26 marzo 2010

¿Aplica PCI DSS a los emisores de tarjetas?

Esta es una de las preguntas más recurrentes de un tiempo a esta parte en relación con el estándar PCI-DSS (ya sabéis, ese en el que se han puesto de acuerdo todas las marcas para volvernos locos a todos... es broma, para elevar el nivel de protección de los datos de tarjetas).

Para abordar la respuesta correctamente, hemos de matizar algunos puntos antes de entrar a responder abiertamente a la cuestión:
  1. Como sabéis los que estáis familiarizados con este tema, el PCI Council se "limita" a velar por el estándar y a hacer que los que somos QSA / ASV hagamos bien nuestro trabajo (formación, registro, control de calidad...) pero corresponde a las marcas de tarjeta determinar el modelo de cumplimiento.
  2. Las marcas que operan de manera indirecta (VISA y MASTERCARD, que son las que emiten y admiten tarjetas a través de entidades financieras, puesto que el resto de marcas tiene relación directa con poseedores de tarjeta y comercios que las aceptan) han decidido que, aunque todas las organizaciones tienen que cumplir con el estándar, las entidades que forman parte de ellas, no tienen porque demostrar el cumplimiento (es decir, tienen que cumplir pero no tienen que auditarse).
  3. El estándar no distingue en ningún sitio entre operativa emisora y operativa adquirente (es decir, cuando pagamos en un comercio). Simplemente dice que todos aquellos sistemas que almacenen, procesen o transmitan datos de titulares de tarjeta  se considera que están dentro del alcance.
  4. El estándar prohíbe de manera clara y expresa el almacenamiento de los datos de autenticación sensibles (CAV2/CVC2/CVV2/CID, PIN/PIN block o banda magnética completa) después de la autorización (incluso aunque se cifren) [ya sabéis que no se encriptan].
En mi opinión, es este último aspecto el que nos ha llevado a todos a tener dudas sobre la aplicación del estándar a la operativa emisora, puesto que la autorización es una etapa de la operativa merchant. Esto y el hecho de que en los cursos de preparación como QSA te explican detalladamente la operativa merchant y nada la operativa de emisión.
Pero, en cualquier caso, si leemos exactamente lo que nos dicen no encontramos ningún lugar en el que se nos diga si el estándar aplica o no a la operativa emisora, al contrario, dado que el emisor almacena datos de titulares de tarjeta debería de considerarse incluido en el alcance.

Esto nos deja otra disyuntiva: ¿Cómo voy a cumplir con el estándar si tengo que almacenar datos de autenticación sensibles que, en teoría, están prohibidos? Pues bien, para esto he encontrado la respuesta en la sección de preguntas frecuentes de la web del Council correspondiente al estándar PCI DSS (con ID #9575). En resumen, lo que el Council nos viene a decir es que se pueden almacenar esos datos en el caso de operativa emisora puesto que es imprescindible para el funcionamiento del negocio, pero que el resto de requerimientos del estándar siguen siendo de aplicación. Vamos que la operativa emisora NO está fuera del alcance...

Corolario: Si consideramos el supuesto de un proveedor de servicios, la única diferencia es que tendría que auditarse, puesto que que no es una entidad financiera y por tanto, debe demostrar el cumplimiento aunque podría almacenar los datos de autenticación puesto que la excepción, según el Council, aplica a aquellas entidades que realizan, facilitan o prestan soporte a los servicios de emisión.

Actualización: Presentación en prezi

Más información | PCI Council
En Carpe Diem | Etiqueta PCI-DSS

No hay comentarios: