¿Qué es PCI DSS?

En esta nueva serie de artículos de PCI Hispano se presentará una descripción general de cada uno de los estándares publicados actualmente por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (Payment Card Industry Security Standards Council – PCI SSC) para la protección de los elementos involucrados en el ecosistema de pagos con tarjetas. En esate primer artículo se presentará el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS).

Introducción

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS) es un estándar de seguridad publicado por el PCI SSC y orientado a la definición de controles para la protección de los datos del titular de la tarjeta y/o datos confidenciales de autenticación durante su procesamiento, almacenamiento y/o transmisión. Actualmente, se encuentra en la versión 3.2.1 publicada el 17 de mayo de 2018.

Orígen

Antes de la publicación de la primera versión del estándar PCI DSS, cada una de las marcas de tarjetas de pago que actualmente hacen parte del PCI SSC contaban con un programa propio de seguridad para la protección de los datos del titular de tarjeta:

• American Express – Data Security Operating Policy (DSOP)
• Discover – Discover Information Security Compliance (DISC)
• JCB International – Data Security Program (DSP)
• MasterCard – Site Data Protection (SDP)
• Visa USA – Cardholder Information Security Program (CISP)
• Visa International – Account Information Security Program (AIS)

Cada uno de estos programas definía los controles de seguridad a implementar, las entidades que debían cumplir con dichos controles, los procesos de reporte de cumplimiento y las sanciones y multas en caso de incumplimiento. No obstante, esto implicaba que si una entidad almacenaba, procesaba y/o transmitía datos de tarjetas pertenecientes a cualquiera de estas marcas entonces tenía que cumplir con su programa de seguridad relacionado, lo cual creaba duplicidades, incongruencias y solapamientos en la implementación de controles, sin contar la carga burocrática que conllevaba la gestión y reporte.

 

Figura 1. Convergencia de los programas de seguridad de cada una de las marcas en el estándar PCI DSS

Todo esto llevó a que las marcas de pago definieran un estándar único que cumpliera con los requerimientos y expectativas de seguridad de forma transversal, evitando los problemas citados anteriormente y facilitando una adopción masiva en las entidades afectadas. Por ello, el 14 de diciembre de 2004 se publicó la versión 1.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS).

Sin embargo, es importante aclarar que con la publicación del estándar PCI DSS los programas de seguridad de las marcas de pago no desaparecieron, ya que la responsabilidad en la definición de las entidades que tienen que cumplir con el estándar, la gestión de los reportes de cumplimiento, la publicación de las listas de entidades certificadas, las acciones en caso de compromiso de datos de tarjetas y los criterios de multas y sanciones siguen siendo administrados por cada marca de forma independiente a través de dichos programas.

De acuerdo con lo descrito anteriormente, los roles y responsabilidades en el cumplimiento del estándar PCI DSS se pueden esquematizar de la siguiente manera:

 

Figura 2. Descripción de los roles y responsabilidades en el cumplimiento de PCI DSS

Aplicabilidad

El estándar PCI DSS está orientado a la protección de los datos del titular de la tarjeta y/o datos confidenciales de autenticación, de acuerdo con la siguiente tabla:

 

Figura 3. Tipos de datos en una tarjeta de pago

Igualmente, para identificar la aplicabilidad de PCI DSS en un entorno específico, se deben tener en cuenta los siguientes criterios:

• El Número Primario de Cuenta (Primary Account Number – PAN) siempre debe ser protegido durante su procesamiento, transmisión y almacenamiento de acuerdo con los controles de PCI DSS.
• Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta, únicamente el PAN debe ser ilegible de acuerdo con el Requisito 3.4 de PCI DSS.
• Si el nombre del titular de tarjeta, el código de servicio y/o la fecha de expiración se procesan y/o transmiten de forma conjunta con el PAN, entonces todos estos datos también deben ser protegidos con los controles de PCI DSS.
• No se deben almacenar los datos confidenciales de autenticación después de la autorización, incluso si están cifrados. Esto se implementa aún cuando no haya PAN en el entorno.

El entorno compuesto por personas, procesos y tecnologías en el cual se procesan, almacenan y/o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación recibe el nombre de Entorno de Datos del Titular de Tarjetas (Cardholder Data Environment – CDE). No obstante, los requisitos de seguridad de PCI DSS no solamente se deben aplicar al CDE sino también a todos los demás componentes del sistema que provean seguridad, que impacten la seguridad, que estén conectados o que provean segmentación al entorno de datos del titular de la tarjeta (conjunto denominado «alcance de cumplimiento» o «scope»), de acuerdo con el siguiente diagrama:

 

Figura 4: Descripción gráfica del los conceptos de CDE («Cardholder Data Environment») y alcance de cumplimiento («Scope») de PCI DSS

Descripción de los controles de seguridad del estándar PCI DSS

El estándar PCI DSS cuenta con más de 250 controles de seguridad física, lógica y administrativa esquematizados en 6 grupos principales que a su vez se subdividen en 12 requerimientos, de la siguiente manera:

