Esta es una pregunta recurrente a la que me enfrento por lo que he decidido hacer un pequeño resumen del estado del arte junto con mis propias opiniones/reflexiones.
De acuerdo a la normativa PCI-DSS, y cito textualmente: “PCI DSS applies to all entities involved in payment card processing – including merchants, processors, acquirers, issuers, and service providers, as well as all other entities that store, process or transmit cardholder data”. Esto significa que deben cumplir PCI-DSS los comercios, los procesadores, las entidades adquirentes y emisoras y los proveedores de servicio y en general cualquier entidad que almacene, procese o transmita datos de tarjeta.
Obligaciones de los comercios
Bueno y ¿qué implica cumplir PCI-DSS? En general, las marcas de tarjetas (VISA, MASTER, JCB, AMEX, DISCOVER) definen unos niveles de cumplimiento para los comercios, que son:
• VISA
• MASTER
• JCB
• AMEX
• DISCOVER
Para cada nivel de cumplimiento de los comercios, se establecen una serie de obligaciones. En general, se definen 4 niveles para el caso de los comercios, atendiendo principalmente al número de transacciones/año:
Comercios Nivel-1:
Implica la realización de una Auditoria anual por parte de un QSA que rellenaría un ROC (Report Of Compliance) que se enviaría a cada una de las marcas. En esta auditoria se realiza un estudio exhaustivo del estado de cumplimiento del comercio, así como diversos controles de seguridad (Escaneos de red trimestrales por un ASV, etc).
Se entiende como comercio de Nivel-1 a los que procesen el siguiente número de transacciones/año:
o Más de 6 millones de transacciones VISA, MASTER o DISCOVER.
o Más de 2,5 millones de transacciones AMEX
o Más de 1 millón de transacciones JCB
Adicionalmente, se consideran también comercios Nivel-1 a aquellos que han sufrido un ataque en el que se hayan puesto en compromiso datos de tarjeta o cualesquiera que una marca considere debe ser de Nivel-1.
Comercios Nivel-2:
Se entiende como comercio de Nivel-2 a los que procesen el siguiente número de transacciones/año:
o Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER.
o Entre 50K y 2,5 millones de transacciones AMEX
o Menos de 1 millón de transacciones JCB
En este nivel, los comercios no están obligados a llevar a cabo una auditoria PCI-DSS anual; en su lugar, deben rellenar un formulario de autoevaluación conocido como SAQ (Self-Assessment Questionnarie). Sin embargo, las cosas no son tan fáciles; En el caso de MASTER, para Junio de 2012 será de obligado cumplimiento que si quieren presentar un SAQ, éste sea rellenado por un persona que tenga el certificado PCI SSC ISA (Internal Security Auditor) y para ello, deberá asistir a los cursos organizados por el Council. En caso contrario, deberá llevarse a cabo una Auditoria anual por parte de un QSA. Esto todavía se puede complicar más si resulta que un comercio que por número de transacciones no sea Nivel-2 en MASTER, pero sí lo sea para VISA, automáticamente se considera también Nivel-2 de MASTER. En fin…una maravilla.
Comercios Nivel-3:
Este nivel está específicamente diseñado para transacciones de e-commerce y además, no todas las marcas lo consideran. Se entiende como comercio de Nivel-3 a los que procesen el siguiente número de transacciones/año:
o Entre 20K y 1 millón de transacciones de comercio electrónico de VISA, MASTER o DISCOVER.
o Menos de 50K transacciones AMEX
Queda la duda de saber cómo se clasifican aquellos comercios que realicen menos de 1 millón de transacciones de e-commerce pero también realicen transacciones por otras canales y que la suma supere el millón de transacciones. ¿Sería Nivel-2 o Nivel-3? El comercio te diría sin dudar que Nivel-3.
Comercios Nivel-4:
Se trata del nivel menos restrictivo de todos. La única obligación en estos casos es rellenar el SAQ y se recomienda el realizar un escaneo trimestral de red, aunque se deja a consideración de la entidad adquirente el obligar o no a los comercios a llevarlo a cabo. Evidentemente, esto implica que ninguna entidad lo haga.
Otras cuestiones a considerar para los comercios
¿Cómo se determina el número de transacciones? En general, son las entidades adquirentes que trabajan con el comercio quienes deben ‘informar’ a las marcas del nivel del comercio en concreto. Pero claro, si los comercios trabajan con varias entidades adquirentes se complica un poco la catalogación.
Por otro lado, queda la duda de cómo considerar a ciertos comercios que actúan como una marca pero que contablemente actúan de forma aislada. Es el caso de comercios operando en formato de franquicias, aunque esto parece estar siendo considerado por VISA al introducir una nueva categoría de SP, el llamado ‘Corporate Franchise Servicer’ (CFS).
En resumen, a los comercios les conviene no ser considerados Nivel-1 puesto que el llevar a cabo una Auditoria es costoso en tiempo y económicamente hablando. VISA USA ha publicado una estadística de cumplimiento de PCI-DSS en la que indica que existen sólo 377 comercios de Nivel-1.
Proveedores de Servicio (SP)
¿Qué se entiende por SP? Los SP son organizaciones que prestan servicios a los comercios, entidades financieras y/o a otras entidades relacionados con el procesamiento de las transacciones. Los SP incluyen los Procesadores, los Third-Party processors y los Gateway providers, entre otros. En general, cualquier entidad que realice o proporcione servicios relacionados con los medios de pago a terceros. En este apartado también se encuentra Entidades Financieras que realizan determinados servicios: por ejemplo Clearing & Settlement, Autorizaciones en backup, etc a otras entidades financieras.
A priori, el caso de los Proveedores de Servicio (SP) es a priori más sencillo. Sólo existen dos niveles, aunque yo me atrevería a decir que sólo existe uno, el Nivel-1.
SP Nivel-1:
Se entiende como SP de Nivel-1 a los que procesen el siguiente número de transacciones/año:
o Más de 300K transacciones VISA, MASTER.
o Cualquier número de transacciones DISCOVER, AMEX o JCB
Implica la realización de una Auditoria anual por parte de un QSA generando el ROC (Report Of Compliance) que se envía a cada una de las marcas con las que opera y a la realización de escaneos de red trimestrales por parte de un ASV.
SP Nivel-2:
Se entiende como SP de Nivel-2 a los que procesen el siguiente número de transacciones/año:
o Menos de 300K transacciones VISA, MASTER.
En este nivel sólo es necesario rellenar el ROC y realizar escaneos de red trimestrales por parte de un ASV.
Entidades Adquirentes y Emisoras
¿Cuáles son las obligaciones de las Entidades? ¿Deben cumplir PCI-DSS?
Todas estas preguntas son habituales y la verdad es que las marcas no dan respuestas definitivas. Yo voy a intentar arrojar algo de luz.
En primer lugar, todas las Entidades (Adquirentes o Emisoras) están obligadas a cumplir PCI-DSS. Eso sí, las marcas no obligan a las entidades a pasar auditorias anuales. La única marca que realiza tal consideración es DISCOVER, que califica a las Entidades Adquirentes como ‘Proveedores de Servicio’ (SP). También existe una mención por parte de VISA USA en la que se indica que todos los Emisores miembros de VISA que estén conectados directamente a VISANET o que procesen en nombre de otro miembro de VISA debe validar de forma anual su cumplimiento con PCI-DSS, lo cual implica una Auditoria. Para el resto de casos, lo deja como una ‘best practice’. Eso sí, es un boletín informativo de VISA USA y no de VISA Europe.
También hay una mención muy interesante en cuanto a que una entidad financiera que use sus cajeros para la adquisición de bienes o servicios más allá de la operativa típica de un cajero, por ejemplo para comprar entradas de conciertos, etc, podría ser considerado un comercio a efectos de PCI-DSS.
Las entidades Adquirentes, por otro lado, son las responsables de situar a sus comercios en los respectivos niveles de cumplimiento de PCI-DSS que les corresponda y de informar a las marcas del nivel de cada comercio. Si se incurriera en o bien no informar a las marcas o bien hacerlo de forma incorrecta, las Entidades serían multadas por las marcas.
No hay comentarios:
Publicar un comentario