Norma PCI DSS

Doce requisitos de seguridad para los datos de las tarjetas de pago

¿En qué consiste la norma PCI DSS?

La norma PCI DSS engloba un conjunto de estándares de seguridad cuyo objetivo es garantizar la confidencialidad de los datos de las tarjetas bancarias en los sistemas de pago que los utilizan. El PCI Security Standards Council, una agrupación profesional formada por las compañías emisoras de tarjetas bancarias VISA, Mastercard, American Express, JCB y Discovery, es el organismo encargado de editar y actualizar este conjunto de normas.

Actores de un sistema informático de pago

  • Portador: Titular de la tarjeta y de la cuenta asociada (cliente final).
  • Emisor: Entidad bancaria del titular de la tarjeta.
  • Comerciante: Entidad que acepta la tarjeta como forma de pago.
  • Adquiriente: Entidad bancaria del comerciante que procesa las transacciones.
  • Marca de la tarjeta: Tercero de confianza que garantiza la relación entre los actores de una transacción (Visa, Mastercard, American Express, etc.).
  • Proveedor de servicio de pago (PSP): Resto de intermediarios de la cadena de pago. OVH, como proveedor de IaaS, es un PSP.

Aunque cualquier entidad bancaria que emita tarjetas para sus clientes o que tramite las transacciones de los comerciantes con los que trabaja puede establecer libremente los requisitos contractuales que deben cumplir sus socios y clientes, la norma PCI DSS fija una serie de estándares básicos de seguridad común que abarcan la mayor parte de estos requisitos. Esta norma se ha convertido en la referencia en lo relativo a la seguridad de los sistemas informáticos de pago, y su cumplimiento, en una exigencia para los actores del sector. Cada actor involucrado en el alojamiento de los sistemas de pago es responsable de garantizar una parte de la seguridad de la plataforma. Esta responsabilidad se transfiere de forma contractual desde las compañías emisoras de tarjetas bancarias al resto de actores de la plataforma de pago.

La norma PCI DSS incluye más de 250 puntos de control y medidas de seguridad para realizar un tratamiento totalmente seguro de los datos de las tarjetas de pago. Estos puntos de control se clasifican en seis grupos:

  • Desarrollar y mantener redes y sistemas seguros

    Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
    Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores
  • Proteger los datos del titular de la tarjeta

    Requisito 3: Proteger los datos del titular de la tarjeta almacenados
    Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
  • Mantener un programa de control de vulnerabilidades

    Requisito 5: Proteger todos los sistemas frente a programas maliciosos y actualizar con regularidad los programas o el software antivirus
    Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros
  • Implementar medidas sólidas de control de acceso

    Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según necesidad empresarial
    Requisito 8: Identificar y autenticar el acceso a los componentes del sistema
    Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta
  • Supervisar y evaluar las redes con regularidad

    Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta
    Requisito 11: Examinar con regularidad los sistemas y procesos de seguridad
  • Mantener una política de seguridad de información

    Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal

Cómo cumplir la norma PCI DSS

El cumplimiento de la norma PCI DSS es aplicable al conjunto de la plataforma de pago, incluido el comerciante, que deberá basarse en soluciones de proveedores conformes a la norma PCI DSS. Así pues, todos los actores que intervienen en la plataforma de pago deben respetar los requisitos de seguridad relevantes para su actividad y demostrar el cumplimiento del estándar PCI DSS a sus clientes.

En lo relativo a la solución Payment Infrastructure PCI DSS, OVH es responsable de la seguridad de la infraestructura, mientras que el cliente es responsable de la seguridad de las máquinas virtuales alojadas, la utilización de las funciones de redes virtuales y las capas de aplicación desplegadas en las máquinas virtuales. La conformidad PCI DSS es, por lo tanto, un esfuerzo conjunto que requiere combinar las medidas de seguridad de su plataforma y de su sistema con las de la infraestructura Private Cloud.

El cumplimiento de la norma PCI DSS se certifica a través de una declaración de cumplimiento (AOC) que se expide una vez realizado un cuestionario de autoevaluación (SAQ) o una auditoría por uno o varios asesores de seguridad certificados (QSA).

La conformidad PCI DSS de su plataforma es un procedimiento estructurado, cuyas características y obligaciones dependen de diversos factores:

  • Número de transacciones anuales
  • Tipo de tarjeta bancaria aceptada
  • Banco adquiriente
  • Complejidad de la infraestructura de pago

Para abordar el cumplimiento del estándar PCI DSS, es necesario entablar un diálogo con los actores implicados para conocer sus requerimientos concretos. OVH recomienda a sus clientes que se pongan en contacto con su banco adquiriente o con un QSA que pueda guiarle durante el proceso.

