Todo lo que necesita saber sobre PCI (Payment Card Industry Security Standards) y no se atrevía a preguntar

OpiniónEl otro día un integrador de tecnología me preguntaba muy preocupado que cuándo se le vencía el plazo para certificarse en PCI para poder seguir vendiendo productos de TI a entidades financieras. Me quedé consternada, pensando en que probablemente no hay suficiente claridad respecto al objetivo del estándar PCI y respecto a quiénes son sujetos de su cumplimiento.  Valió la pena platicarle que los plazos ya han vencido, y ahora más bien se trata de un cumplimiento permanente con revisiones periódicas. El cumplimiento lo exigen las entidades emisoras de las tarjetas de crédito (VISA, Master Card, AMEX), y no el Consejo de PCI (PCI Council).

Así que pensé que sería un buen ejercicio condensar los fundamentos de PCI. Comencemos con un poco de historia:

En 2006, un grupo de cinco entidades financieras, preocupado por el alto índice de fraudes con tarjetas, se reunió para crear un programa de seguridad de datos y fundaron un consejo denominado PCI Security Standards Council. Este grupo está conformado por American Express, Discover Financial Services, JCB International, MasterCard y VISA aunque posteriormente muchas otras organizaciones se han sumado a los esfuerzos para mejorar los estándares y vigilar su cumplimiento.

Así nació el estándar PCI-DSS que significa Payment Card Industry – Data Security Standard y consiste de una serie de normas de seguridad que exigen 12 requerimientos de seguridad agrupados en 6 categorías.

¿Cuáles son los principios que busca proteger?:

  • Construir y mantener redes seguras.
  • Proteger la información del tarjetahabiente.
  • Contar con programas de pruebas de vulnerabilidades
  • Implementar controles de acceso robustos.
  • Monitorear y probar acceso a la red regularmente.
  • Mantener políticas de seguridad de la información.

 

¿A quiénes se les aplica?

El criterio para determinar si el establecimiento (“merchant”) debe cumplir con PCI es muy sencillo: Deberán hacerlo siempre que transmitan, procesen o almacenen datos de tarjetas de crédito. Por lo general, estos establecimientos caen en comercios minoristas, bancos, e-commerce y proveedores de servicio de  estos mismos.

EJEMPLO 1: ¿Esto significa que aunque yo no sea un banco pero sí proceso datos de tarjetas porque doy servicios en outsourcing a un banco, debo cumplir? La respuesta es afirmativa; la única diferencia es que la revisión para determinar el cumplimiento de un tercero (outsourcing) se realizará como parte de la evaluación integral a tu cliente (Banco).

EJEMPLO 2: ¿Si soy un establecimiento pequeño con un volumen bajo, puedo estar exento? No, ya que cualquier entidad que procese datos de tarjetas de crédito debe cumplir. Para facilitar el cumplimiento a estas entidades pequeñas, existe la posibilidad de hacer una auto-evaluación (Self-Assessment).

EJEMPLO 3: ¿Esto significa que si le vendo infraestructura de TI a un establecimiento debo cumplir con PCI? No, mientras no proceses información de tarjetas de crédito. Si la infraestructura que le vendiste al establecimiento se usa para procesar tarjetas, tu cliente es el responsable de pasar por el proceso de cumplimiento de dicha infraestructura.

¿Quién es quién?

Un punto importante que no se debe perder de vista y que habíamos mencionado previamente es que quien exige el cumplimiento de PCI a los establecimientos afiliados a tarjetas de crédito es la entidad financiera (ej. VISA), y no el PCI Council, que es sólo un organismo regulador.

Para facilidad en la vigilancia y apoyo en el cumplimiento del estándar, el PCI Council creó diferentes figuras de manera que los establecimientos obtengan la ayuda adecuada de los expertos en seguridad que les orienten y evalúen el cumplimiento, como sigue:

QSA (Qualified Security Assessor).- Este tipo de entidad es un externo que está calificado por el PCI Council para realizar evaluaciones de cumplimiento del estándar. Para ello pasa a su vez por un proceso de certificación.

ASV (Approved Scanning Vendor).- Este tipo de entidad es un externo que está calificado para validar el apego al estándar PCI DSS realizando escaneos de vulnerabilidades de ambientes de cara a Internet, de establecimientos y proveedores de servicios (como parte del Requisito 11, ver sección de requisitos).

PA-QSA (Payment Application-Qualified Security Assessor).- El estándar PA-DSS aplica a los fabricantes de software y otros componentes que desarrollan aplicaciones que almacenen, procesen o transmitan datos del tarjetahabiente o de la tarjeta. El PA-QSA es el tipo de entidad externo que está calificado para certificar el cumplimiento del fabricante del PA-DSS.

¿Qué servicios existen alrededor de PCI?

Como proveedor de seguridad de la información,  existen varios caminos para apoyar a la industria en el cumplimiento del estándar PCI:

  • Certificarse en alguna de las figuras mencionadas, con un foco especial.
  • Proporcionar servicios relacionados con los controles que solicita el estándar.

En cualquiera de estos esquemas, el valor que un proveedor de SI puede ofrecer es su experiencia y visión en la mitigación de riesgos y en la protección de datos sensibles.

¿Cuáles son los requisitos específicos que se deben cumplir para PCI?

A continuación se listan brevemente los requisitos:

  • Instalar y mantener una configuración de firewall para proteger los datos de las tarjetas.
  • No usar contraseñas y otros parámetros de seguridad como vienen de fábrica  (valores por omisión).
  • Proteger los datos del titular de la tarjeta que fueron almacenados.
  • Cifrar la transmisión de los datos de las tarjetas a través de redes públicas.
  • Utilizar un software antivirus y actualizarlo regularmente.
  • Desarrollar y mantener sistemas y aplicaciones seguras.
  • Restringir el acceso a los datos de las tarjetas conforme a la necesidad de la empresa (need-to-know).
  • Asignar nombres de usuario únicos a cada persona que tenga acceso al sistema.
  • Limitar el acceso físico a los lugares donde se almacenen datos de las tarjetas.
  • Rastrear y supervisar los accesos a los recursos de red y los datos de los titulares de las tarjetas.
  • Probar los sistemas y procesos de seguridad regularmente.
  • Mantener una política que aborde la seguridad de la información.

Para cada uno de estos requisitos, existe una gama de servicios e infraestructura de apoyo al establecimiento, orientados a la seguridad de su operación sensible, y por ende al cumplimiento del estándar.

Se recomienda consultar la página oficial de PCI y en particular el FAQ. El Council recibe preguntas en el sitio, relacionadas con situaciones particulares de un establecimiento y que el criterio general no lo haya resuelto y que no se encuentren en el FAQ: https://www.pcisecuritystandards.org/

[email protected]

Priscila Balcazar. CISA, CISSP y CGEIT

Profesional de tecnologías de información, cuenta con 17 años de experiencia en la industria, con un enfoque especializado hacia la auditoría y seguridad de la información. Su colaboración en diversas organizaciones como KPMG, Sun Microsystems, Naciones Unidas y Scitum le ha otorgado un panorama amplio de las necesidades de los clientes en materia de protección y cumplimiento. Priscila ha participado en diversos foros como LatinCACS, en comités de trabajo de la ISACA y en revistas especializadas del medio. Actualmente se desempeña como Directora de Entrega de Servicios, en Scitum, donde ha forjado su carrera primordialmente. 

Tags:

  41 comments for “Todo lo que necesita saber sobre PCI (Payment Card Industry Security Standards) y no se atrevía a preguntar

  1. Kenneth Tovar
    25/03/2013 at 10:11 AM

    A pesar del tiempo en el que fue publicado, el resumen que nos diste Priscila es vigente aún. La verdad mejor no se pudo haber resumido.

