domingo, 17 de marzo de 2013

Actores en PCI DSS


El objetivo de esta entrada del blog es dar una (somera) visión sobre los diferentes actores y estándares que representan algún papel en la seguridad de los datos de titulares de tarjeta.

PCI DSS Council
Encontramos la definición de qué es el PCI Council en su propia web:

El PCI SSC (Payment Card Industry Security Standarads) es un foro mundial abierto creado en 2006 que desarrolla, mantiene y gestiona el estándar de seguridad PCI que incluye el DSS (Data Security Standard), el PA-DSS (Payment Application Data Security Standard) y el PTS (PIN Transaction Security).

Los estándares PCI DSS cubren todos los puntos, desde la entrada de datos de tarjeta en un sistema hasta como los datos son procesados através de aplicaciones de pago seguras. El Council busca proteger y educar a los actores de la industria (comercios, procesadores, instituciones financieras, y cualquier otra organización que almacene, procese o transmita datos de titulares de tarjeta en cualquier lugar del mundo.

Las empresas fundadoras de esta organización son American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa, Inc. Estas empresas (conocidas como las marcas de tarjetas) han incorporado las PCI DSS como sus requerimientos técnicos dentro de sus programas de cumplimiento y seguridad. Cada miembro fundador reconoce además a los profesionales y las empresas (ASV y QSA) certificados por el PCI SSC como habilitadas para validar el cumplimiento de las normas PCI DSS, convirtiendo al Council en el centralizador de los estándares y servicios aprobados por las cinco marcas de pago.

Finalmente, cabe señalar que no está entre las atribuciones del Council validar el cumplimiento de las organizaciones con las PCI DSS ni el imponer ningún tipo de sanción por el no cumplimiento. Este tipo de acciones son responsabilidad de las marcas de pago y sus partners, nunca del PCI Council.

Adquirientes
Los adquirientes, son las entidades bancarias con las que tiene la relación contractual el comercio en el que hacemos el pago, y por lo tanto, la entidad que acabará haciendo el ingreso de la cantidad gastada en la cuenta del comercio.

Emisores
Los emisores, son las entidades bancarias que han emitido la tarjeta, es decir nuestro banco, caja o cooperativa de crédito que acabarán por cargarnos el importe de la compra realizada en nuestra cuenta corriente.

Comercios
El comercio es la entidad a la que le pagamos algún tipo de bien o servicio mediante nuestra tarjeta de crédito o débito.

Proveedores de Servicios
Proveedores de los comercios, los adquirientes o los emisores que prestan servicios que incluyen la transmisión, el almacenamiento, el procesado o la gestión de la seguridad de datos de titulares de tarjeta. Cabe señalar que para que una organización pueda cumplir con el estándar PCI DSS es condición sine qua non que sus proveedores de servicio hagan lo propio.

Veamos un ejemplo de proceso de pago para identificar que rol tiene cada uno de los actores participantes. Imaginemos que vamos con nuestra tarjeta de la Caja A, y pagamos nuestra cena en el restaurante X que trabaja con el banco B. En este ejemplo, tendremos los siguientes roles:
  • Restaurante X: Comercio.
  • Caja A: Emisor de la tarjeta.
  • Banco B: Adquiriente de la tarjeta.
Hay que tener en cuenta que los roles de Emisor y adquiriente son intercambiables, o que incluso pueden recaer ambos en una misma entidad. Es decir, si vamos a pagar nuestra compra con una tarjeta del Banco B en un supermercado que trabaje con la Caja A, tendremos:
  • Supermercado Y: Comercio.
  • Caja A: Adquiriente de la tarjeta.
  • Banco B: Emisor de la tarjeta.

Procesadores de pago
Se trata de un tipo particular de proveedor de servicio, ya que son las empresas que prestan en servicio de autorización del pago y su posterior regularización facilitando el intercambio de información entre el adquiriente y el emisor en cada pago. En el ejemplo anterior, habrá un procesador que se encargue de intercambiar la información entre la Caja A y el Banco B.

Auditores certificados (QSA)
Los auditores certificados como QSA son los únicos que están facultados para realizar auditorías on-site del estándar PCI DSS que permitan certificar el cumplimiento ante las marcas o las entidades bancarias (dependiendo de si se certifica un proveedor de servicios o un comercio). Cabe señalar que para que un auditor QSA pueda llevar a cabo su labor, no sólo debe haber obtenido la certificación, si no que su empresa debe estar también habilitada como empresa QSA por el PCI Council.

Empresa certificada como Aproved scanning Vendor (ASV)
Los ASV son organizaciones habilitadas por el Council para que pueden llevar a cabo escaneos de vulnerabilidades sobre los entornos publicados en Internet de los comercios o los proveedores de servicio para dar cumplimiento al requerimiento 11 del estándar PCI DSS.

Auditores certificados (PA-QSA)
Los fabricante de aplicaciones comerciales destinadas al procesado de pagos con tarjeta (por ejemplo aplicaciones de TPV) tienen la opción de certificarlas como PA-DSS. Esto permite que el comercio o proveedor de servicio que la utilice se ahorre el tener que cumplir algunos requerimientos del estándar (sobretodo temas de desarrollo seguro, auditoría del código, etc..) en lo que a dicha aplicación se refiere ya que han sido verificados y certificados por un auditor PA-QSA. Los auditores certificados como PA-QSA son los únicos facultados para certificar este tipo de aplicaciones a petición de los fabricantes, y tal y como ocurría con los auditores QSA, deben además pertenecer a una empresa certificada como QSA.

Investigadores Forenses PCI (PFI)
El programa de investigadores forenses PCI establece y mantiene las reglas y requerimientos que regulan la elegibilidad, selección y rendimiento de las compañías que pueden proveer servicios de investigación forense para garantizar que cumplen con los estándares de seguridad de PCI. Únicamente los profesionales certificados como PFI que pertenezcan a una empresa QSA pueden realizar las investigaciones forense que sean requeridas por las marcas o las entidades financieras como producto de un compromiso de datos de tarjeta.

Auditor de Seguridad Interna (ISA)
Los grandes comercios, los bancos adquirientes o los procesadores pueden estar interesados en el programa ISA, es decir, en disponer de sus propios auditores PCI DSS internos que les proporcionen especialización y aumenten la eficiencia en el cumplimiento con los estándares de seguridad. Estos auditores reciben formación y certificación del PCI DSS con objeto de mejorar el entendimiento del estándar por parte de la organización, facilitar las interacciones entre la organización y los QSA y mejorar la calidad y consistencia de las auto-evaluaciones realizadas por la organización.

No hay comentarios: