Introducción
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS) es un estándar de seguridad publicado por el PCI SSC y orientado a la definición de controles para la protección de los datos del titular de la tarjeta y datos sensibles de autenticación durante su procesamiento, almacenamiento y/o transmisión. Actualmente se encuentra en la versión 4.0 publicada en marzo de 2022. El estándar y sus documentos complementarios se pueden descargar directamente en el sitio web del PCI SSC (Document Library).
Orígen
Antes de la publicación de la primera versión del estándar PCI DSS, cada una de las marcas de tarjetas de pago que actualmente hacen parte del PCI SSC contaban con un programa propio de seguridad para la protección de los datos del titular de tarjeta:
...
Sin embargo, es importante aclarar que con la publicación del estándar PCI DSS los programas de seguridad de las marcas de pago no desaparecieron, ya que la responsabilidad en la definición de las entidades que tienen que cumplir con el estándar, la gestión de los reportes de cumplimiento, la publicación de las listas de entidades certificadas, las acciones en caso de compromiso de datos de tarjetas y los criterios de multas y sanciones siguen siendo administrados por cada marca de forma independiente a través de dichos programas.
¿Qué es el PCI SSC?
El PCI SSC (Payment Card Industry Security Standards Council) es un foro compuesto por cinco de las más importantes marcas de pago: Visa Inc., MasterCard, American Express, Discover Financial Services y JCB International. Fue fundado el 7 de septiembre de 2006 con el objetivo de definir los controles de seguridad orientados hacia la protección de los datos de tarjetas de pago durante todo el flujo transaccional. Se trata de una organización independiente que actualmente gestiona el ciclo de vida de los estándares de seguridad de tarjetas y de sus documentos asociados. China UnionPay (UP) se vinculó al PCI SSC como miembro estratégico en noviembre de 2020.
...
La estructura organizacional del PCI SSC puede ser consultada en esta ubicación.
Responsabilidades
De acuerdo con lo descrito anteriormente, los roles y responsabilidades en el cumplimiento del estándar PCI DSS se pueden esquematizar de la siguiente manera:
...
DESCRIPCIÓN DE LOS ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE PCI DSS
Aplicabilidad
El estándar PCI DSS está orientado a la protección de los datos del titular de la tarjeta y/o datos confidenciales de autenticación (denominados conjuntamente «datos de cuenta» (account data)), de acuerdo con la siguiente tabla:
...
Así mismo, es importante indicar que, si existe algún conflicto entre los controles del estándar y cualquier ley local, siempre primará la ley. Un ejemplo claro se puede encontrar en la implementación del control 9.2.1.1 de PCI DSS v4.0, en donde se indica que los datos recabados mediante la monitorización por circuito cerrado de televisión (CCTV) o mecanismos de control de acceso al CDE deben ser almacenados al menos tres meses. Sin embargo, algunas legislaciones de protección de datos locales impiden la retención de estos datos en los periodos indicados por el estándar. En ese caso, priman las rectricciones impuestas por la ley local.
Definición del alcance (scope) de cumplimiento
Los requisitos de PCI DSS se aplican a:
...
DESCRIPCIÓN GRÁFICA DEL LOS CONCEPTOS DE CDE («CARDHOLDER DATA ENVIRONMENT») Y ALCANCE DE CUMPLIMIENTO («SCOPE») DE PCI DSS
Descripción de los controles de seguridad del estándar PCI DSS
El estándar PCI DSS cuenta con más de 250 controles de seguridad física, lógica y administrativa esquematizados en 6 grupos principales que a su vez se subdividen en 12 requerimientos, de la siguiente manera:
...
REQUISITOS Y CONTROLES DE PCI DSS V4.0
Entidades que requieren cumplimiento con el estándar
El estándar PCI DSS se aplica a todas las entidades que participan en los procesos de almacenamiento, procesamiento y/o transmisión de datos del titular de la tarjeta y/o datos confidenciales de autenticación de las tarjetas de pago, entre las que se incluyen:
...
En estos casos, estas entidades pueden optar por someterse a evaluaciones a solicitud de sus clientes y/o participar en cada una de las revisiones de la PCI DSS de sus clientes o realizar una o varias evaluaciones anuales de PCI DSS por cuenta propia y proporcionar evidencia a sus clientes a fin de demostrar el cumplimiento.
Reporte de cumplimiento
El cumplimiento con PCI DSS se puede demostrar mediante dos formas:
...
La validez de estos reportes (AoC/RoC) es de 12 meses. Al final de este periodo, se requiere realizar una nueva evaluación y reportar el cumplimiento con base en las transacciones procesadas durante ese año.
Asesores Cualificados de PCI DSS (QSA)
El PCI SSC ha definido una figura específica para la realización de evaluaciones formales de cumplimiento de PCI DSS: El Asesor Cualificado de Seguridad (Qualified Security Assessor) o QSA. Para lograr esta certificación, el profesional debe:
...
Solo asesores QSA e ISA homologados pueden realizar evaluaciones de cumplimiento de PCI DSS.
¿Qué ocurre si no se cumple con PCI DSS?
Tal y como se indicaba anteriormente, el cumplimiento del estándar PCI DSS es obligatorio, aunque la aplicabilidad de sus requerimientos y los tipos de evaluación o reporte de cumplimiento varíen en función del tipo de entidad.
...