El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de estándares de seguridad diseñados para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.
¿Quién debe cumplir con PCI?
Si aceptas tarjetas de crédito de tus clientes, debes cumplir con PCI.
Algunas pasarelas de pago y soluciones de procesamiento de pagos en línea pueden afirmar que su solución para cobro de tarjeta de crédito te excluye de preocuparte por el cumplimiento de PCI. Esto no es verdad. Incluso si utilizas un servicio de terceros para manejar la obtención, el procesamiento y el almacenamiento de los datos protegidos del titular de la tarjeta, aún así debes de seguir el proceso de certificación necesario.
Las soluciones de terceros te permiten cumplir con los estándares PCI de una forma más sencilla que si estuvieras procesando y almacenando los datos de la tarjeta directamente, pero aún así te debes certificar cada año. Si bien es de gran ayuda contar con una solución ágil y segura como Clip, aún así es tu responsabilidad cumplir con esta certificación.
Prueba de cumplimiento de PCI
Lo que necesitas para demostrar tu cumplimiento con PCI depende de tu banco adquirente, y pueden influir varios factores, incluida la cantidad de transacciones que procesas anualmente. Si procesas menos de 6 millones de transacciones por esquema (Visa, MasterCard) por año, podrás realizar una autoevaluación completando uno de los Cuestionarios de autoevaluación (SAQ) de PCI DSS; Se trata de una herramienta de autoevaluación para evaluar la seguridad de los datos de los titulares de tarjetas.
¿Cómo me autoevalúo?
Realizar una autoevaluación de cumplimiento de los estándares PCI requiere que completes un cuestionario y, dependiendo de la categoría de autoevaluación en la que te encuentres, un análisis de seguridad trimestral de tus sistemas realizado por un proveedor externo.
Actualmente existen ocho categorías de autoevaluación, pero no todas son aplicables a los comercios en línea. Tu nivel de PCI dependerá en última instancia de cómo captures y trabajes con los datos de la tarjeta de crédito. Al utilizar un servicio de terceros deberás completar un SAQ A o SAQ D. Consulta la siguiente tabla para obtener más información:
|
SI TU SISTEMA... |
ENTONCES USA... |
COMPLEJIDAD |
|
No toca, procesa, ni almacena datos del titular de la tarjeta, y no tiene ningún formulario de recolección de datos de tarjetas (como en la API de card token, por ejemplo) |
SAQ A |
Baja |
|
Toca, procesa o almacena datos de titulares de tarjetas |
SAQ D |
Alta |
Matriz de responsabilidad
Como se indica en la declaración de cumplimiento, Clip cumple con todos los requisitos de PCI DSS. Los comercios son responsables de su propio cumplimiento de PCI DSS.
Algunos requisitos de PCI DSS pueden cumplirse mediante el uso por parte del comercio del checkout transparente de Clip. Sin embargo, la mayoría de los requisitos son responsabilidades compartidas entre el comercio y Clip, o responsabilidad exclusiva del comercio. Las siguientes secciones describen las responsabilidades que Clip asume por los servicios ofrecidos y las responsabilidades del comercio al utilizar el servicio de checkout transparente.