    La pregunta ahora es…. ¿PCI no se certifica verdad? Por lo que entendí solo se es o no compliant dependiendo del resultado que el QSA determine luego del assessment. Es decir, uno será PCI compliant una vez tenga CERO no conformidades.

    Agradezco sus comentarios y felicitaciones por el articulo!

  2. 04/04/2013 at 3:25 PM

    Estimado Kenneth,

    qué gusto que el artículo sea de tu interés. En efecto, tu apreciación es correcta, una empresa es o no compliant, sin embargo no es como tal una certificación.

    Seguimos pendiente de los comentarios y Saludos,

  3. 29/07/2013 at 6:32 PM

    Hola Priscila, buenas tardes, me podrías orientar en cómo cumplir con PCI, hemos desarrollado una aplicación móvil para poder hacer pagos con tarjetas de crédito y débito usando un lector de tarjetas conectado al móvil, nosotros transmitiremos los datos de la tarjeta para que un banco realicé el cargo.
    Según entiendo seriamos una parte más a evaluar por parte del banco para que cumpla con el PCI.
    Podríamos ayudarme a aclarar el tema por favor?

    Agradezco de antemano tu apoyo y atención.

    Saludos.

  4. 05/08/2013 at 1:31 PM

    Qué tal Carlos

    Efectivamente, tu negocio es una parte en la cadena de uso de la tarjeta de crédito de clientes finales, por lo tanto les aplica el cumplimiento de PCI.

    Es posible que en algún momento los bancos o VISA o Mastercard, te solicitarán una evaluación para valorar el nivel de cumplimiento de los 12 controles de seguridad. Hasta donde entiendo, en México no existe un calendario, simplemente hay que estar preparados.

    Lo que les recomiendo es entrar a la página de PCI, y accesar a la sección de Autoevaluación/Self Assessment, para que por lo pronto ustedes mismos evalúen qué tan lejos estarían. Derivado de los resultados, habría que valorar en qué tienen que implementar mejoras.

    https://www.pcisecuritystandards.org/

    Quedamos a tus órdenes

  5. Nelly´s
    15/09/2013 at 9:10 PM

    Saludos

    Priscila valiosa información que en un breve extracto llama a la comprensión, por favor acláreme unas dudas respecto a PCI DSS en “comercios”. Existe una tabla que clasifica en uno de los 4 niveles a los comercios según el número de transacciones y dichas tablas las publican Visa y Mastercard, no he encontrado información de los otros miembros de PCIS SSC, ¿o utilizan las mismas tablas?

    Adicional en el caso de las entidades bancarias que en su mayoría son adquirientes, emisores y operadores, ¿el proceso de certificación contempla tareas por separado por cada categoría?, ¿cómo se suele manejar el proceso de certificación en estos casos?

    Agradezco su importante respuesta y atención

  6. 24/09/2013 at 9:39 AM

    Hola Nelly

    Gracias por tu interés.

    Las tablas de clasificación de los comercios son una referencia, y dado que Visa y Mastercard son entidades pilares del estándar, los miembros y todos los sujetos del estándar se adhieren a estas referencias.

    Respecto a la segunda pregunta, el proceso de certificación no tiene diferentes actividades por cada categoría, aún en entidades bancarias, sólo que dependiendo de la complejidad de las operaciones y la magnitud de la infraestructura/aplicativos que soporten las tarjetas de crédito, se realizan pruebas con una mayor profundidad y alcance para poder determinar dónde harían falta controles.

    Estamos a tus órdenes.

  7. Eugene
    20/02/2014 at 9:38 AM

    Buenas tardes,
    Muchas gracias por su resumen , me ha resultado de mucha utilidad. Tengo una duda al respecto, si yo dispongo de un sitio web donde si almaceno datos de número de tarjeta pero no los utilizo para nada. ¿Aplica en este caso? Los almaceno por requerimientos del banco.

    Saludos y gracias.

  8. 20/02/2014 at 4:09 PM

    Hola Eugene, que bueno que fue de utilidad.

