Este es el primero de una serie de post que realizaré del Payment Card Industry Data Security Standard.
Hoy en día el uso de las tarjetas de crédito es algo prácticamente universal, la tarjeta de crédito nos permite realizar transacciones comerciales con tanta facilidad que para muchos un mundo sin ellas no sería el mismo.
Pero, ¿conoces cómo con solo pasar la tarjeta de crédito por el lector del comercio es suficiente para comprar lo que quieres y que al final del mes se muestre las transacción en tu estado de cuenta? Aquí mencionaré los agentes que permiten todo esto y como esta industria trata de auto-regularse en beneficio del cliente.
Agentes:
- Titular de la tarjeta o Consumidor: Persona natural o jurídica a la cual se le emite una tarjeta de crédito.
- Banco Emisor: Institución financiera que emite la tarjeta de crédito, la cual es respaldada por una línea de crédito asignada al consumidor.
- Banco Adquirente: Banco que mantiene la relación comercial con aquellos comercios que aceptan tarjetas de crédito.
- Comercio: toda aquella entidad que recibe pagos por medio de tarjetas de crédito.
- Proveedor de procesamiento de pagos: usualmente contratado por el Banco Adquirente para que lleve acabo de manera segura toda la transacción.
Orden usual:
- Consumidor obtiene de un Banco Emisor una tarjeta de crédito, la cual tiene un límite de crédito.
- Consumidor presenta tarjeta al comercio.
- El comercio siguiendo las medidas de seguridad impuestas por su Banco Adquirente envía la información del consumidor a su Banco Adquiriente.
- Banco Adquiriente válida con el Banco Emisor de la tarjeta la capacidad de la tarjeta de procesar la transacción y de ser así permite la misma.
- Banco Adquiriente recibe del Banco Emisor el monto de la transacción.
- Banco Adquiriente paga al Comercio el monto de la transacción menos el porcentaje de servicio previamente establecido.
- Consumidor recibe del Banco Emisor un estado de cuenta y cancela monto adeudado.
Esto es una descripción sencilla, de seguro realmente existen muchos otros agentes involucrados, pero el fin de esto es hacer una introducción de como la industria pretende asegurarnos, a nosotros los consumidores, que nuestra información está siendo protegida de la mejor manera.
Es por eso que nace el PCI Security Council formado por las compañías más grandes de la industria (VISA, MASTERCARD, AMERICANEXPRESS, DISCOVER, DINERSCLUB y JCB) las cuales con la publicación del Payment Card Industry Data Security Standard (PCI-
El PCI Security Council se compromete a continuar identificando los requerimientos de un entorno de IT seguro, de tal forma que el estándar se mantenga en una constante evolución.
Los requerimientos según la última versión de estándar (v1.2) son los siguientes:
Crear y Mantener una Red Segura
Req. 1: Instalar y mantener un firewall para proteger la data de los titulares de las tarjetas.
Req. 2: No utilizar las contraseñas por defecto o configuraciones de fábrica provistas por los proveedores.
Proteger la Data del Consumidor
Req. 3: Proteger la data almacenada de los titulares de las tarjetas.
Req. 4: Encriptar la transmisión de data del consumidor cuando es transportada por redes públicas y/o abiertas.
Mantener un Programa de Gestión de Vulnerabilidades
Req. 5: Utilice y actualice regularmente programas de antivirus.
Req. 6: Desarrolle y mantenga sistemas y aplicaciones seguras.
Implemente Medidas fuertes de Control de Acceso
Req. 7: Restringir acceso a data de los titulares de tarjetas a solo quien la necesite.
Req. 8: Asigne un identificador único a cada persona con acceso a una computadora.
Req. 9: Restringir el acceso físico a data de los titulares de tarjetas.
Monitoreo y Pruebas Regulares a las Redes
Req. 10: Registre y monitoree todos los accesos a los recursos de la red y data de titulares de tarjetas.
Req. 11: Pruebe, valide regularmente los sistemas de seguridad y procesos de seguridad.
Mantenga una Política de Seguridad de la Información
Req. 12: Mantenga una política de seguridad de la información para empleados y proveedores.
Los requerimientos del PCI-
El nivel de cumplimiento del cual es objeto una entidad que forma parte la industria depende de varios factores, pero iré sobre esos detalles en otro momento.
Para mayor información sobre PCI-
https://www.pcisecuritystandards.org/index.shtml
Cualquier comentario es bienvenido, saludos,
Sebastián
Comments