¿Qué se esconde tras PCI DSS?

Dado que PCI DSS (Payment Card Industry Data Security Standard), como bien su nombre lo indica, es un estándar, se rige por ciertos requisitos aunque, en este caso, dado su carácter (no es obligatorio) estos requisitos son únicamente recomendaciones. Podemos englobar las normas en diferentes categorías: Desarrollar y mantener sistemas y redes seguros, Proteger los datos del titular de la tarjeta, Mantener un programa de administración de la vulnerabilidad, Implementar medias sólidas contra el acceso, Supervisar y evaluar las redes con regularidad y Mantener una política de seguridad de la información. Los requisitos que se engloban en éstas son los siguientes^[1]:

• Instalar y mantener una configuración de firewalls para proteger los datos de los titulares de las tarjetas
• No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores
• Proteger los datos del titular de la tarjeta que fueron almacenados .
• Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
• Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente
• Desarrollar y mantener sistemas y aplicaciones seguras
• Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa
• Identificar y autenticar el acceso a los componentes del sistema.
• Restringir el acceso físico a los datos del titular de la tarjeta
• Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas
• Probar con regularidad los sistemas y procesos de seguridad.
• Mantener una política que aborde la seguridad de la información de todo el personal

En la siguiente imagen podemos observar la colocación de las restricciones en cada una de las categorías nombradas anteriormente:

 

Con el creciente comercio electrónico, es lógico que las empresas que utilicen pagos online se quieran certificar en el PCI DSS, éste no solo le garantiza un nivel de seguridad si no que, además, le proporciona a la empresa cierta reputación y los usuarios o consumidores de sus productos le otorgan confianza a la empresa.

A la hora de buscar información sobre diferentes empresas que tuvieran dicho certificado me he parado a pensar cómo se consigue dicho certificado y me he puesto a indagar en ello. En un artículo publicado por Medium^[2] y la sección de FAQ de CompilanceGuide^[3] he encontrado la información que necesitaba.

Todas las empresas que utilizan el sistema de pago online (mediante tarjeta) se ubica en uno de los cuatro niveles definidos por Visa según el volumen de transacciones realizadas en el periodo de un año. El certificado en cada nivel se puede obtener de dos maneras: autoevaluado o mediante        QSA (Qualified Security Assesor). La mayoría de las empresas prefieren la autoevaluación dado que los tiempos y los costes son menores que con QSA. Si bien una empresa nivel 1 debería contratar un QSA, es posible que ésta se pueda autoevaluar rellenando un cuestionario (dependiendo de lo involucrados que estén con los datos éste podría ser: SAQ A, SAQ A-EP o SAQ D). En la siguiente tabla se refleja la relación entre volumen, tipo de evaluación y nivel PCI:

Volumen transacciones (anuales)	Tipo de evaluación	Nivel PCI
Menos que 2.000	Autoevaluación	PCI nivel 4
Entre 2.000 y 1.000.000	Autoevaluación	PCI nivel 3
Entre 1.000.000 y 6.000.000	Autoevaluación	PCI nivel 2
Más de 6.000.000	QSA	PCI nivel 1

Si bien es verdad que he encontrado diferentes empresas que tiene el certificado PCI, la empresa que voy a mencionar que lo tiene es Flutterwave dado que hay un punto que me ha resultado curioso[x]. Muchas empresas han conseguido el estándar PCI, pero, de entre las que he encontrado, Flutterwave es la única que ha renovado su certificación^[3] el 23 de Octubre de 2017. Dadas las transacciones que esta empresa realiza, han tenido que certificar un Nivel 1 de PCI.

Mientras buscaba información para este post, me encontré con datos sobre una aplicación llamada Rappi. Ésta es una aplicación que nos permite realizar compras en comercios cercanos. El problema de esta aplicación fue la manera en la que trataban los datos dado que, al no utilizar los mecanismos recomendados por el procesador de pagos, éstos fueron expuestos. Estaban exponiendo las credenciales del lugar en el que se guardaban los datos en el código de la página web y, por tanto, se pudo conocer la información de tarjetas de crédito almacenadas. En consecuencia, se realizaron miles de operaciones fraudulentas. Tardaron 61 días en arreglar el fallo dado que éstos no poseían ninguna persona encargada de solucionar bugs^[2].

Me gustaría concluir este post comunicando que, por mucho que se intente regularizar algo, siempre vamos a tener el factor humano “en nuestra contra”. El mayor de los problemas al que una empresa se enfrenta es el factor humano dado que cometemos errores. Antes de realizar cualquier compra online, deberíamos cerciorarnos de que la empresa a la que le estamos comprando tiene la certificación PCI dado que, en caso contrario, se podría dar la situación de acabar siendo nosotros los que nos veamos envueltos en una situación parecida a la de los usuarios de Rappi.

 

Referencias:

^[1] PCI Security Standard Council, Requisitos y procedimientos de evaluación de seguridad, noviembre 2013, acceso el 4 de noviembre de 2018, https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf

^[2] Advisability, <<Fallas graves en la seguridad de tarjetas de crédito y credenciales en Rappi>>, Medium, 4 de Noviembre de 2018, https://medium.com/advisability/tarjetas-credito-rappi-714e75166f7a

^[3] <<Preguntas frecuetes de PCI>>, CompilanceGuide.org, acceso el 4 de noviembre de 2018, https://www.pcicomplianceguide.org/faq/#4

[x] Flutterwave, <<Flutterwave Renews PCI-DSS Level 1 Certification, 4 de noviembre de 2018, https://medium.com/@theflutterwave/flutterwave-renews-pci-dss-level-1-certification-1b39feda711c