¿Qué son los Estándares de Seguridad de Pagos?

¿Qué son los Estándares de Seguridad de Pagos?

Los estándares de seguridad de pagos son las normas formales y los requisitos técnicos que rigen cómo las organizaciones protegen los datos de pago con tarjeta. Definen qué controles de seguridad deben existir, cómo deben configurarse los sistemas y cómo deben demostrar las organizaciones que cumplen estos requisitos. No son sugerencias ni recomendaciones. Son obligatorios para cualquier organización implicada en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta.

El estándar de seguridad de pagos más destacado es PCI DSS, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago. Pero PCI DSS forma parte de un ecosistema más amplio de estándares que, juntos, crean un marco de seguridad completo para la industria global de pagos.

La familia de estándares de seguridad PCI

El PCI Security Standards Council (PCI SSC) mantiene varios estándares interconectados:

PCI DSS

El estándar estrella. PCI DSS se aplica a cualquier entidad que almacene, procese o transmita datos del titular de la tarjeta. Consiste en 12 requisitos que cubren la seguridad de la red, los controles de acceso, el cifrado, la monitorización y las políticas de seguridad. La versión actual es PCI DSS v4.0.

PA-DSS / PCI Software Security Framework

Este estándar se aplica a los proveedores de software cuyas aplicaciones de pago se venden a los comercios y son usadas por ellos. Asegura que el propio software se diseña y construye de forma segura. El antiguo estándar PA-DSS ha sido sustituido por el PCI Software Security Framework, que incluye el Secure Software Standard y el Secure Software Lifecycle Standard.

PCI PTS

El estándar de seguridad de transacciones con PIN (PIN Transaction Security) cubre los dispositivos físicos usados para capturar PINs y datos de tarjeta, como los terminales de punto de venta y los dispositivos de entrada de PIN. Establece requisitos de resistencia a la manipulación, cifrado de los datos de PIN y gestión de dispositivos.

PCI P2PE

Point-to-Point Encryption (cifrado punto a punto) es un estándar para cifrar los datos de tarjeta desde el punto de captura (el terminal) hasta el entorno seguro de descifrado. Las soluciones P2PE pueden reducir significativamente el alcance de las evaluaciones de PCI DSS, porque los datos cifrados se consideran ilegibles y, por tanto, fuera de alcance.

Más allá de PCI: otros estándares de seguridad de pagos

Los estándares PCI son los más destacados, pero no son los únicos marcos de seguridad relevantes para el procesamiento de pagos:

• ISO 27001 es el estándar internacional para los sistemas de gestión de la seguridad de la información. Aunque no es específico de pagos, muchas organizaciones de pagos lo usan como base para su programa de seguridad más amplio
• SOC 2 (Service Organisation Control) proporciona un marco para evaluar los controles de seguridad, disponibilidad y confidencialidad de los proveedores de servicios, incluidos los procesadores de pagos
• Los requisitos de Autenticación Reforzada de Cliente (SCA) bajo PSD2/PSR establecen estándares para autenticar las transacciones de pago en el Reino Unido y la UE
• Las normativas nacionales, como las Payment Services Regulations del Reino Unido y las normas de la FCA para las instituciones de pago, añaden requisitos regulatorios encima de los estándares de la industria

Por qué importan los estándares de seguridad de pagos a las empresas

Estos estándares existen porque las amenazas son reales y las consecuencias del fracaso son graves. Las brechas de datos en la industria de pagos han expuesto millones de números de tarjeta, han costado miles de millones en pérdidas por fraude y han causado un daño reputacional duradero a las organizaciones implicadas.

Para las empresas individuales, los estándares de seguridad de pagos proporcionan una hoja de ruta clara para proteger los datos de los clientes. Sin ellos, cada organización tendría que juzgar por su cuenta qué constituye una seguridad adecuada, y muchas se equivocarían. Los estándares establecen una línea base que, cuando se sigue, reduce significativamente el riesgo de una brecha.

El cumplimiento de los estándares de seguridad de pagos también es una obligación contractual. Cuando una empresa firma un contrato de comercio para aceptar pagos con tarjeta, acepta cumplir PCI DSS y otros estándares aplicables. El incumplimiento puede dar lugar a multas, mayores comisiones por transacción, auditorías obligatorias y la cancelación de la cuenta de comercio.

Estándares de seguridad de pagos y pagos telefónicos

Los entornos de pagos telefónicos están sujetos a los mismos estándares de seguridad de pagos que cualquier otro canal. PCI DSS se aplica a cada sistema que maneja datos de tarjeta, incluyendo la infraestructura de telefonía, las estaciones de trabajo de los agentes y las plataformas de grabación de llamadas.

El reto con los pagos telefónicos es que los datos de la tarjeta fluyen por más sistemas que en una transacción online típica. La red de voz, los auriculares del agente, el sistema de grabación de llamadas y potencialmente la pantalla del agente entran en contacto con los datos de la tarjeta. Cada uno de estos sistemas debe cumplir los estándares de seguridad pertinentes.

Por eso la reducción del alcance se ha convertido en el enfoque preferido para los pagos telefónicos. Al usar tecnologías como la supresión de DTMF o los enlaces de pago, las empresas pueden asegurarse de que los datos de la tarjeta nunca entran en el entorno telefónico. Esto saca el sistema telefónico, la plataforma de grabación y las estaciones de trabajo de los agentes del alcance de PCI DSS, simplificando drásticamente el cumplimiento.

Consideraciones prácticas

• Empiece por el alcance. Antes de preocuparse por qué controles implementar, identifique exactamente qué sistemas manejan datos de tarjeta. Esto define su alcance de cumplimiento
• Reduzca el alcance cuando sea posible. Cada sistema que pueda apartar del manejo de datos de tarjeta es un sistema que no necesita asegurar, monitorizar y auditar
• Use soluciones validadas. Las soluciones P2PE listadas por PCI, las aplicaciones de pago validadas por PCI y los proveedores de servicios certificados por PCI le dan la garantía de que la tecnología cumple los estándares exigidos
• Manténgase al día con los cambios. Los estándares de seguridad de pagos se actualizan con regularidad. PCI DSS v4.0 introdujo nuevos requisitos significativos y seguirán más actualizaciones
• El cumplimiento es continuo. Cumplir el estándar una vez no basta. Debe mantener el cumplimiento de forma continua, con pruebas, monitorización y revisiones periódicas
• Pida ayuda experta si la necesita. Los Evaluadores de Seguridad Cualificados (QSA) y los Investigadores Forenses de PCI (PFI) pueden proporcionar orientación especializada sobre cómo lograr y mantener el cumplimiento

Los estándares de seguridad de pagos son la base de la confianza en el sistema de pagos con tarjeta. Las empresas que se los toman en serio protegen a sus clientes, su reputación y su capacidad para seguir aceptando pagos con tarjeta. Las que los tratan como un ejercicio de marcar casillas están apostando algo que no se pueden permitir perder.