El cumplimiento de los estándares de seguridad de datos (DSS) de las industrias de tarjeta de pago es un requisito para todas las entidades que almacenan, procesan o transmiten información de tarjetahabientes Visa, incluidas las instituciones financieras, los comercios y los proveedores de servicios. Los programas de Visa administran el cumplimiento de los DSS de PCI al requerir que los participantes demuestren el cumplimiento regularmente.
Mantente actualizado sobre los estándares de seguridad
Cumplimiento de los DSS de PCI
Estándares de seguridad que benefician a todos.
-
El Programa de seguridad de la información del tarjetahabiente (CISP) de Visa es un programa de cumplimiento destinado a proteger la información del tarjetahabiente de Visa; para ello, se asegura de que los clientes, los comercios y los proveedores de servicios mantengan el estándar de seguridad de la información más alto.
El Security Standards Council (SSC) de PCI es propietario, mantiene y administra los DSS de PCI y todos los documentos de respaldo; no obstante, Visa administra todas las iniciativas de validación y ejecución del cumplimiento de la seguridad de datos.
-
Los emisores y adquirentes son responsables de garantizar que todos sus proveedores de servicios, comercios y proveedores de servicios de los comercios cumplan con los requisitos de los DSS de PCI.
La validación de cumplimiento del comercio se ha priorizado en función del volumen de transacciones, el posible riesgo y la exposición que se introducen en el sistema de pagos.
El emisor y los adquirentes deben asegurarse de que todos los proveedores de servicios de niveles 1 y 2 demuestren el cumplimiento de los DSS de PCI al momento del registro de los terceros agentes (TPA) y luego cada 12 meses.
-
Los adquirentes deben garantizar que sus comercios validen según el nivel adecuado y obtengan la documentación de validación de cumplimiento requerida de sus comercios. Los bancos de comercio y los comercios también deben verificar los requisitos de notificación de cumplimiento de otras marcas de tarjeta de pago, que pueden requerir evidencia de la validación del cumplimiento.
Los proveedores de servicio de nivel 1 que no estén conectados directamente con Visa deben completar la evaluación de seguridad de datos anual en el sitio de las PCI y presentar a Visa una certificación de cumplimiento (AOC) ejecutada, firmada por el proveedor de servicios y el evaluador de seguridad calificado (QSA). Los proveedores de servicios de nivel 2 deben presentar un formulario de cuestionario de autoevaluación (SAQ-D) firmado o una AOC, incluida la firma del QSA. La validación del cumplimiento de los DSS de PCI se requiere antes de que un proveedor de servicios pueda aparecer en el Registro mundial de proveedores de servicios de Visa (el Registro).
-
Las Normas básicas de Visa y las Normas de productos y servicios de Visa regulan las actividades de las instituciones financieras de los clientes y, por extensión, de los proveedores de servicios y los comercios como participantes del sistema de pagos de Visa.
Los emisores y adquirentes son responsables de garantizar el cumplimiento de los DSS de PCI de sus proveedores de servicios y comercios, incluidos los proveedores de servicios que el comercio utilice. Un proveedor de servicios y un comercio deben mantener el cumplimiento pleno en todo momento. (Identificación de secciones VCR #0002228 y #0008031)
Si un proveedor de servicios o comercio no cumple con los DSS de PCI o no rectifica un problema de seguridad, Visa puede considerar una evaluación de no cumplimiento para el emisor o adquirente. El emisor o adquirente es responsable del pago de todas las evaluaciones y no debe representar que Visa ha impuesto una evaluación para el proveedor de servicios o el comercio. (Identificación de sección VCR #0001054)
Los adquirentes pueden comunicarse con el área de Riesgos de Visa en cisp@visa.com para obtener más información.
Programa de seguridad del PIN
Visa está simplificando la validación del cumplimiento de la seguridad del PIN en todas las regiones.
