Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Combine el procesamiento de pagos móviles y cumpla la normativa PCI

Cumplir las normas PCI ya es difícil, pero ahora el proceso de pagos móviles añade un nuevo giro. Aprenda cómo la encriptación P2P puede ayudarle.

Las pequeñas empresas alrededor del mundo están aceptando tarjetas de crédito debido a las nuevas tecnologías que permiten la aceptación de las mismas a través de teléfonos inteligentes y tabletas. 

Nuevos proveedores, como Square Inc. y Sail, de VeriFone Inc., proporcionan pequeñas llaves de hardware que se conectan directamente a los dispositivos móviles y proporcionan un procesamiento barato y sencillo de pagos con tarjeta de crédito. Si todavía no ha visto uno de estos dispositivos en un taxi, en una pequeña tienda o con un comerciante de acera, no pasará mucho tiempo hasta que note  la nueva tecnología en uso.

Los comerciantes que utilizan dispositivos de cifrado P2PE homologados se están quitando de encima una gran parte del peso del cumplimiento de las normas PCI DSS.

Sin embargo, aunque esta tecnología sea algo tan fascinante y revolucionario, existen algunas ramificaciones que debemos considerar. ¿Qué significa exactamente el uso de esta tecnología para el cumplimiento regulatorio? Eso es lo que vamos a cubrir en este artículo.

PCI sigue siendo vigente; P2PE hace más sencillo el cumplimiento

En primer lugar, el Payment Card Industry Data Security Standard (PCI DSS) todavía se aplica en estas situaciones. Cualquiera que acepte una tarjeta de crédito, independientemente de la tecnología utilizada, debe cumplir con el PCI DSS. Aunque la probabilidad de que los puestos callejeros de perritos calientes estén sujetos a una inspección de PCI DSS es bastante baja, los bancos comerciales solicitarán anualmente la validación del cumplimiento de PCI DSS.

Lo más importante que los comerciantes que están considerando el uso de sistemas de procesamiento de pagos móviles pueden hacer es asegurarse de que utilizan un escáner de tarjetas que esté certificado por el PCI Security Standards Council (SSC) como conforme con su cifrado punto-a-punto (P2PE) estándar. Los dispositivos que utilizan P2PE deben asegurarse de que el teléfono inteligente nunca vea la información sensible de la tarjeta de crédito sin cifrarla, lo que haría que el dispositivo no cumpliese el PCI DSS.

Esto es un gran problema, de lo contrario tratar que los teléfonos inteligentes cumplan con el PCI DSS dentro del alcance del sistema de procesamiento de pagos sería muy difícil. El Payment Card Industry Security Standards Council (PCI SSC) publicó un conjunto de requisitos para P2PE, pero aún no ha publicado una lista de productos o fabricantes P2PE validados. 

Visite su sitio web para encontrar esa lista en los próximos meses. Algunos podrían considerar posponer el lanzamiento de esta tecnología hasta que la lista se haga pública. De lo contrario, existe un pequeño riesgo de que el equipo tenga que ser reemplazado si el producto inicialmente elegido no es validado con éxito.

Con P2PE, el lector de tarjetas en sí mismo utiliza tecnología de cifrado para proteger los detalles de una transacción con tarjeta de crédito. El número de tarjeta y otro tipo de información sensible se transforman en un mensaje cifrado que no puede ser leído sin la clave secreta. El lector entonces utiliza el teléfono inteligente para transmitir este mensaje cifrado al procesador de la transacción de tarjeta de crédito, el cual posee la clave de descifrado. 

La belleza de este enfoque es que ninguno de los puntos de transacción entre el lector de tarjetas y el procesador de transacciones tienen acceso a la información sensible y, por lo tanto, no están sujetos a los rigurosos procedimientos de cumplimiento exigidos por la norma PCI DSS.

Proceso simplificado de validación

Los comerciantes que utilizan dispositivos de cifrado P2PE homologados se alivian de una carga significativa de exigencias de PCI DSS. El Consejo PCI reconoce esto y permite a los comerciantes utilizar un proceso de validación de cumplimiento simplificado si reúnen cuatro requisitos:

1. El comerciante está utilizando un producto P2PE en la lista, que será publicada próximamente, de productos P2PE validados por PCI SSC.

2. El comerciante no almacena, procesa o transmite ninguna información del titular en ningún sistema aparte del producto P2PE validado.

3. El comerciante no almacena datos de titulares de tarjetas en formato electrónico, incluyendo datos de titulares provenientes de sistemas de pago anteriores.

4. El comerciante ha obtenido una copia del manual de instrucciones P2PE PCI SSC (proporcionado por el proveedor) para su producto P2PE específico y conoce todos los requisitos descritos en este manual.

Los comerciantes que cumplan con estos cuatro requisitos son elegibles para rellenar el Cuestionario de autoevaluación P2PE-HW  (SAQ) abreviado. En resumen, esta versión de la SAQ sólo hace preguntas sobre:

• El contenido de las políticas comerciales y los procedimientos relacionados con la retención de datos del titular, respuestas a incidentes, eliminación y almacenamiento  seguros de los datos de los tarjetahabientes.

• Aplicación y revisión de las políticas y procedimientos de la organización.

• Uso y almacenamiento de códigos/valores de verificación de tarjeta ("código de seguridad" de tres o cuatro dígitos en el reverso de la tarjeta).

• Enmascaramiento de números de tarjetas de crédito cuando se muestran en papel.

• Prohibir la transmisión de números de tarjetas a través del correo electrónico, de mensajería instantánea y de tecnología de chat.

• Asegurar el soporte físico que contenga información de los tarjetahabientes.

• Entrenamiento del personal sobre concienciación de seguridad.

• Uso de proveedores de servicios.

• Planificación de respuestas a incidentes.

Las siete páginas de preguntas en este SAQ son un alivio en comparación con los largos cuestionarios requeridos para los sistemas más complejos de procesamiento de información de tarjetahabientes.

Conclusión

Los pequeños comerciantes que pueden satisfacer sus necesidades de negocio con los sistemas de pago móviles, encontrarán que su carga de cumplimiento de exigencias puede reducirse significativamente si utilizan un producto P2PE válido de procesamiento de tarjetas de crédito. 

Mediante la eliminación de los datos de la tarjeta del entorno del comerciante, los productos P2PE proporcionan a los clientes un alto grado de seguridad y reducen dramáticamente el riesgo de que un comerciante sea la fuente de una brecha de la seguridad de la información.

Sobre el autor:

Mike Chapple, Ph.D., CISA, CISSP, es un gestor de seguridad informática de la Universidad de Notre Dame. Anteriormente se desempeñó como investigador de seguridad de la información con la Agencia de Seguridad Nacional y las Fuerzas Aéreas de los EE.UU. Chapple es un colaborador frecuente de SearchSecurity.com, y sirve como su experto en el cumplimiento de los marcos, normas y estándares empresariales para su panel “Ask the Experts”(Pregunta a los expertos).. Es editor técnico de la revista Information Security y autor de varios títulos de seguridad de la información, incluyendo la guía CISSP Prep Guide y el libro Information Security Illuminated.

Este artículo se actualizó por última vez en noviembre 2012

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close