    Respecto a tu pregunta, te comento que de acuerdo con la regulación, esos datos que almacenas si son susceptibles de protección a través de los controles que indica PCI. Ahora, de manera practica te comento que si ya no los utilizas sin duda el camino mas seguro es su eliminación.

    Espero esta respuesta te sea útil

    Saludos

  9. JOSE LUIS
    03/03/2014 at 12:00 PM

    Hola Piriscila
    De mucha utilidad su post se le agradece mucho. Actualmente tengo Ecommerce utilizando TPV proporcionada por los mismos Bancos que son Visa y Master Card, la captura de la tarjeta, el proceso de la transacción ocurre en el portal de los bancos y me devuelven una confirmación ya sea exitosa o no.

    ¿En este caso soy susceptible a PCI?

    Saludos

  10. 04/03/2014 at 12:58 PM

    Estimado José Luis,

    Qué bueno que ha sido de utilidad el artículo.

    Por lo que entiendo, los clientes capturan los datos de su tarjeta de crédito en el portal, y el banco le envía a ustedes la autorización de pago. ¿Correcto? Siendo así, no son susceptibles de protección bajo el estándar PCI, ya que ustedes nunca ven, ni procesan, ni almacenan información de tarjeta de crédito.

    Si es otro el contexto, le agradezco más información para precisar la respuesta.

    Saludos!!

  11. JOSE LUIS
    05/03/2014 at 10:31 AM

    Buenos días Priscila

    Le agradezco mucho el tiempo que se toma para poder responderme, como menciona la captura de datos de la tarjeta ocurre en el portal de los bancos y también el proceso de autorización; estos a su vez me envían un código de autorización. Ese número de autorización sí lo almacenamos en mi base de datos.

    ¿Cómo puedo demostrar o probar que la estructura que tengo no es susceptible a PCI?, para que mis clientes estén tranquilos.

    Saludos Cordiales
    José Luis

  12. 07/03/2014 at 12:57 PM

    Estimado José Luis

    El enunciado de PCI es muy claro en su alcance, aplica a quienes “ven” los datos de TDC y tu infraestructura nunca ve los datos, solo la autorización. Si algún cliente te solicita una explicación, considero que con un diagrama donde muestres el portal del banco y cómo viaja únicamente la autorización hacia tu punto de venta o a tu app, será suficiente, muy gráfico.

    Lo que si debes tener en cuenta es que si tienes otros datos de tus clientes como nombre, domicilio, correo, etcétera, debes cumplir con la LFPDPPP y debes tener el aviso de privacidad a la vista en tu portal y establecimiento, asegurándote que proteges sus datos, ya sea cifrando o con otros controles.

    Espero te sea útil, y estamos a tus órdenes.

  13. Roberto Medellín
    10/10/2014 at 2:35 PM

    Estimada Priscila, me permito consultarte con la finalidad de que me compartas por lo menos 3 empresas que tu recomiendes, que me puedan ofrecer los Software’s de Punto de Venta y Web Service para aplicar pagos en línea sin tener que dejar datos del tarjeta habiente en nuestras bases de datos, únicamente usar los datos para realizar el pago.

    Quedo en espera de tus comentarios y te felicito por tu Blog.

  14. Jesús
    22/01/2015 at 10:35 AM

    Hola Priscila,

    Felicidades por el Blog.

    Tengo dos dudas que quizás me puedas resolver:
    – Somos una empresa que estamos desarrollando una pasarela de pago/TPV virtual…Si se almacena solamente el BIN (los 6 primeros dígitos del número de la tarjeta, no el PAN completo) y el nombre del titular, ¿es necesario pasar PCI DSS?
    – Para certificar un TPV contactless, ¿cuál es el procedimiento para lograr la certificación PCI PTS como dispositivo validado?

    Muchas gracias por su atención.

    ¡Saludos!

    Jesús

  15. 27/01/2015 at 11:29 AM

    Estimado Jesús:

    Gracias por escribirnos y por tu interés en el tema.

