concreto en el PCI DSS.
Contenido
PCI DSS 2.0 ............ 2
DSS ........................ 3
Hablemos del cumplimiento de la PCI en la nube. Hay problemas de

arquitectura a la hora de adoptar soluciones en la nube por parte de los
comerciantes?
Kelley: S y no. Sabemos que hay tres modelos de arquitectura en la nube:
de cumplimiento de
Visa PCI .................. 4
infraestructura, plataforma y uso de software como servicio (SaaS). Cuando
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
si usted es el proveedor de esa puerta de enlace, se preocupa del
La gestin de
12
cumplir con PCI. Si no almacena datos de tarjetas y tampoco las gestiona
nube sigue siendo
problema para el
DSS13
que usamos es un software propio de pagos, como Plataforma de Servicios
vemos cmo est adoptando la gente la PCI, vemos que la mayora usa el
software como si usaran una puerta de acceso. Con este modelo concreto,
cumplimiento PCI DSS, est certificado y entiende las necesidades reales y
por supuesto no almacena datos de tarjetas puede ser algo muy
beneficioso, especialmente para las pequeas empresas e incluso para
algunas grandes. Estamos reduciendo el mbito de lo que se necesita para
entonces no tiene ms que demostrar qu es lo que ocurre con los datos de
las tarjetas cuando acceden al proveedor de pagos y probar que ese
proveedor de pagos est trabajando tal como indica el acuerdo. Cuando lo
(PaaS) o mediante infraestructura (IaaS), entonces las cosas cambian un
poco.
Si est usando algo similar a una infraestructura, entonces usted es
responsable de la proteccin de los datos y configuracin, de cmo los datos
se usan en esta infraestructura y de ver que toda la gestin sea segura. Pero
quiz tampoco tenga demasiado control sobre lo que necesita saber para
ver si todo se hace correctamente. En los entornos en la nube no se
permiten las auditoras y es posible que no disponga de toda la informacin
de acceso necesaria. As que surge un poco de confusinTampoco existe
una gran transparencia a la hora de enfrentarse a los problemas que surgen
y a poder entender cmo funciona esa nube ya que el proveedor afirma: es
mi centro de datos. As que hasta qu punto podemos ser capaces de
saber qu es lo que est pasando?
Pgina 15 de 18
from hidden threats
El 30 de junio la PCI DSS 6.2 se convierte en un requisito. Requiere la

creacin de un proceso para asignar un nivel de riesgo a las
Contenido
PCI DSS 2.0 ............ 2
vulnerabilidades recientemente descubiertas. Puede comentarnos

algo al respecto?
Kelley: Es algo significativo a la hora de actuar y evaluar vulnerabilidades

DSS ........................ 3
para lograr entenderlas mejor. En el sistema de parcheo de vulnerabilidades
de cumplimiento de
Visa PCI .................. 4
que hacer una evaluacin de riesgos, priorizar los parches e instalarlos en
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
fuente de informacin. Puede ser mediante informacin pblica o de los
La gestin de
12
vean venir: lo estaban haciendo y estaban preparados para ello
nube sigue siendo
problema para el
DSS13
correcto?
anterior del PCI DSS tenas 30 das para hacerlo. Ahora te dicen que tienes
cierto tiempo. Por eso es necesario estar al tanto de que vulnerabilidades
hablamos y tener la informacin sobre las mismas. Es necesario aceptar esa
propios fabricantes que gestionan vulnerabilidades [proporcionado una lista
de fuentes de informacin]. Esto es algo que las empresas pueden hacer y
deberan implementar. El cambio es que ahora la gestin de
vulnerabilidades se realiza por completo sobre la PCI. Las empresas ya lo
Se han emitido gran cantidad de documentos orientativos. El mensaje

principal parece ser una reduccin en el mbito de actuacin. Es
Kelley: Uno de los aspectos fundamentales es como poder reducir el mbito

