jueves, 24 de julio de 2014

La Norma de Seguridad de la Industria de Tarjetas de Pago - PCI DSS y Reglamento de Tarjetas de Débito y Crédito

Introducción

El sector financiero es uno de los más regulados de la industria, por ello, los requisitos de seguridad de la información a nivel de gestión, operativo o técnicos constantemente son evaluados con la finalidad de proteger la información de todos sus clientes.

Dentro de las normas de seguridad más conocidas tenemos el ISO/IEC 27001:2013, el cual contiene los requisitos para implantar un Sistema de Gestión de Seguridad de la Información y controles listados en el Anexo A, también tenemos la ISO/IEC 27002, el cual contiene como podemos implementar los controles del Anexo A. En el sector financiero peruano, la entidad reguladora normativa es la Superintendencia de Banca y Seguros (SBS), el cual publico el año 2009 la circular SBS G-140:2009 el cual se basa en la ISO/IEC 27001:2005. Existen otras normas o estandares más exigentes que los anteriormente citados como la Norma de Seguridad de Datos de la Industria de Medios de Pago (PCI DSS) creada por la PCI Security Standars Council (PCI SSC).

Fundación de PCI Security Standars Council

El PCI Security Standards Council, fue fundada en Delaware, USA el año 2006, conformado por American Express, Discover Financial Services, JCB International, MasterCard y Visa Inc. debido a la gran cantidad de fraudes que sucedían en esos años. Las cinco marcas de pago, actualmente, comparten de manera equitativa el control del consejo y tienen igual participación en el PCI Security Standards Council. 

PCI Security Standards Council, es un foro mundial abierto, que se encarga de la formulación, gestión, educación y conocimiento de las Normas de seguridad de la industria de tarjetas de pago (PCI DSS), la Norma de seguridad de datos para las aplicaciones de pago (PA-DSS) y los requisitos de Seguridad de transacciones con PIN (PTS).

Aplicabilidad de las PCI DSS

Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago como comerciantes, procesadores, instituciones financieras y proveedores de servicios.  La clave para saber si debes aplicar PCI DSS es si almacenas, procesas o transmites datos de cuenta (datos del titular de la tarjeta y datos de autenticación confidenciales)

Los datos del titular de la tarjeta y los datos de autenticación confidenciales se detallan en la siguiente imagen:


El número de cuenta principal es el "dato principal" de los datos del titular de la tarjeta, que define si debemos asegurar nuestro entorno de datos del titular de tarjeta (CDE) según las PCI DSS.

Alcance

Los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema incluidos en el entorno de datos del titular de la tarjeta. El entorno de datos del titular de la tarjeta (CDE) consta de personas, procesos y tecnologías que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación. El término “componentes del sistema” incluye dispositivos de red, servidores, dispositivos informáticos y aplicaciones. 

Requisitos

Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) constan con 6 áreas de protección y 12 requisitos generales:

Desarrolle y mantenga redes y sistemas seguro

1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
2. No utilizar contraseñas de sistema y otros parametros de seguridad provistos por los proveedores

Proteger los datos del titular de la tarjeta

3. Proteja los datos del titular de la tarjeta que fueron almacenado.
4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes publicas abiertas.

Mantener un programa de administración de vulnerabilidades

5. Utilizar y actualizar con regularidad los programas o software antivirus.
6. Desarrolle y mantenga sistemas y aplicaciones seguras.

Implementar medidas solidas de control de acceso

7. Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
8. Identifique y autentique el acceso a los componentes del sistema.
9. Restringir el acceso físico a los datos del titular de la tarjeta.

Supervisar y evaluar las redes con regularidad

10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjeta.
11. Pruebe con regularidad los sistemas y procesos de seguridad.

Mantener una política de seguridad de la información

12. Mantenga una política que aborde la seguridad de la información para todo el personal.


Implantación de las PCI DSS

El clave para implantar las PCI DSS dentro de la organización es determinar el entorno de datos de tarjeta (CDE) que estará compuesta por procesos, personas, documentos y "componentes de sistema" como servidores, dispositivos de red, controles de seguridad, aplicaciones, etc.

Una vez que ya se tiene definido el CDE, tenemos que identificar la desviación contra todos los requisitos de las PCI DSS y generar un plan de acción para cerrar las desviaciones.

Una empresa que quiera certificarse en PCI DSS deberá contratar una firma auditora autorizada por PCI SSC para que el auditor QSA realice la evaluación de cumplimiento.

Beneficios de Cumplir con las PCI DSS

Algunos de los beneficios de las PCI DSS son las siguientes:

  • Mejorar el nivel de seguridad de los pagos realizados mediante tarjetas.
  • Garantizar la protección de información de los titulares de tarjeta.
  • Minimizar el riesgo de actividades no autorizadas.
  • Incrementar confianza de sus cliente.
  • Prevención del Fraude.


Para mayor información sobre PCI DSS, puedes descargar la versión 3.0 aquí

Regulación Peruana

En Octubre 2013, la SuperIntendencia de Banca y Seguros (SBS) promulgo la Resolución SBS 6523-2013 "Reglamento de Tarjetas de Crédito y Débito", el cual tiene un apartado de medidas de seguridad sobre las tarjetas de crédito y débito, esencialmente en los artículos:

Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas
Artículo 16°.- Medidas de seguridad respecto a los usuarios
Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones
Artículo 18°.- Medidas en materia de seguridad de la información (PCI DSS)
Artículo 19°.- Medidas de seguridad en los negocios afiliados
Artículo 20°.- Requerimientos de seguridad en caso de subcontratación

El reglamento completo lo puedes descargar aquí

El cumplimiento de los artículos del reglamento tienen plazos de adecuación máximos diferentes como se aprecia a continuación:

1. A partir del 31 de diciembre de 2014, todas las nuevas tarjetas de débito y crédito deberán ser emitidas con chip, conforme a lo establecido en el artículo 15° del Reglamento. Asimismo, a partir de esa fecha, las empresas deberán dar la posibilidad a los usuarios de cambiar sus tarjetas con 
banda magnética por tarjetas con chip.
2. Para implementar lo requerido en los artículos 7°, 10°, 13°, el numeral 4 del artículo 16°, así como lo señalado en el artículo 17°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2014.
3. A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a través del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones 
solicitadas por los clientes.
4. A partir del 31 de diciembre de 2015, las empresas que permitan la 
realización de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean 
reconocidas por los usuarios.
5. Para implementar lo requerido en el artículo 18°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015

Finalmente, todas las empresas del sector financiero que almacenen, procesen o transmitan datos del titular de la tarjeta deberán adecuarse a este reglamento como fecha límite el 31 de diciembre del 2015. ¿Tendremos mucho por trabajar y mejorar para llegar a ser PCI Compliance en mi organización?

Fuente:
https://es.pcisecuritystandards.org
http://www.sbs.gob.pe/