API
Antes de integrar la API de Card Token, si cuentas con la certificación PCI, debes conocer las siguientes responsabilidades entre Clip y tú como comercio:
|
REQUERIMIENTO |
ESTATUS DE CUMPLIMIENTO DE CLIP |
|
||||
|
CLIP |
COMERCIO |
AMBOS |
RESPONSABILIDAD DE CLIP |
RESPONSABILIDAD DEL COMERCIO |
||
Requerimiento 1: Implementar y mantener controles de seguridad de red |
Clip cumple con todos los requisitos para implementar y administrar controles de seguridad de red (NSC) para el entorno de Clip que maneja los datos de los tarjetahabientes. |
El comercio es responsable de implementar y administrar controles de seguridad de red (NSC) como firewalls, grupos de seguridad, ACL, etc, mantener diagramas de red y diagramas de flujo de datos para su entorno de datos de tarjetahabientes o Cardholder Data Environment (CDE). El comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes involucradas. |
||||
Requerimiento 2: Aplicar configuraciones de seguridad a todos los componentes del sistema |
Clip desarrolla y mantiene estándares de configuración y refuerzo para el entorno de datos de tarjetahabientes de Clip. Este entorno está alojado en AWS. |
El comercio es responsable de documentar la configuración segura y que cumpla los estándares y requisitos necesarios incluyendo todos los elementos configurables por el comercio dentro de su entorno de datos de tarjetahabientes. El comercio es responsable de la gestión de sus redes, incluidas aquellas con conectividad inalámbrica. El comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes involucradas. |
||||
Requerimiento 3: Proteger los datos almacenados de la cuenta |
Clip cumple con todos los requisitos para la protección de los datos de los tarjetahabientes implementando el cifrado en todas las ubicaciones de almacenamiento y visualización aplicables, así como gestionando la creación, el uso y la gestión de claves de cifrado y controles de acceso KMS. |
El comercio es responsable de mantener políticas, procedimientos, tecnologías de cifrado de procesos y procesos de gestión de claves adecuados para los datos de los tarjetahabientes. El comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes afectadas. |
||||
Requerimiento 4: Proteger los datos de los titulares de tarjetas con criptografía sólida durante la transmisión a través de redes públicas abiertas |
Clip cumple con todos los requisitos al implementar el cifrado en todas las conexiones de red internas y externas aplicables. |
El comercio es responsable de implementar el cifrado en todas las conexiones de red internas y externas aplicables. El comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes involucradas. |
||||
Requerimiento 5: Proteger todos los sistemas y redes del software malicioso |
Clip cumple con todos los requisitos al implementar software antimalware en instancias de sistema operativo administrado por Clip. |
El comercio es responsable de administrar una solución antimalware para sus recursos en el entorno de datos de los tarjetahabientes. |
||||
Requerimiento 6: Desarrollar y mantener sistemas y software seguros |
Clip mantiene el desarrollo, parches de seguridad y gestiona el control de cambios de las aplicaciones usadas por los servicios del checkout transparente. |
El comercio es responsable de mantener un proceso de gestión de vulnerabilidades, implementar un proceso de control de cambios para todas sus configuraciones y código, así como proteger sus aplicaciones web de vulnerabilidades web comunes. Si el comercio desarrolla un código personalizado que se utilice para transmitir, procesar o almacenar datos de tarjetas de crédito, debe cumplir con los requisitos de desarrollo y prueba seguros. Además, el comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes involucradas. |
||||
Requerimiento 7: Restringir el acceso a los componentes del sistema y a los datos del titular de la tarjeta según lo que la empresa necesita saber |
Clip mantiene los controles de acceso relacionados con los sistemas de infraestructura subyacentes alojados en AWS y el entorno de datos de titulares de tarjetas de Clip. |
El comercio es responsable de gestionar el acceso a todos los servicios incluidos en su entorno de datos de tarjetahabientes (CDE). Además, el comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes involucradas. |
||||
Requerimiento 8: Identificar usuarios y autenticar el acceso a los componentes del sistema |
Clip cumple con todos los requisitos proporcionando a cada usuario que puede acceder al entorno de datos de tarjetahabientes de Clip una identificación única, implementando una gestión de identidad y acceso, MFA y rotación de claves. |
El comercio es responsable de los controles de acceso configurables, la autenticación multifactor y el conocimiento de las pautas para las credenciales dentro de su entorno de datos de tarjetahabientes (CDE). Además, el comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes afectadas. |
||||
Requerimiento 9: Restringir el acceso físico a los datos del tarjetahabiente |
Clip cumple con todos los requisitos de seguridad física y controles de manejo de medios para el entorno de datos de tarjetahabientes de Clip a través de AWS AoC. |
Los requisitos de seguridad física son responsabilidad de el comercio. |
||||
Requerimiento 10: Registrar y monitorear todo el acceso a los componentes del sistema y a los datos del titular de la tarjeta |
Clip mantiene y monitorea los registros de auditoría para el entorno de datos de los tarjetahabientes de Clip. |
El comercio es responsable de la configuración de los registros y monitoreo de eventos de seguridad dentro de su entorno de datos de tarjetahabientes (CDE). Además, el comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes involucradas. |
||||
Requerimiento 11: Probar la seguridad de los sistemas y redes con regularidad |
Clip gestiona las pruebas de vulnerabilidad y penetración, la detección de intrusiones y la supervisión de la integridad de los archivos para el entorno de datos de los tarjetahabientes de Clip. |
El comercio es responsable de implementar IPS/IDS, ejecutar escaneos internos y externos, así como pruebas de penetración de su entorno de datos de tarjetahabientes (CDE). Además, el comercio es responsable de garantizar que sus políticas y procedimientos estén documentados y sean conocidos por todas las partes involucradas. |
||||
Requerimiento 12: Respaldar la seguridad de la información con políticas y programas organizacionales |
Clip mantiene políticas y procedimientos de seguridad, capacitación en concientización sobre seguridad, plan de respuesta a incidentes de seguridad y procesos de recursos humanos que se alinean con los requisitos de PCI. |
El comercio es responsable de todas las políticas y procedimientos, la capacitación en concientización sobre seguridad, el plan de respuesta a incidentes de seguridad y los procesos de recursos humanos que se alinean con los requerimientos de PCI. |
||||
Apéndice A1: Requisitos adicionales de PCI DSS para proveedores de servicios multiinquilino |
No aplica. Clip no es un proveedor de servicios multi-tenant (múltiples usuarios). |
No aplica. Clip no es un proveedor de servicios multi-tenant (múltiples usuarios). |
||||
Apéndice A2.1 Se confirma que los terminales POI que utilizan SSL y/o TLS temprano no son susceptibles a vulnerabilidades SSL/TLS conocidas. |
No aplica. Clip no utiliza SSL ni TLS anterior. |
No aplica. Clip no utiliza SSL ni TLS anterior. |
||||
Apéndice A3: Validación suplementaria de entidades designadas (DESV) |
No aplica. Clip no es una entidad designada. |
No aplica. Clip no es una entidad designada. |
||||
SDK
Si vas a consumir nuestro SDK de checkout transparente, y no cuentas con la certificación PCI, debes conocer las siguientes responsabilidades entre Clip y tú como comercio:
|
REQUERIMIENTO |
ESTATUS DE CUMPLIMIENTO DE CLIP |
|
||||
|
CLIP |
COMERCIO |
AMBOS |
RESPONSABILIDAD DE CLIP |
RESPONSABILIDAD DEL COMERCIO |
||
Requerimiento 1: Implementar y mantener controles de seguridad de red |
Clip cumple con todos los requisitos para implementar y administrar controles de seguridad de red o Network Security Control (NSC) para el entorno de Clip que maneja los datos de los tarjetahabientes. |
|||||
Requerimiento 2: Aplicar configuraciones de seguridad a todos los componentes del sistema |
Clip desarrolla y mantiene estándares de configuración y refuerzo para el entorno de datos de tarjetahabientes de Clip. Este entorno está alojado en AWS. |
El comercio es responsable de documentar la configuración segura y que cumpla los estándares y requisitos necesarios incluyendo todos los elementos configurables por el comercio dentro de su entorno de datos de tarjetahabientes. |