y mejorar las funciones de proteccin. Si vemos la encriptacin de punto a
punto, permite encriptar los datos desde el inicio sin tener que preocuparnos
ya que los puntos salen encriptados desde el punto de venta as se
transmiten hasta el punto de gestin donde el CDE (entorno de gestin de
datos de tarjetas) comienza. No es necesario tener el CDE en todas partes
cuando tienes solo un punto de venta. Es algo que ha dado varios
problemas. Algunas brechas de seguridad han estado relacionadas con los
terminales de punto de venta WiFi, a pie de tienda, cuando transferimos los
datos a travs del aire; puede haber alguien capaz de robarlos.
Las orientaciones para la encriptacin de punto a punto parecen tener
un lenguaje interesado. En el documento se afirma que el comerciante
Pgina 16 de 18
from hidden threats
Contenido
debera actuar junto con el banco. Es un nuevo mensaje desde la

junta?
PCI DSS 2.0 ............ 2

DSS ........................ 3
Kelley: Creo que puede ser un mensaje bastante directo desde la junta.
Realmente no es algo nuevo para el mundo PCI, ya que se nos lleva
diciendo desde hace mucho tiempo. He hablado con muchos QSA y
de cumplimiento de
Visa PCI .................. 4
analistas que ofrecan mensajes parecidos desde hace mucho tiempo. La
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
conformes con los procesos de cumplimiento de la certificacin. Y entonces
La gestin de
12
quienes tienen el mando pero sin embargo no quieren implicarse. As que
nube sigue siendo
problema para el
DSS13
Recursos gratis para profesionales en el rea de la

tecnologa
razn es que pronto llegaremos a un punto en que queramos desempatar la

cuestin. Un punto en el que las personas, de forma razonable, no estn
quien resuelve ese desacuerdo? Si no se expresa de forma clara en el DSS
todo lo que est escrito queda abierto a interpretacin. La junta hace todo lo
que puede por ser clara en el lenguaje. Los programas de cumplimiento, sin
embargo, siguen estando en manos de solo cinco empresas de tarjetas. Son
muchas veces vuelcan la responsabilidad en el banco. Que la entidad quiera
ser juez, o no, es otra cuestin.
TechTarget publica informacin dirigida a medios de tecnologa cubriendo la

informacin y los recursos que usted necesita para investigar productos,
desarrollar estrategias y tomar decisiones de compra que traigan un buen
costo-beneficio. Nuestra red, enfocada a pginas web de tecnologa, le da
acceso a expertos en la industria, contenido y anlisis objetivo, la biblioteca
virtual ms grande de reportes escritos por proveedores, estudios, webcasts,
podcasts, videos, conferencias virtuales y ms. Todo esto se hace
aprovechando los recursos de investigacin y desarrollo de proveedores de
tecnologa con el fin de poder abordar tendencias de mercado, retos y
soluciones. Nuestros eventos y seminarios virtuales le dan acceso a
observaciones, y consejos de expertos en retos y tareas del da a da.
Nuestra comunidad IT Knowledge Exchange le permite compartir
informacin en tiempo real con compaeros y expertos.
Pgina 17 de 18
from hidden threats
Qu hace nico a TechTarget?

TechTarget se enfoca especficamente en el segmento de TI empresarial.
Contenido
Nuestro equipo de editores y nuestra red de expertos en la industria proveen

el contenido ms relevante e importante para los profesionales y
PCI DSS 2.0 ............ 2
administradores de TI. Balanceamos las comunicaciones en lnea con las

DSS ........................ 3
eventos presenciales y virtuales, y para que pueda tener la capacidad de
de cumplimiento de
Visa PCI .................. 4
y relevante para los profesionales de TI en todas las industrias y mercados.
Combine el
procesamiento de
pagos mviles y
cumpla la normativa
PCI .8
La gestin de
12
nube sigue siendo
problema para el
DSS13
Pgina 18 de 18
oportunidades de contacto en persona, para permitirle hacer contactos en

interactuar con compaeros, todo esto con el fin de crear informacin valiosa

PCI Handbook

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PCI Handbook

Cargado por

Copyright:

Formatos disponibles

eguridad de la informacin

Gua de cumplimiento de PCI

El Estndar de Datos de Seguridad de la Industria de las

Los 12 requisitos PCI DSS

Los 12 requisitos PCI DSS son un conjunto de controles de seguridad que

PCI DSS 2.0 ............ 2

Los 12 requisitos PCI

Industria de Tarjetas de Pago (PCI DSS). Los requisitos han sido

Industria de Tarjetas de Pago (PCI).

multas o en la finalizacin de los privilegios de procesamiento de tarjetas de

tarjetas de crdito y cumplir con el Estndar de Seguridad de Datos para la

Cualquier organizacin que reciba tarjetas de pago, incluyendo tarjetas de

7. Limitar el acceso a los datos de los titulares, nicamente a lo que los

8. Asignar una identificacin nica a cada persona con acceso a una

PCI DSS 2.0 ............ 2

Los 12 requisitos PCI

9. Restringir el acceso fsico a los datos de los titulares de tarjetas.

11. Probar con regularidad los sistemas y procesos de seguridad.

12. Mantener una poltica que aborde la seguridad de la informacin.

Cambios en la poltica de cumplimiento de Visa PCI: El

El fin de la evaluacin PCI?

La muerte de la evaluacin PCI DSS seguramente sea una buena noticia

PCI DSS 2.0 ............ 2

entusiasmo que ante una visita al dentista o a un inspector de Hacienda.

Los 12 requisitos PCI

datos sensibles, como los nmeros de tarjeta de crdito, tambin solemos

Para quienes no estn al tanto de los PCI DSS, los comerciantes

efecta a travs de su banco con todos los requisitos necesarios. Sin

Con el cambio en las polticas de VISA, podemos ver el fin inminente de

Durante los ltimos aos la industria ha pasado de interpretar el idioma

como un requisito intimidatorio para incluir prcticamente cualquier aspecto

PCI DSS 2.0 ............ 2

Los 12 requisitos PCI

empresas ahora segmentan a sus clientes, dejando a un lado a aquellos

de la empresa y limitando el acceso a estos sistemas al personal que

Esto ha permitido reducir el mbito de numerosas evaluaciones PCI DSS a

Proceso externo de pagos

proceso. Al elegir un proveedor de servicio certificado para todo el proceso

ms seguros. Para hacer las evaluaciones PCI menos dolorosas, muchas

un nmero concreto de sistemas bien definidos. No es algo que reduzca el

Una de las formas ms sencillas de reducir dramticamente el alcance de la

SAQ D que contiene, nada menos, 49 pginas de preguntas. Sin embargo,

No almacena datos de las tarjetas. En este caso el cuestionario

Se traslada a un entorno virtual donde el procesamiento de tarjetas

Los 12 requisitos PCI

proveedor del servicio. En este caso el formulario es de 23 pginas,

Usa solo equipos imprint o sistemas sencillos de marcado remoto.

Alcanza el autntico nirvana del PCI DSS y externaliza por completo

Externalizar la gestin de tarjetas de crdito fuera de los sistemas de TI y

posible reducir notablemente el tiempo empleado en la evaluacin de

sus componentes puede reducir dramticamente el tiempo y esfuerzo

El 75% de sus operaciones se realizan mediante terminales de chip

operaciones realizadas usando chip y PIN).

Los comerciantes no deben almacenar informacin sensible.

PCI DSS 2.0 ............ 2

Los comerciantes deben segmentar los procesos mediante tarjeta

Los 12 requisitos PCI

Combine el procesamiento de pagos mviles y cumpla la

dispositivos en un taxi, en una pequea tienda o con un comerciante de

Sin embargo, aunque esta tecnologa sea algo tan fascinante y

PCI DSS 2.0 ............ 2

revolucionario, existen algunas ramificaciones que debemos considerar.

Los 12 requisitos PCI

regulatorio? Eso es lo que vamos a cubrir en este artculo.