    Respecto a tu primer pregunta, estrictamente por almacenamiento tu sistema no sería sujeto de cumplimiento PCI, sin embargo, supongo que en algún punto del proceso tienes acceso a los datos completos, es ahí donde habría que revisar los controles. Te recomendamos bajar el Self assessment questionnarie, donde tocarás estos puntos para identificar si debes estar en cumplimiento.

    Aquí la liga:

    https://es.pcisecuritystandards.org/security_standards/documents.php?category=saqs

    Respecto a tu segunda pregunta, en el sitio de PCI publican los dispositivos que ya están aprobados. Son más de 500 marcas/modelos, ahí puedes verificar el que tengas si es que compraste un producto comercial.

    https://es.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php

    Pero si lo que buscas es certificar un dispositivo propietario, el proceso viene en la guía:

    https://www.pcisecuritystandards.org/documents/PTS_Program_Guide_v1-4_March_2014.pdf

    Esperamos esta información te sea de utilidad.

  16. roose
    28/01/2015 at 8:11 AM

    Hola, ¿Qué empresas recomiendas que certifiquen en el estándar PCI DSS? Gracias.

  17. hiram
    03/03/2015 at 12:10 PM

    Hola Priscila,

    Me dedica a la venta de cajeros automáticos, y un cliente me pregunta si cumplo con la certificación PCI-DSS y PCI- PTS, ¿no sé a que se refiere o que es lo que debo de hacer?

  18. Joel
    03/03/2015 at 2:00 PM

    Estimada Priscila,

    Ha sido muy interesante tu post, no hay mucha info con tal detalle acerca de PCI, gracias.

    Nuestro caso es el de una mobile app en la que datos de TC del cliente pretender ser almacenados de forma “distribuida”, es decir, dos de los tres datos de TC que nos solicita la institución bancaria para realizar un cobro automático estarían en una base de datos central y el tercero en el dispositivo del usuario, de manera que siempre que se intente hacer un compra a través de la app, el dispositivo móvil envía el tercer dato para realizar la transacción, para después desecharlo, ¿en éste caso estamos a cumplir con PCI?.

    De antemano, gracias,

  19. 09/03/2015 at 7:05 AM

    Hola,

    Muchas gracias por tu interés.

    El estándar PCI fue creado por 5 empresas de tarjetas de crédito que definieron Normas de seguridad de la industria de tarjetas de pago para proteger los datos de las tarjetas de crédito. Le aplica a cualquier establecimiento que en cualquier punto de su proceso de cobro (adquisición de datos, transferencia, almacenamiento, procesamiento, etc.) tenga acceso a los datos de una tarjeta de crédito.

    Por tanto, los cajeros automáticos caen en esta categoría, ya que en algún punto tienen acceso a los datos.Es decir, los cajeros que vendes deben cumplir con una serie de controles de seguridad, para seguridad de las entidades bancarias y de los clientes, que vienen recomendados en esta guía:

    https://es.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php

    Además, existe una lista de dispositivos comerciales que ya de fábrica cumplen con estos controles. Sería bueno que buscaras tu marca en esta lista para ver si tu proveedor ya implementó estos controles (o los que le apliquen) a los cajeros o bien consultar con tu proveedor para saber si han cumplido ya con el estándar PCI.

    https://es.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php

    Quedamos a tus órdenes

  20. 09/03/2015 at 7:06 AM

    Estimado Joel

    Gracias por tu interés en el tema.

    A reserva de entender un poco más a detalle la arquitectura de la aplicación, nuestro entendimiento es que en algún momento del procesamiento la aplicación tiene acceso a los tres datos. Siendo así, se deben proteger bajo los estándares de PCI.

