industria de tarjetas de pago (pci) normas de seguridad de … · 2018. 12. 19. · “marcas de...

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago (PA-DSS)

Guía del Programa Versión 1.2

Octubre de 2008

Guía del programa PCI PA-DSS v. 1.2 Octubre de 2008 Copyright 2008, PCI Security Standards Council LLC Página 1

Modificaciones realizadas a los documentos

Fecha Versión Descripción

1.º de octubre de 2008

1.2 Alinear el contenido con las nuevas PCI DSS versión 1.2 e implementar cambios menores observados desde la versión 1.1. original.


Índice

Modificaciones realizadas a los documentos..........................................................................................1

Introducción ................................................................................................................................................3 Publicaciones relacionadas ......................................................................................................................3 Actualizaciones de los documentos y requisitos de seguridad ................................................................3 Terminología .............................................................................................................................................3 Acerca de PCI...........................................................................................................................................4 Descripción general e iniciativa de alineación de las PA-DSS.................................................................4 Funciones y responsabilidades ................................................................................................................5

Consideraciones para los proveedores. Preparación para la revisión .................................................8 ¿A qué aplicaciones se aplican las PA-DSS? ..........................................................................................8 Antes de la revisión ..................................................................................................................................9 Documentación y materiales obligatorios.................................................................................................9 Plazo para las revisiones según las PA-DSS.........................................................................................10 Asesores de Seguridad Certificados para las Aplicaciones de Pago.....................................................10 Servicios relacionados con las PA-DSS que pueden ofrecer los PA-QSA ............................................10 Asistencia técnica durante la evaluación................................................................................................11 Acuerdo de publicación y entrega de informes ......................................................................................11 Aranceles ................................................................................................................................................11

Descripción general de los procesos de las PA-DSS ...........................................................................12 Figura 1: Proceso de aceptación del informe de PA-DSS .....................................................................13 Figura 2: Cambios de las PA-DSS en las aplicaciones publicadas .......................................................14 Figura 3: Reconocimiento y transición de aplicaciones PABP a la lista de PA-DSS.............................15 Figura 4: Revalidación anual de las PA-DSS y renovación de las aplicaciones vencidas.....................16 Figura 5: Programas de QA del PA-QSA para las revisiones de informes ............................................17

Descripción general del proceso de aceptación del informe de PA-DSS...........................................18

Cambios en aplicaciones de pago publicadas ......................................................................................19

Renovación de las aplicaciones vencidas .............................................................................................22

Transición y reconocimiento de las aplicaciones de pago validadas según las PABP....................23

Programa de control de calidad ..............................................................................................................25

Proceso de elaboración de informes de PA-DSS ..................................................................................27

Notificación después de un fallo o riesgo de seguridad ......................................................................28

Términos y condiciones legales..............................................................................................................30

Anexo A: Elementos para la Carta de aceptación y la Lista de aplicaciones de pago validadas según las PA-DSS ...................................................................................................................31

Anexo B: Identificación de creaciones de aplicaciones de pago certificadas ..................................34

Anexo C: Autodeclaración de cambios menores a la versión ............................................................35


Introducción

Publicaciones relacionadas

El siguiente documento sirve como base para las evaluaciones de las aplicaciones de pago:

Normas de Seguridad de Datos para las Aplicaciones de Pago de la Industria de Tarjetas de Pago (PCI). Requisitos y Procedimientos de Evaluación de Seguridad

Normas de Seguridad de Datos para las Aplicaciones de Pago de la Industria de Tarjetas de Pago (PCI). Procedimientos de transición

Los siguientes documentos adicionales se utilizan con los mencionados anteriormente:

Normas de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI). Requisitos y Procedimientos de Evaluación de Seguridad

Glosario de términos, abreviaturas y acrónimos de las normas de seguridad de datos de la PCI y normas de seguridad de datos para las aplicaciones de pago

Requisitos de validación de QSA para las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Requisitos de validación del QSA para las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI). Suplemento para Asesores de Seguridad Certificados para las Aplicaciones de Pago (PA-QSA)

Nota:

Los Requisitos de las PA-DSS y Procedimientos de Evaluación de Seguridad enumeran los requisitos técnicos específicos y proporcionan los procedimientos de evaluación utilizados para validar la conformidad de las aplicaciones de pago y para documentar la revisión. Los dos documentos correspondientes a los requisitos de validación de QSA definen los requisitos que debe cumplir un PA-QSA para realizar evaluaciones.

Todos los documentos están disponibles en formato electrónico en www.pcisecuritystandards.org

Actualizaciones de los documentos y requisitos de seguridad La seguridad es una carrera sin fin contra atacantes potenciales. Debido a esto, es necesario revisar, actualizar y mejorar con regularidad los requisitos de seguridad utilizados para evaluar las aplicaciones de pago. Como tal, el PCI SSC intentará actualizar los requisitos de seguridad para las aplicaciones de pago cada 24 meses.