 

Figura 5. Esquematización de los requisitos de seguridad del estándar PCI DSS

De forma complementaria, el estándar PCI DSS incluye tres anexos aplicables a entornos especificos:

• Anexo A1 – Requerimientos adicionales de PCI DSS para proveedores de alojamiento (hosting) compartido: En el caso de proveedores de alojamiento (hosting) compartido (en donde todos los sitios web alojados comparten los recursos de memoria, procesador, espacio en disco y ancho de banda disponibles en uno o varios servidores físicos) se requiere el cumplimiento de una serie de requerimientos de seguridad adicionales para garantizar que existe una correcta separación de los entornos de cada cliente.
• Anexo A2 – Requerimientos adicionales de PCI DSS para entidades que usan SSL/TLS temprano en conexiones de terminales de punto de venta en pagos presenciales: Después de las múltiples vulnerabilidades de seguridad detectadas en los protocolos SSL y en ciertas versiones de TLS, aún se permite que las terminales de punto de venta (Point of Sale (POS) Point of Interaction (POI)) puedan usar SSL y versiones tempranas de TLS para finalizar sus conexiones. Esto es debido a que los vectores de ataque de estos protocolos por lo general no afectan las comunicaciones de este tipo de dispositivos.
• Anexo A3 – Validación suplementaria de las entidades designadas (DES): Una entidad designada es una organización a la cual los adquirientes o las marcas de pago le exigen el cumplimiento de una serie de controles de seguridad adicionales dado su riesgo potencial:
  • Por el almacenamiento, procesamiento y/o tranmisión masiva de datos de tarjetas de pago,
  • Debido a que son puntos de agregación de datos del títular de tarjeta, o
  • Porque han sufrido una brecha de seguridad significativa o múltiples brechas de seguridad que han afectado los datos del titular de tarjeta.

Finalmente, el estándar permite el uso de controles alternativos para el cumplimiento de un requerimiento original del estándar cuando existe una justificación de negocio o administrativa que lo requiera. Este tipo de controles se denominan «controles compensatorios» (Compensating Controls).

Entidades que requieren cumplimiento con el estándar

El estándar PCI DSS se aplica a todas las entidades que participan en los procesos de almacenamiento, procesamiento y/o transmisión de datos del titular de la tarjeta y/o datos confidenciales de autenticación de las tarjetas de pago, entre las que se incluyen:

• Comerciantes (merchants)
• Procesadores
• Adquirentes (acquirers)
• Entidades emisoras (issuers)
• Proveedores de servicios de pagos (service providers) como pasarelas de pago, centros autorizadores, etc.

Igualmente, aquellas entidades que ofrecen servicios a dichos entornos pueden verse afectadas por el cumplimiento de PCI DSS si sus servicios se encuentran involucrados dentro del entorno de cumplimiento de PCI DSS de alguno de sus clientes. Algunos ejemplos son:

• Proveedores de servicios gestionados (Managed Service Providers – MSP)
• Proveedores de infraestructura tecnológica
• Proveedores de servicios en la nube (cloud)
• Proveedores de servicios de centros de datos (data centers y colocation/housing)
• Servicios de alojamiento web (web hosting)
• Servicios de externalización de personal (outsourcing)
• Servicios de seguridad física
• Proveedores de desarrollo de software
• Servicios de destrucción segura de documentación y/o de medios de almacenamiento electónicos

En estos casos, estas entidades pueden optar por someterse a evaluaciones a solicitud de sus clientes y/o participar en cada una de las revisiones de la PCI DSS de sus clientes o realizar una o varias evaluaciones anuales de PCI DSS por cuenta propia y proporcionar evidencia a sus clientes a fin de demostrar el cumplimiento.

Criterios de evaluación de PCI DSS

Una de las ventajas del estándar PCI DSS es que el mismo documento del estándar incluye tanto el requisito a cumplir como los procedimientos de prueba para su evaluación y una guía con explicaciones adicionales:

 

Figura 6. Requisitos, procedimientos de prueba y guías en el estándar PCI DSS

1. Requisitos de PCI DSS: Esta columna define los requisitos de las normas de seguridad de datos. El cumplimiento con PCI DSS se validará en comparación con estos requisitos.
2. Procedimientos de pruebas: Esta columna muestra los procesos que se deben seguir a efectos de validar que los requisitos de PCI DSS se hayan implementado y cumplido. Dentro de estos procedimientos de prueba se encuentran:
   • Realización de entrevistas
   • Revisión de documentación y diagramas
   • Verificación de configuraciones técnicas
   • Observación de procesos, acciones y estados
3. Guía: Esta columna describe la meta o el objetivo de seguridad de cada requisito de PCI DSS. Esta columna es solo una guía y tiene como objetivo ayudar a comprender el objetivo de cada requisito. La guía de esta columna no reemplaza ni extiende los requisitos de PCI DSS ni los procedimientos de pruebas.