    Habría también que ver si es una aplicación comercial, y si ya se encuentra listada en las aplicaciones que han implementado los controles de seguridad de PCI :

    https://es.pcisecuritystandards.org/approved_companies_providers/validated_payment_applications.php?agree=true

    Si es un desarrollo propietario, también podrías verificar en alguna de las aplicaciones validadas, alguna arquitectura similar, que viene descrita al final de cada fabricante. Por ejemplo, Description Provided by Vendor: E-Payment Integrator is middleware for other payment applications. Its purpose is to receive transactions from another payment ap-plication, format the transaction details in a manner required by the supported payment processor, and then communicate the transaction to the processor.

    Pero en definitiva y en resumen, cualquier establecimiento que tenga acceso a los datos de tarjeta de crédito debe contar con controles de seguridad definidos por PCI.

    Esperamos la respuesta sea de utilidad

  21. Carlos Estrada
    09/03/2015 at 3:15 PM

    Estimada Priscila,

    Gracias por los detalles publicados, en mi negocio estamos desarrollando una aplicación de pago de servicios, capturaremos los datos del cliente nombre completo, numero de documento personal, numero de tarjeta (encriptado), fecha vencimiento de la tarjeta y estos quedaran almacenados en una base de datos, unicamente el numero de tarjeta estara encriptado, y desde el sistema se solicitará el cargo al banco. Deseo saber si mi aplicacion esta sujeta a PCI DSS.

    Gracias.

  22. 12/03/2015 at 6:44 AM

    Qué tal Carlos,

    Gracias por tu interés en el artículo.

    Tu aplicación sí es susceptible de los estándares de PCI, ya que aplica a todo establecimiento que en algún punto del proceso tenga acceso de lectura, captura, modificación, procesamiento, almacenamiento, transmisión o desecho de los datos de la tarjeta. De hecho, por lo que nos explicas, ya cuentas con un control que es el cifrado del número de tarjeta. Si revisas los controles recomendados, probablemente encontrarás que tu aplicación ya cumple con algunos de estos. Será cuestión de reforzar el resto.

    https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf

    Quedamos a tus órdenes,

    Saludos

  23. José
    12/03/2015 at 9:36 AM

    Buenas tardes…
    ¿Y cuáles son las multas o sanciones por incumplimiento que las marcas ejecutan a los emisores o proveedores de servicios?

  24. Wavy
    17/04/2015 at 2:48 PM

    Buenas.
    ¿En qué caso se aplica esto que mencionas?
    “EJEMPLO 3: ¿Esto significa que si le vendo infraestructura de TI a un establecimiento debo cumplir con PCI? No, mientras no proceses información de tarjetas de crédito. Si la infraestructura que le vendiste al establecimiento se usa para procesar tarjetas, tu cliente es el responsable de pasar por el proceso de cumplimiento de dicha infraestructura.”
    Me explico..
    En caso que “YO” le desarrolle y venda la aplicación a “X” persona (hasta acá termina mi parte) que compra los terminalPOS y les instala la aplicación para comercializarlos con un Banco.
    ¿En este caso quien tendría que cumplir con el proceso de certificación? Yo como desarrollador, X como vendedor o Banco como procesador de tarjetas.
    Saludos y gracias por su excelente página.

  25. 03/05/2015 at 10:12 PM

    Estimado Wavy:

    Gracias por tu interés en el tema.

    En el caso de los desarrolladores de software para POS y otros dispositivos, en efecto, tú como empresa no tienes que cumplir con PCI. Sin embargo, si en algún momento llegaras a realizar pruebas de datos con una copia de la información real de tarjetas de crédito de tus clientes (lo cual es por supuesto innecesario y poco seguro), sí tendrías que cumplir con el estándar.

    Y por otro lado, lo que PCI recomienda para empresas como la tuya, es una guía con las normas de seguridad para los aplicativos. Por cierto este documento fue publicado posterior al artículo de la revista. Qué bueno que nos preguntas ahora para mantenerte actualizado. Lo puedes bajar de manera gratuita en esta liga:

    https://es.pcisecuritystandards.org/minisite/en/pa-dss-v3-0.php

    Seguimos con gusto a tus órdenes

  26. 09/06/2015 at 12:07 PM

    Hola Priscila!