||||
Requerimiento 3: Proteger los datos almacenados de la cuenta |
Clip cumple con todos los requisitos para la protección de los datos de los tarjetahabientes implementando el cifrado en todas las ubicaciones de almacenamiento y visualización aplicables, así como gestionando la creación, el uso y la gestión de claves de cifrado y controles de acceso KMS. |
|||||
Requerimiento 4: Proteger los datos de los titulares de tarjetas con criptografía sólida durante la transmisión a través de redes públicas abiertas |
Clip cumple con todos los requisitos al implementar el cifrado en todas las conexiones de red internas y externas aplicables. |
El comercio es responsable de implementar el cifrado en todas las conexiones de red internas y externas aplicables. |
||||
Requerimiento 5: Proteger todos los sistemas y redes del software malicioso |
Clip cumple con todos los requisitos al implementar software antimalware en instancias de sistema operativo administrado por Clip. |
|||||
Requerimiento 6: Desarrollar y mantener sistemas y software seguros |
Clip mantiene el desarrollo, parches de seguridad y gestiona el control de cambios de las aplicaciones usadas por los servicios del checkout transparente. |
El comercio es responsable de mantener un proceso de gestión de vulnerabilidades, implementar un proceso de control de cambios para todas sus configuraciones y código, así como proteger sus aplicaciones web de vulnerabilidades web comunes. Si el comercio desarrolla un código personalizado que se utilice para transmitir, procesar o almacenar datos de tarjetas de crédito, debe cumplir con los requisitos de desarrollo y prueba seguros. |
||||
Requerimiento 7: Restringir el acceso a los componentes del sistema y a los datos del titular de la tarjeta según lo que la empresa necesita saber |
Clip mantiene los controles de acceso relacionados con los sistemas de infraestructura subyacentes alojados en AWS y el entorno de datos de titulares de tarjetas de Clip. |
|||||
Requerimiento 8: Identificar usuarios y autenticar el acceso a los componentes del sistema |
Clip cumple con todos los requisitos proporcionando a cada usuario que puede acceder al entorno de datos de tarjetahabientes de Clip una identificación única, implementando una gestión de identidad y acceso, MFA y rotación de claves. |
|||||
Requerimiento 9: Restringir el acceso físico a los datos del tarjetahabiente |
Clip cumple con todos los requisitos de seguridad física y controles de manejo de medios para el entorno de datos de tarjetahabientes de Clip a través de AWS AoC. |
|||||
Requerimiento 10: Registrar y monitorear todo el acceso a los componentes del sistema y a los datos del titular de la tarjeta |
Clip mantiene y monitorea los registros de auditoría para el entorno de datos de los tarjetahabientes de Clip. |
|||||
Requerimiento 11: Probar la seguridad de los sistemas y redes con regularidad |
Clip gestiona las pruebas de vulnerabilidad y penetración, la detección de intrusiones y la supervisión de la integridad de los archivos para el entorno de datos de los tarjetahabientes de Clip. |
|||||
Requerimiento 12: Respaldar la seguridad de la información con políticas y programas organizacionales |
Clip mantiene políticas y procedimientos de seguridad, capacitación en concientización sobre seguridad, plan de respuesta a incidentes de seguridad y procesos de recursos humanos que se alinean con los requisitos de PCI. |
|||||
Apéndice A1: Requisitos adicionales de PCI DSS para proveedores de servicios multiinquilino |
No aplica. Clip no es un proveedor de servicios multi-tenant (múltiples usuarios). |
|||||
Apéndice A2.1 Se confirma que los terminales POI que utilizan SSL y/o TLS temprano no son susceptibles a vulnerabilidades SSL/TLS conocidas. |
No aplica. Clip no utiliza SSL ni TLS anterior. |
|||||
Apéndice A3: Validación suplementaria de entidades designadas (DESV) |
No aplica. Clip no es una entidad designada. |
|||||
¿Dónde puedo encontrar más información?
Para obtener información adicional, incluyendo copia de las pautas de cumplimiento de la regulación PCI, materiales de referencia con explicación, instrucciones y pautas generales, visita la Biblioteca de documentos del PCI Security Standards Council.
Puedes encontrar la última versión de los formularios SAQ aquí.