Para efectos de validación, cada uno de los requisitos de PCI DSS debe generar una evidencia que demuestre que los objetivos de seguridad se encuentran implementados correctamente.

Para facilitar el despliegue e implementación de los distintos requisitos de seguridad de PCI DSS, el PCI SSC creó el «Enfoque Priorizado para cumplir con PCI DSS» (The Prioritized Approach to Pursue PCI DSS Compliance), que cataloga todos los controles de seguridad de 1 a 6 de acuerdo con el riesgo gestionado y cuyos objetivos son:

• Definir una hoja de ruta que le permite a la organización gestionar sus riesgos de acuerdo con un orden de prioridad
• Establecer un acercamiento pragmático orientado a proyectos que permite la definición de hitos de cumplimiento
• Servir como soporte a la planificación financiera y operativa
• Facilitar la definición y gestión de objetivos e indicadores de progreso medibles
• Promover la consistencia de criterios entre asesores

 

Figura 7. Enfoque Priorizado para Cumplir con PCI DSS («Prioritized Approach to Pursue PCI DSS Compliance»)

Reporte de cumplimiento

El cumplimiento con PCI DSS se puede demostrar mediante dos formas:

• Empleando un cuestionario de autoevaluación (o Self-assessment Questionnaire – SAQ), o
• Realizando una evaluación formal de cumplimiento

El criterio para identificar cuál de los dos métodos se debe emplear por lo general se basa en la cantidad de transacciones anuales con tarjetas de pago realizadas por la entidad. A continuación se analizan las diferencias entre el SAQ y la evaluación formal de cumplimiento:

 

Figura 8. Tipología de reportes para demostrar cumplimiento con el estándar PCI DSS

Asesores Certificados de PCI DSS

El PCI SSC ha definido una figura específica para la realización de evaluaciones formales de cumplimiento de PCI DSS: El Asesor Cualificado de Seguridad (Qualified Security Assessor) o QSA. Para lograr esta certificación, el profesional debe:

• Pertenecer a una empresa QSA (homologada por el PCI SSC para la realización de evaluaciones de PCI DSS).
• Contar con varias certificaciones de seguridad reconocidas por la industria (CISSP, CISM, CISA, GSNA, ISO 27001 Lead Auditor, IRCA, ISMS, CIA)
• Aceptar el código de responsabilidad profesional del PCI SSC
• Recibir una formación anual en PCI DSS (la primera vez presencial y las siguientes veces online)
• Reportar anualmente una serie de créditos de educación contínua (Continuing Professional Education – CPE)

¿Qué ocurre si no se cumple con PCI DSS?

Tal y como se indicaba anteriormente, el cumplimiento del estándar PCI DSS es obligatorio, aunque la aplicabilidad de sus requerimientos y los tipos de evaluación o reporte de cumplimiento varíen en función del tipo de entidad.

Este estándar establece las bases mínimas en términos de seguridad para proteger las transacciones con datos de tarjetas de pago, por lo que su incumplimiento implica:

• Limitación por parte de las marcas de tarjetas de pago, bancos adquirientes o pasarelas de pago para procesar transacciones provenientes desde la entidad que no cumple con el estándar.
• En el caso de la ocurrencia de un incidente de seguridad que afecte datos de tarjetas, la entidad que no cumple con el estándar debe asumir la totalidad de los costes derivados, incluyendo:
  • Costes de demandas e indemnizaciones a los afectados
  • Costes de los fraudes con transacciones realizadas con las tarjetas afectadas
  • Costes de renovación de las tarjetas de pago afectadas
  • Multas por parte de las marcas de pago, en función de la cantidad de datos de tarjetas de pago involucrados
  • Multas legales por afectación de datos de carácter personal (en casos específicos como GDPR/RGPD)
  • Costes de la investigación forense, a cargo de un profesional PCI Forensic Investigator (PFI)
  • Costes de la implementación de los controles de PCI DSS post-incidente
  • Costes derivads de la pérdida de imagen de cara al público

Consideraciones adicionales

A continuación se relacionan diversas referencias que pueden servir durante el proceso de implementación, evaluación o reporte de los controles de PCI DSS:

• Listado de documentación para cumplir con el estándar PCI DSS
• Estándares de configuración segura (hardening) en PCI DSS (actualización v3.2)
• Listado de tareas recurrentes en PCI DSS (Actualización v3.2)
• CardHolder Data Matrix (CHDM): ¿Qué es y para qué se utiliza?
• Una revisión a los 10 mitos comunes de PCI DSS
• El concepto de tokenización y su aplicabilidad en PCI DSS
• Controles técnicos de PCI DSS
• ¿Cómo funcionan las tarjetas de pago?
• El PCI SSC publica una guía para la determinación del alcance y segmentación de red para PCI DSS
• La red ideal de PCI DSS (actualizado a PCI DSS v3.2)
• PCI Hispano publica las versiones en Excel de PCI DSS v3.2.1 en inglés y español

Finalmente, abajo se encuentra una infografia como resúmen de los conceptos de este artículo:

Autor: 

David Acosta