Actualizado:
18
 de 
5
 de 
2023
/
Publicado:
3
 de 
4
 de 
2023

Niveles en la certificación PCI DSS

Jonny Ceballos
Revisado por
Karla Álvarez
Tiempo de lectura:
10 min

En una entrega anterior, te hablamos sobre el estándar PCI DSS, el cual es un estándar “se refiere a un conjunto de requisitos que son obligatorios para garantizar la seguridad de la información privada de los usuarios de tarjetas de crédito y débito”.

Además, te describimos como el estándar posee 12 requisitos de obligatorio cumplimiento que permiten garantizar la aceptación segura de pagos y aumentar la confianza a la hora de realizar las compras, estos se basan en cubrir personas, procesos y tecnología que Conekta utiliza para procesar, almacenar o transmitir esta información sensible.

Tenemos un área que se encarga de verificar la continua aplicación de los controles exigidos por la norma. Es por ello que en esta nueva entrega queremos hablarte sobre los niveles de PCI DSS, explicarte quienes deben cumplir el estándar y  como Conekta realiza su certificación, lo que puede ayudarte en tu comercio o ecommerce para que tus clientes estén seguros al utilizar sus tarjetas para realizar pagos. 

NIVELES DE CUMPLIMIENTO PCI DSS

Lo primero que debes saber es que se creó el PCI SSC, una asociación que permite el desarrollo y gestión de los estándares relacionados con la seguridad en los pagos.

Sin embargo, como se aplica el cumplimiento le corresponde a cada una de las marcas de pago por separado, donde se exigen aspectos como: qué tipo de entidades requieren realizar la validación, los niveles de validación, cuestionarios a diligenciar y/o cualquier multa o sanción aplicable.

Es así como cada marca: Amex, Visa, Mastercard, Discover, JBC, tienen sus requisitos para establecer cómo se realiza la validación. Por regla general, existen cuatro niveles de cumplimiento que, por lo general, se basan en el número de transacciones con tarjeta de crédito que procesa el merchant o server provider en un lapso de 12 meses para definir los requisitos que deben cumplirse para poder certificarse y transaccionar de forma anual, justo como lo hace Conekta. 

NIVEL 1

Este nivel es el más alto y exigente para el cumplimiento de PCI DSS y tiene tres aspectos para definir si tu organización es aplicable, como es el caso de Conekta: 

  • Primero, si tu organización, en un año calendario, procesa:
  1. Más de 6 millones de transacciones de Visa,  Mastercard o Discover.
  2. Más de 2,5 millones para American Express, o 1 millón para JBC. Es importante que sepas que es por el número de transacciones, independientemente del monto en dinero.

  • Segundo, organizaciones que estén implicadas en casos de filtración de datos, es decir donde hubo algún incidente de seguridad de la información y/o ciberseguridad que afectó la confidencialidad de los datos de tarjetas y estos fueron expuestos públicamente.

  • Tercero, que se consideran de «Nivel 1» por parte de cualquier asociación de tarjetas (Visa, Mastercard, etc.), esto lo determina cada marca por medio de sus acuerdos de negocio y/o análisis internos.

Si tu organización se encuentra en alguna de las anteriores descripciones, entonces debes cumplir con lo siguiente:

1) Informe anual sobre cumplimiento (ROC) a cargo de un evaluador de seguridad cualificado (QSA, por sus siglas en inglés. Son organizaciones de seguridad independientes que han sido calificadas por el PCI SSC para evaluar y validar el cumplimiento de PCI DSS por parte de una entidad), conocido comúnmente como «evaluación in situ de Nivel 1». Esta es una evaluación que se contrata para examinar al detalle cada uno de los 12 aspectos requeridos del estándar PCI DSS presentando la evidencia de cumplimiento y que se verifique la efectividad para cumplir con el objetivo de seguridad. 


2) Análisis trimestral de la red a cargo de un proveedor de análisis acreditado (ASV), donde la organización o comercio verifica que su red se encuentra sin vulnerabilidades que puedan afectar la seguridad de los datos de tarjeta.


3)Certificación de cumplimiento (AOC) para evaluaciones in situ, que es el documento final que se presenta para demostrar que se ha realizado todos los pasos para certificar que la entidad cumple con los requisitos de PCI DSS, describiendo varios detalles específicos, tales como: quién y cómo se llevó a cabo la evaluación, el tipo y características de la entidad, descripción a alto nivel de cómo la entidad realiza el procesamiento de los datos de tarjetas y el alcance de la evaluación, y también un detalle por requisito de su cumplimiento.

NIVELES 2, 3 y 4

Para estos niveles, cada una de las marcas establece requisitos particulares en número de transacciones anuales, dependiendo del canal (comercio electrónico u otro medio), por ejemplo de mostramos los casos de las tres franquicias más utilizadas en México:

Para estos casos, las organizaciones o comercios son elegibles para realizar autoevaluaciones para validar su cumplimiento de PCI DSS y que cumplen con los criterios de elegibilidad de los cuestionarios de autoevaluación (SAQ), que brindan herramientas de validación alternativas para las entidades que, de acuerdo con los programas de cumplimiento de marcas de pago, especificados en cada SAQ y donde hay diferentes SAQ disponibles para varios entornos comerciales, por lo que solo incluyen un subconjunto de los requisitos de PCI DSS que son aplicables para un entorno determinado. En caso de querer conectar tu entorno para procesar pagos en línea con Conekta, debes diligenciar y presentarnos el cuestionario de autoevaluación SAQ D.

Este es un proceso riguroso en el que nos encargamos de cumplir todos los requisitos del estándar, son más de 300 aspectos de seguridad que se validan, para asegurar los datos de tarjeta una vez ingresan a nuestro entorno, se procesan en una zona segura para los datos de tarjeta y de esta manera Conekta se hace cargo de los requisitos de PCI DSS por tí, simplificando considerablemente la carga de cumplimiento de esta normativa para una organización pequeña que quiere procesar pagos y quiere usar nuestra plataforma y se disminuye considerablemente el esfuerzo e inversión en los controles de seguridad que requeriría tu negocio.

Por todo lo anterior, Conekta en su proceso de cumplimiento del estándar PCI DSS, considera importante que los negocios y/o plataformas cumplan con los controles de seguridad apropiados para que estos puedan ser transmitidos en ambientes seguros para el beneficio del cliente. Nosotros como proveedor de servicio ante las marcas de pago, nos encontramos habilitados para validar el cumplimiento solicitando evidencia la documentación que exige PCI DSS de acuerdo al producto y/o servicio que desees utilizar y te podemos orientar en este proceso.

¡Es hora de votar por tu Pyme favorita! Reconoce el esfuerzo que hacen todas las Pymes para lograr un impacto positivo en el país.
Vota aquí

Términos y Condiciones Promoción

Bibliografía

Escrito por:
Jonny Ceballos
Security Engineer

Experiencia de más de 8 años como Auditor Externo, Interno y Ciberseguridad en los sectores de Manufactura, Retail y Financiero.

Revisado por:
Karla Álvarez
Product Marketing Manager

Más de 10 años de experiencia trabajando con empresas nacionales e internacionales en la generación de estrategias de go to market, engagement y partnerships comerciales.

Sigue aprendiendo

Suscríbete para recibir las últimas noticias.

[ Construído con Meaningful ]