El PCI SSC se reserva el derecho de cambiar, modificar o eliminar requisitos de seguridad en cualquier momento. Si ese cambio es obligatorio, el PCI SSC intentará trabajar estrechamente con la comunidad de organizaciones participantes del PCI SSC y con proveedores de software para ayudar a reducir el impacto de dicha modificación.

Terminología

En este documento:

“PCI SSC” hace referencia a PCI Security Standards Council, LLC.

“PABP” hace referencia al programa de Mejores Prácticas para las Aplicaciones de Pago de Visa, sobre el cual se basaron las Normas de Seguridad de Datos para las Aplicaciones de Pago (“PA-DSS”).

“Marcas de pago” hace referencia a las marcas de las tarjetas de pago que son miembros del PCI SSC; por ejemplo, actualmente esas marcas son American Express, Discover, JCB, MasterCard y Visa.

"Aplicaciones de pago" hacen referencia, en sentido general, a todas las aplicaciones de pago que almacenan, procesan o transmiten datos de titulares de tarjetas como parte de la autorización o de la liquidación, siempre que dichas aplicaciones se vendan, distribuyan u otorguen bajo licencia a terceros.


Acerca de PCI

El PCI SSC expresa un deseo compartido entre los integrantes de todos los niveles de la Industria de Tarjetas de Pago (PCI) por alinear y estandarizar los requisitos de seguridad, los procedimientos de evaluación de seguridad y los procesos a fin de reconocer las aplicaciones de pago validadas por un PA-QSA. Las PA-DSS y las normas relacionadas del PCI SSC definen un ámbito común para la evaluación de seguridad que todas las marcas de pago reconocen.

Todas las partes interesadas en la cadena de valor de pagos se benefician de los requisitos alineados:

Los clientes pueden contar con una selección más amplia de aplicaciones de pago seguras.

Los clientes tienen la seguridad de que utilizarán productos que han alcanzado el nivel de validación exigido.

Los proveedores únicamente deben completar una sola revisión de aplicaciones de pago que todas las marcas de pago reconocerán.

Para obtener más información relacionada con el PCI SSC, visite el sitio web del PCI SSC en www.pcisecuritystandards.org (el “sitio web”).

Descripción general e iniciativa de alineación de las PA-DSS

Esta Guía del programa PA-DSS de la Industria de Tarjetas de Pago manifiesta una alineación de los requisitos de las marcas de pago hacia un conjunto estándar de:

Requisitos de seguridad para las aplicaciones de pago y procedimientos de evaluación

Procesos para reconocer las aplicaciones de pago validadas por los PA-QSA.

Nota:

El PCI SSC revisa y reconoce directamente los informes de PA-DSS.

Procesos para la transición de las aplicaciones de pago validadas según las PABP a la lista del PCI SSC.

Procesos para el control de calidad de los PA-QSA.

Es posible que el cumplimiento tradicional de las PCI DSS no se aplique directamente a proveedores de aplicaciones de pago, dado que la mayoría de ellos no almacena, procesa ni transmite datos de titulares de tarjetas. Sin embargo, dado que los clientes utilizan estas aplicaciones de pago para almacenar, procesar y transmitir datos de titulares de tarjetas, y dichos clientes deben cumplir con las PCI DSS, las aplicaciones de pago deben facilitar, y no entorpecer, el cumplimiento de las PCI DSS por parte de los clientes. Algunos ejemplos de cómo las aplicaciones de pago pueden evitar el cumplimiento de las PCI DSS son:

1. Datos de banda magnética almacenados en la red del cliente después de la autorización.

2. Aplicaciones que les exigen a los clientes desactivar otras funciones requeridas por las Normas de Seguridad de Datos de PCI, como un software de antivirus o los sistemas de seguridad de tipo "firewalls", para que funcione adecuadamente la aplicación de pago.

3. El uso por parte del proveedor de métodos inseguros para conectarse a la aplicación a fin de proporcionar apoyo al cliente.

En el momento de implementarlas en un entorno que cumpla con las PCI DSS, las aplicaciones de pago seguro minimizarán la posibilidad de fallos de seguridad que comprometan todos los datos de banda magnética, los códigos y valores de validación de la tarjeta (CAV2, CID, CVC2, CVV2), los PIN y los bloqueos de PIN, y el fraude perjudicial derivado de tales fallos de seguridad.


Funciones y responsabilidades

En la comunidad de las aplicaciones de pago, existen varias partes interesadas. Algunas de ellas poseen una participación más directa en el proceso de evaluación según las PA-DSS, como los proveedores, los QSA y el PCI SSC. Otras partes interesadas que no se encuentran directamente involucradas en el proceso de evaluación deben conocer todo el proceso para que la toma de decisiones comerciales relacionadas les resulte más fácil. A continuación, se definen las funciones y las responsabilidades de las partes interesadas en la comunidad de las aplicaciones de pago. Las responsabilidades correspondientes a las partes interesadas que están involucradas en el proceso de evaluación se indican en una lista. Marcas de pago

American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. son las marcas de pago que fundaron el PCI SSC. Estas marcas de pago son responsables de desarrollar y aplicar los programas relacionados con el cumplimiento de las PA-DSS, que incluye, a modo de ejemplo, lo siguiente:

Los requisitos, los mandatos o las fechas que utilicen las aplicaciones de pago que cumplen con lo establecido en las PA-DSS.