    Mi empresa brinda servicios con diversas plataformas para procesar, autenticar y controlar de forma segura transacciones de pago de e-commerce en un entorno 3D-Secure, y ya contamos con una certificación PCI-DSS, debemos también contar con una PA-DSS? Estuve leyendo respecto a esta última y no me queda claro si deberíamos aplicar a la PA-DSS? Agradezco de antemano tu respuesta y el contenido de tu blog!, saludos desde Perú.

  27. 12/06/2015 at 1:30 PM

    Hola Mark

    Gracias por tu interés.

    El PA-DSS aplica para los desarrolladores de software, de manera que implementen los controles de seguridad de PCI, en sus aplicaciones.

    Si ustedes desarrollaron y mantienen su aplicación de e-commerce, entonces sí deberían certificarse. En caso contrario, tu proveedor de la aplicación debe estar certificado en PA-DSS.

    Espero esta información te sea útil.

    Saludos

  28. MAri
    08/07/2015 at 6:19 PM

    Estimada Priscila,
    Gracias por compartirnos la información para darnos mundo sobre el tema. Sinceramente a mi no me ha quedado muy clara, te comentare mi caso.

    Un cliente nos está pidiendo la certificación ya que estaremos resguardando tarjetas, nosotros nos encontramos en la Ciudad de México y por lo que he leído no es como tal una certificación si no cumplir con la norma.

    ¿A quién debo de acudir para que me evalué o me del crédito de que cumplimos con todo lo que pide la norma?

    Ya ingresé a la página https://es.pcisecuritystandards.org y descargue la norma y un cuestionario de autoevaluación, ¿que procede?

    Espero me puedas ayudar u orientar en el tema ¡Gracias!

  29. 14/07/2015 at 10:31 PM

    Estimado lector, gracias por tu interés en el tema.

    En efecto, un primer paso es la autoevaluación para que ustedes mismos tengan claridad de su acercamiento al cumplimiento de la norma y puedan implementar los controles que hagan falta.

    Sin embargo, para tranquilidad del cliente y de nuevos clientes y aliados, una muy buena opción es la validación de un tercero, que emite un certificado de cumplimiento.

    En la misma página del estándar PCI viene la lista internacional de QSAs (Qualified Security Assessor) donde puedes encontrar un asesor.

    https://es.pcisecuritystandards.org/approved_companies_providers/payment_application_qsas.php

    Esperamos esta información te sea de utilidad.

    Saludos

  30. Mauricio Melgarejo
    22/10/2015 at 1:03 PM

    Hola Priscila, buenas tardes.

    Creo que este es un excelente artículo, en el cual, simplificas todo los conceptos generales en cuanto al cumplimiento de PCI en México. Solo me queda una pregunta, ya encontré en los sitios de Visa y American Express, los criterios y posibles sanciones en cuanto al incumplimiento de la norma, sin embargo, sigo sin encontrar al respecto por parte de Mastercard. ¿Podrías ayudarme?

    Gracias y saludos!

  31. David Jaimes
    14/12/2015 at 6:45 PM

    Hola,
    ustedes pueden ayudarme a obtener la Certificación PCI DSS??

    Estoy en México DF

  32. 15/12/2015 at 9:18 AM

    Hola David

    Lamentablemente no podemos ayudarte, pues en Magazcitum no nos dedicamos a dar servicios de consultoría.

    Saludos
    Carpe diem

  33. Jose Arturo Gutierrez
    19/01/2016 at 5:36 PM

    Hola Priscila, tengo una fabrica de tarjetas Plasticas de pvc que son monederos electrónicos en tiendas departamentales , ósea que un cliente compra en dicha tienda y le abonan un porcentaje de su compra en la tarjeta que tiene un codigo de barras, para que el cliente luego pueda comprar con el importe que le abonaron en su monedero, pero la tienda departamental me esta solicitando una certificación de visa o masterd card, me podrías decir con quien comunicarme para que me ayudara en ese proceso, me encuentro en Mexico, ojala me pudieras orientar ya que me urge mucho esta certificacion, mil gracias y saludos.

