Como nos comentaba Jorge, un miembro del grupo 'PCI Spain' de LinkedIn, hace algunos días, VISA relajaba la necesidad de recertificar el cumplimiento de PCI DSS para algunos comercios fuera de los EE.UU., en concreto, a aquellos que hubieran invertido en la implantación de EMV. Claro que como, en un primer momento, solo teníamos información de VISA Internacional había que esperar al comunicado oficial de VISA Europa que es la que manda en esta jurisdicción ;-)
Pues bien, VISA Europa también se ha pronunciado ya al respecto y, aunque su comunicado está en línea con el de VISA Internacional contiene algunas matizaciones a tener en cuenta:
- La fecha en la que entra en vigor es el 30 de abril, no el 31 de marzo.
- Pone en valor el 'Prioritised Approach', hasta ahora muy poco utilizado por la industria, al relajar el requerimiento inicial de haber cumplido con el estándar a haber cumplido las etapas 1 a 4 de dicho enfoque o simplemente haber pasado por la primera (eliminación de datos sensibles) y tener un plan acordado con el adquirente para las siguientes tres (protección del perímetro, asegurar las aplicaciones de pago y monitorizar y controlar el acceso a los sistemas).
- Por contra, endurece las condiciones de acceso al programa, al exigir que sean un 95% las transacciones realizadas con dispositivos con chip, respecto al 75% inicial.
Por lo demás, es lo mismo: Reconocimiento de que la implantación de EMV reduce el valor de los datos (como ya anticipábamos al comentar EMV), impedir el acceso al programa a los comercios que hayan sufrido algún compromiso de datos, exigir la implantación y prueba de un Plan de Respuesta a Incidentes (pdf) y recomendar el cifrado de campos de datos y la tokenización.
Para mí, hay algunos puntos sobre esta noticia que merecen, al menos, una reflexión:
- Primero, traslada la sensación de que cumplir con el estándar no es realmente necesario, al considerar, que los 4 primeros pasos del enfoque priorizado son "suficientes".
- Segundo, y a mi entender más preocupante: Creo que este planteamiento no soluciona, para nada, el problema subyacente. Me explico: Mientras que existan comercios en los que se pueda operar utilizando los datos sensibles (PAN, nombre y fecha de caducidad) creo que sigue siendo necesario protegerlos. Con la medida adoptada, lo único que hacemos es que vuelva a ser más fácil que existan repositorios de datos sensibles de autenticación al eliminar la obligación de que un tercero independiente verifique la existencia de dicha información en las redes del comercio.
- Y tercero, si se sigue reduciendo la obligación de realizar auditorías in situ, ¿hasta cuándo será rentable homologarse como QSA, considerando el alto coste en recursos y fondos necesarios? [el coste para operar en Europa homologando 2 profesionales es de 19.000 USD el primer año y 10.000 USD en años sucesivos]
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?