Mantente al día con las normas de seguridad

El programa de seguridad de la información del titular de la tarjeta Visa (CISP) es un programa de cumplimiento destinado a proteger los datos de los titulares de la tarjeta Visa garantizando que los clientes, los comerciantes y los proveedores de servicio mantengan el máximo nivel de seguridad de la información.

El Consejo de Normas de Seguridad (SSC) de la PCI mantiene y gestiona la DSS de la PCI y toda la documentación asociada; no obstante, Visa gestiona todas las iniciativas sobre validación y aplicación del cumplimiento de seguridad de los datos.  

Los emisores y los adquirientes son responsables de garantizar que todos sus proveedores de servicio, comerciantes y proveedores de servicio de comerciantes cumplen los requisitos de la DSS de la PCI.

La validación del cumplimiento de comerciantes se ha priorizado sobre la base del volumen de transacciones, el riesgo potencial y la exposición que se introduce en el sistema de pagos.

Los emisores y los adquirientes deben velar por que sus proveedores de servicios de nivel 1 y nivel 2 demuestren el cumplimiento de la DSS de la PCI en el momento del registro de los representantes externos (Third Party Agents; TPA) y, después, con carácter anual.

Información sobre cumplimiento para proveedores de servicios

Los adquirientes deben garantizar que sus comerciantes se validen en el nivel adecuado y obtengan la documentación de validación del cumplimiento necesaria de sus comerciantes. Los bancos comerciales y comerciantes deben verificar asimismo los requisitos de información sobre cumplimiento de otras marcas de tarjetas de pago que puedan exigir una prueba de la validación del cumplimiento.

Los proveedores de servicio de nivel 1 no vinculados directamente a Visa están obligados a realizar la evaluación anual en las instalaciones sobre la seguridad de datos de la PCI y presentar a Visa una declaración de cumplimiento (Attestation of compliance; AOC), firmada tanto por el proveedor de servicios como por el asesor de seguridad autorizado (Qualified security assessor; QSA). Los proveedores de servicio de nivel 2 deben presentar un formulario de cuestionario de autoevaluación (self-assessment questionnaire; SAQ-D) firmado o un AOC con la firma del QSA. Es obligatorio validar el cumplimiento de la DSS de la PCI para poder incluir al proveedor de servicios en el registro mundial de proveedores de servicios de Visa (el Registro).

Las normas básicas de Visa y las normas de productos y servicios de Visa regulan las actividades de las entidades financieras clientes y, por extensión, los comerciantes y los proveedores de servicios como participantes del sistema de pago Visa.

Los emisores y adquirientes son responsables de velar por el cumplimiento de la DSS de la PCI por parte de sus proveedores de servicio y comerciantes, incluidos los proveedores de servicio que utilice el comerciante. El proveedor de servicios y el comerciante deben cumplir las normas en su totalidad en todo momento. (Sección VCR ID n.º 0002228 y 0008031)

Si un proveedor de servicios o un comerciante no cumplen las normas de seguridad de datos de la PCI o no rectifican un problema de seguridad, Visa podría realizar una evaluación de no cumplimiento al adquirente o al comerciante. El emisor o el adquiriente es responsable de pagar todas estas evaluaciones y no debe manifestar que Visa ha impuesto evaluaciones sobre el proveedor de servicios o el comerciante. (Sección VCR ID n.º 0001054)

Para más información, los adquirientes pueden ponerse en contacto con el departamento de riesgos de Visa en [email protected] .

El 1 de enero de 2008, Visa introdujo una serie de mandatos para eliminar del sistema de pagos de Visa el uso de aplicaciones de pago vulnerables. Estos mandatos exigen a los adquirientes que garanticen que sus comerciantes y representantes no utilizan aplicaciones de pago que conserven datos de los titulares de la tarjeta confidenciales (por ejemplo, todos los datos de la banda magnética, los datos de CVV2 o PIN) y exigen el uso de aplicaciones de pago conformes con la PA-DSS.

Mandatos de seguridad

Preguntas frecuentes sobre mandatos de seguridad

Aunque muchos proveedores de aplicaciones de pago han desarrollado aplicaciones de pago conformes con la PA-DSS, existe una creciente preocupación con que las actualizaciones del software de pago no se estén desarrollando de forma coherente para garantizar que no se vuelven a introducir vulnerabilidades conocidas. Además, preocupa que el software de pagos no se aplique de forma segura en todos los sitios de clientes.

Los compromisos de comerciantes y agentes revelan que varias empresas de aplicaciones de pago aplican unas prácticas de software poco recomendables a la hora de instalar aplicaciones de pago y sistemas, prestan asistencia a los clientes a través de credenciales de acceso débiles, compartidas o predeterminadas y gestionan los sitios de los clientes con herramientas de administración remotas mal implementadas. Los delincuentes pueden aprovechar estas vulnerabilidades y obtener acceso a los entornos de titulares de la tarjeta.

Visa ha desarrollado un conjunto de prácticas recomendadas para ayudar a las empresas de aplicaciones de pago a solucionar los procesos de software críticos. Dentro de un proceso diligente, los adquirientes, los comerciantes y los representantes deben garantizar que las empresas de aplicaciones de pago que utilicen han cumplido rigurosamente con procesos de software maduros.

Las diez mejores prácticas recomendadas de Visa para empresas de aplicaciones de pago

Visa ha identificado que ciertas aplicaciones de pago están diseñadas por proveedores de software que almacenan datos de los titulares de la tarjeta confidenciales (por ejemplo, todos los datos de la banda magnética, los datos de CVV2 o PIN) después de la autorización de la transacción. El almacenamiento de estos datos de los titulares de la tarjeta vulnera directamente las normas de Visa y la DSS de la PCI. Los delincuentes buscan comerciantes y representantes que usen estas aplicaciones de pago vulnerables y explotan estas vulnerabilidades de la seguridad para encontrar y robar los datos de los titulares de la tarjeta.

Visa alertará a los principales interesados, incluidos los adquirientes, para ayudar a mitigar los peligros, con una lista actualizada de aplicaciones de pago vulnerables. Si descubres una aplicación de pago vulnerable y tienes información específica sobre el proveedor de la aplicación de pago, la versión, dónde se almacenan los datos de los titulares de la tarjeta confidenciales o la información de contacto del proveedor, notifícalo a través de correo electrónico a [email protected]. Toda la información facilitada se comprobará con el proveedor del software, Visa no revelará la fuente de información al proveedor del software ni facilitará información que pudiera revelar la identidad de la fuente.

Ponte en contacto con Visa

Visa desarrolló las prácticas recomendadas de aplicaciones de pago (Payment Application Best Practices; PABP) en 2005 para ofrecer directrices a los proveedores de software para desarrollar aplicaciones de pago que ayudasen a los comerciantes y representantes a mitigar los peligros, evitar el almacenamiento de datos de los titulares de la tarjeta confidenciales (por ejemplo, todos los datos de la banda magnética, los datos de CVV2 o PIN) y apoyar el cumplimiento integral de la DSS de la PCI. En 2008, el Consejo de Normas de Seguridad de la PCI adoptó las PABP de Visa y publicó la norma PA-DSS. La PA-DSS sustituye ahora las PABP a los efectos del programa de cumplimiento de Visa.