Requisitos de validación VISA

Nivel Descripción Requisitos
1 Más de 6 M de transacciones al año Auditoría por un asesor de seguridad certificado (QSA)
Análisis trimestral por un proveedor aprobado de análisis (ASV)
Declaración de cumplimiento (AOC)
2 Entre 1 M y 6 M de transacciones al año Cuestionario de autoevaluación (SAQ)
Análisis trimestral por un proveedor aprobado de análisis (ASV)
Declaración de cumplimiento (AOC)
3/4 Menos de 1 M de transacciones al año Definido y controlado por cada entidad bancaria

Fuente: https://www.visaeurope.com/receiving-payments/security/merchants
Estos datos tienen carácter informativo. Su banco adquiriente le proporcionará la información necesaria en su caso particular.

La plataforma de OVH es auditada anualmente por una empresa QSA, y ponemos a su disposición los documentos de la evaluación, que permiten:

  • Conocer qué requisitos cubre nuestra certificación
  • Determinar qué requisitos deberá cumplir su empresa para obtener la certificación
  • Demostrar ante su QSA que OVH cumple todos los requisitos necesarios conforme a la norma PCI DSS

Además, OVH pone a su disposición a su equipo de expertos, así como la documentación necesaria para que pueda obtener la conformidad PCI DSS:

  • Matriz de responsabilidades PCI DSS
  • Condiciones particulares en las que se detalla la responsabilidad de OVH
  • Modelo de pliego de condiciones para la realización de las pruebas de penetración obligatorias

Matriz de responsabilidades

Esta matriz de responsabilidades detalla las responsabilidades de OVH y del cliente en relación con los requisitos de la norma PCI DSS para que pueda identificar de un vistazo cuáles le corresponden. No obstante, solo el análisis detallado de la declaración de cumplimiento (AOC), que podrá solicitar al contratar el servicio, le proporcionará toda la información necesaria para iniciar el procedimiento de conformidad.

Desarrollar y mantener redes y sistemas seguros
Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta OVH es responsable de la red física.
El cliente es responsable de las funciones de las redes virtuales en su datacenter virtual.
Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por el proveedor OVH en los equipos de la infraestructura El cliente es responsable de las máquinas virtuales y las aplicaciones.
Proteger los datos del titular de la tarjeta
Requisito 3: Proteger los datos del titular de la tarjeta almacenados El cliente es el único responsable de su implementación.
Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas El cliente es el único responsable de su implementación.
Mantener un programa de control de vulnerabilidades
Requisito 5: Proteger todos los sistemas frente a programas maliciosos y actualizar con regularidad los programas o software antivirus OVH es responsable de los equipos de la infraestructura.
El cliente es responsable de las máquinas virtuales y las aplicaciones.
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras OVH es responsable de los equipos de la infraestructura.
El cliente es responsable de las máquinas virtuales y las aplicaciones.
Implementar medidas sólidas de control de acceso
Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según necesidad empresarial OVH es responsable de los equipos de la infraestructura.
El cliente es responsable de las máquinas virtuales y las aplicaciones.
Requisito 8: Identificar y autenticar el acceso a los componentes del sistema OVH es responsable de los equipos de la infraestructura.
El cliente es responsable de las máquinas virtuales y las aplicaciones.
Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta OVH es el único responsable del alojamiento físico de la plataforma.
Supervisar y evaluar las redes con regularidad
Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta OVH es responsable de los equipos de la infraestructura.
El cliente es responsable de las máquinas virtuales y las aplicaciones.
Requisito 11: Examinar con regularidad los sistemas y procesos de seguridad OVH es responsable de los equipos de la infraestructura.
El cliente es responsable de las máquinas virtuales y las aplicaciones.
Mantener una política de seguridad de información
Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal OVH es responsable de los equipos de la infraestructura.
El cliente es responsable de las máquinas virtuales y las aplicaciones.

Ficha técnica de OVH Payment Infrastructure

  • Proveedor de servicio de pago (PSP) de nivel 1
  • PCI DSS v3.2
  • QSA: Provadys
  • Opción PCI DSS disponible con OVH Payment Infrastructure; upgrade posible desde cualquier infraestructura SDDC
  • Perímetro: Ámbitos de responsabilidad de OVH (véase «Matriz de responsabilidades»)

Visión esquemática

Los siguientes ejemplos de cadenas de alojamiento de plataformas de pago le ayudarán a entender mejor cómo funcionan las relaciones contractuales y la transmisión de la información de conformidad. Aunque cada caso es diferente y requiere un análisis minucioso, la mayoría de las situaciones se enmarcarán dentro de uno de estos modelos.

Usted es un comerciante que aloja su plataforma en una infraestructura PCI DSS de OVH:

Usted es un proveedor de servicio de pago (PSP) que aloja sistemas en una infraestructura PCI DSS de OVH. Sus clientes son comerciantes.

Más información

Más información sobre PCI DSS en la web oficial del PCI Security Standards Council y las webs de las compañías emisoras de tarjetas de pago:

https://www.pcisecuritystandards.org/
https://www.visaeurope.com/receiving-payments/security/
https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/site-data-protection-PCI.html