  34. Alejandro Carranco
    07/03/2016 at 3:38 PM

    Buenas tardes

    Tenemos contratado el servicio de “Cargos recurrentes” de PROSA, a través de Santander. En dicho portal ingresamos los datos del tarjetahabiente para que se les haga el cargo. Prosa nos indica si la operación fue exitosa o rechazada. Debo estar certificado en PCI?

  35. Fausto
    18/06/2016 at 11:40 PM

    Priscila solo paso por aquí para agradecer tus comentarios y el tiempo que has dedicado a resolver dudas, leyendo los casos me ha quedado clara mi situación

    Muchas gracias por tu valioso tiempo

  36. Stella
    27/07/2016 at 6:34 PM

    Hola mi nombre es Stella y tenemos una Startup en México la cual necesitará de una pasarela de pagos, quisiera saber cómo válido que en verdad la pasarela de pagos que yo eliga, cuenta con el certificado PCI ¿Existe algún lugar donde pueda ver quienes tienen el certificado?

    Gracias por resolver mi duda.

  37. JULIO CESAR
    10/02/2017 at 1:27 PM

    Buenas tardes, estamos desarrollando una aplicación móvil que ocupa de cobro con tarjetas, para facilitar futuras transacciones al usuario preguntamos si desea guardar la información de la tarjeta, si este acepta guardamos la información de forma cifrada en el teléfono y no en nuestros servidores ¿Debemos estar certificados en PCI?

  38. ANTONIA
    17/03/2017 at 2:42 PM

    BUENAS TARDES SOMOS UNA AGENCIA DE VIAJE IATA POR LO CUAL NOS PIDEN CUMPLIR CON PCI DSS, ¿QUIÉN NOS DEBE CERTIFICAR O SOLO BASTA CON UNA AUTOEVALUCIÓN?

    AGRADECERIA UNA RESPUESTA, GRACIAS

  39. 21/03/2017 at 10:17 AM

    Estimada Antonia:

    Gracias por tu interés en el artículo.
    Lo que PCI dice acerca del self assessment es: “Ideal for small merchants and service providers that are not required to submit a report on compliance”

    En este sentido nos gustaría entender tu frase “…nos piden cumplir con PCI…” ¿Alguna entidad gubernamental o financiera les pidió un reporte de cumplimiento?

    De no ser así, el self assessment sí es suficiente.

    Si la respuesta es sí, entonces hay que buscar un vendor autorizado en esta página. Si no hay alguno en Chile, puedes preguntar algunos en Estados Unidos si lo pueden hacer de forma remota.

    https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors
    Approved Scanning Vendors – PCI Security Standards Council
    http://www.pcisecuritystandards.org
    Approved Scanning Vendors. An ASV is an organization with a set of security services and tools (“ASV scan solution”) to conduct external vulnerability scanning …

    https://www.pcisecuritystandards.org/pci_security/completing_self_assessment
    Official PCI Security Standards Council Site – Verify PCI …
    http://www.pcisecuritystandards.org
    Assessing the Security of Your Cardholder Data. Ideal for small merchants and service providers that are not required to submit a report on compliance, a Self …

    Esperamos esta información te sea útil.

  40. Ricardo Guerra
    11/05/2017 at 11:58 PM

    Buen día Priscila. Agradezco el artículo que escribiste, de mucha utilidad para mí. Tengo una pregunta, ojalá tengas un tiempo para esta misma:
    Actualmente mi empresa maneja los trámites de un banco, para dar de alta un TPV en un comercio, pero en este caso solo manejo información del cliente del banco y ni de los movimientos o datos de las personas que tienen tarjeta de crédito. En este caso, ¿debo de tener el certificado o assesment de PCI?
    Si mi empresa está certificada en ISO27001-2014, ¿cubre los temas relacionados con PCI?. Gracias de antemano. Bendiciones

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*