Estándar de seguridad de datos de la aplicación de pago (PA-DSS)
Visa recomienda a los proveedores de aplicaciones de pagos que desarrollen y validen el cumplimiento de sus productos con el PA-DSS. Las aplicaciones de cumplimiento del PA-DSS ayudan a los comercios y agentes a mitigar los peligros, evitar el almacenamiento de información sensible del tarjetahabiente y respaldar el cumplimiento general de los DSS de PCI. El PA–DSS se aplica únicamente a software de aplicaciones de pago de terceros que almacenen, procesen o transmitan datos del tarjetahabiente como parte de una autorización o un acuerdo. Las aplicaciones de software internas quedan cubiertas por la evaluación de los DSS de PCI del agente o el comercio.
-
El 1.º de enero de 2008, Visa implementó una serie de mandatos para eliminar el uso de aplicaciones de pago vulnerables en el sistema de pagos de Visa. Estos mandatos requieren que los adquirentes garanticen que sus comercios y agentes no utilizan aplicaciones de pago que retengan información sensible del tarjetahabiente (por ejemplo, datos completos de banda magnética, valor de verificación de tarjeta [CVV2] o datos del PIN) y exigen el uso de aplicaciones de pago que cumplan con el PA–DSS.
-
Aunque muchos proveedores de aplicaciones de pago han desarrollado aplicaciones de pago que cumplen con el PA-DSS, hay una creciente inquietud con respecto a que las actualizaciones en el software de pago no se desarrollan de manera coherente para garantizar que las vulnerabilidades conocidas no vuelvan a introducirse. Además, hay preocupación de que el software de pago no se implemente de forma segura en los sitios del cliente.
Las limitaciones del comercio y el agente revelan que diversas compañías de aplicación de pago tienen prácticas de software deficientes al momento de instalar sistemas y aplicaciones de pago, brindan servicio al cliente con credenciales de acceso predeterminado, compartido o deficiente, y administran sitios del cliente con herramientas de administración remotas mal implementadas. Los delincuentes pueden explotar estas entradas vulnerables y acceder a entornos del tarjetahabiente.
Visa ha desarrollado un conjunto de mejores prácticas para ayudar a las compañías de aplicación de pago a abordar procesos de software esenciales. Como parte de su diligencia debida, los adquirentes, comercios y agentes deben garantizar que las compañías de aplicación de pago que utilicen hayan aprobado la rigurosidad de los procesos de software maduros.
-
Visa ha identificado que determinadas aplicaciones de pago están diseñadas por proveedores de software para almacenar información sensible del tarjetahabiente (por ejemplo, datos completos de banda magnética, CVV2 o datos del PIN) luego de la autorización de la transacción. El almacenamiento de esta información del tarjetahabiente es una violación directa de las reglas de Visa y los DSS de PCI. Los delincuentes apuntan a comercios y agentes que utilizan estas aplicaciones de pago vulnerables y explotan estas vulnerabilidades de la seguridad para encontrar y robar información del tarjetahabiente.
Visa alertará a las partes interesadas clave, incluidos los adquirentes, para ayudar a mitigar los peligros, según sea necesario, con una lista actualizada de aplicaciones de pago vulnerables. Si descubre una aplicación de pago vulnerable y tiene información específica sobre el proveedor de la aplicación de pago, la versión de la aplicación, el lugar donde se almacena la información sensible del tarjetahabiente y la información de contacto del proveedor, notifique a Visa a través del correo electrónico cisp@visa.com. Toda la información proporcionada será verificada a través del proveedor de software. Visa no revelará a ningún proveedor de software la fuente de la información ni divulgará información que pueda revelar la identidad de la fuente.
-
Visa desarrolló las Mejores prácticas de aplicación de pago (PABP) en 2005 para proporcionarles a los proveedores de software orientación sobre el desarrollo de aplicaciones de pago que ayuden a los comercios y agentes a mitigar los peligros, evitar el almacenamiento de información sensible del tarjetahabiente (por ejemplo, datos completos de banda magnética, CVV2 o datos del PIN) y respaldar el cumplimiento general de los DSS de PCI. En 2008, el Security Standards Council de PCI adoptó las PABP de Visa y publicó el estándar como PA-DSS. El PA-DSS reemplaza a las PABP para los fines del programa de cumplimiento de Visa.