Las multas o las sanciones relacionadas con el uso de aplicaciones de pago que no cumplen con lo establecido en las PA-DSS.

Las marcas de pago pueden definir programas de cumplimiento, mandatos, fechas, etc., mediante las PA-DSS y aplicaciones de pago validadas que el PCI SSC establece. Mediante estos programas de cumplimiento, las marcas de pago promocionan el uso de dichas aplicaciones publicadas.

Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC)

El PCI SSC es el ente regulatorio que preserva las normas de la industria de tarjetas de pago, incluidas la PCI DSS y las PA-DSS. En relación con las PA-DSS, las PCI SSC:

Forman un registro centralizado para los informes de validación (ROV) según las PA-DSS.

Realiza revisiones de control de calidad (QA) del informe de validación según las PA-DSS para confirmar la coherencia y la calidad del informe.

Coloca en una lista del sitio web las aplicaciones de pago validadas según las PA-DSS. Es importante mencionar que esta lista estará disponible en el sitio web hasta después de octubre de 2008.

Autoriza y capacita a los PA-QSA para que realicen revisiones según las PA-DSS.

Mantiene y actualiza las PA-DSS y la documentación relacionada de acuerdo con un proceso de administración del ciclo de vida de las normas.

Observe que el PCI SSC no aprueba informes desde una perspectiva de validación. La función del PA-QSA es documentar la conformidad de las aplicaciones de pago con las PA-DSS a la fecha de la evaluación. Asimismo, el PCI SSC realiza un QA para garantizar que el PA-QSA documente de manera precisa y completa las evaluaciones según las PA-DSS.


Proveedores de software

Los proveedores de software (“proveedores”) desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos de titulares de tarjetas como parte de la autorización o de la liquidación y, luego, venden, distribuyen u otorgan estas aplicaciones de pago bajo licencia a terceros (clientes o revendedores/integradores). Los proveedores son responsables de:

Crear aplicaciones de pago que cumplan con las PA-DSS y que faciliten, y no dificulten, el cumplimiento de la PCI DSS por parte de los clientes, (la aplicación no puede requerir un valor de implementación o configuración que viole un requisito de la PCI DSS).

Cumplir los requisitos establecidos en las PCI DSS, siempre que el proveedor almacene, procese o transmita datos de titulares de tarjetas (por ejemplo, durante la resolución de problemas del cliente).

Elaborar una Guía de implementación de las PA-DSS para cada aplicación, de acuerdo con los requisitos establecidos por las Normas de Seguridad de Datos para las Aplicaciones de Pago.

Educar a los clientes, revendedores e integradores acerca de cómo instalar y configurar las aplicaciones de pago de conformidad con las PCI DSS.

Asegurar que las aplicaciones de pago cumplan las PA-DSS y que aprueben satisfactoriamente una revisión según las PA-DSS, como se especifica en los Requisitos de las PA-DSS y Procedimientos de Evaluación de Seguridad.

Los proveedores presentan sus aplicaciones de pago y la documentación de respaldo ante el PA-QSA para que realice la revisión. Todos los convenios y los costos relacionados con la evaluación se negocian entre el proveedor y el PA-QSA. Los proveedores otorgan permiso para que el PA-QSA presente los informes al PCI SSC de conformidad con las PA-DSS. PA-QSA

Los PA-QSA son QSA que han recibido la certificación y la capacitación del PCI SSC para realizar revisiones según las PA-DSS. Observe que no todos los QSA son PA-QSA. El QSA debe cumplir con requisitos de autorización adicionales para poder ser un PA-QSA. Los PA-QSA son responsables de:

Realizar evaluaciones de las aplicaciones de pago de acuerdo con los Procedimientos de evaluación de seguridad y los Requisitos de validación para los PA-QSA.

Proporcionar una opinión en cuanto a si la aplicación de pago satisface los requisitos de las PA-DSS.

Proporcionar la documentación adecuada en el ROV para demostrar la conformidad de la aplicación de pago con las PA-DSS.

Presentar el ROV al PCI SSC junto con la Declaración de validación (firmada por el PA-QSA y el proveedor).

Mantener un proceso interno de control de calidad para sus tareas del PA-QSA. Es responsabilidad del PA-QSA declarar si la aplicación de pago logró la debida conformidad. El PCI SSC no aprueba los ROV desde una perspectiva de cumplimiento técnico, sino que realiza revisiones de QA en los informes de validación para garantizar que los informes documenten de manera adecuada la evidencia de conformidad.


Revendedores e integradores

Los revendedores y los integradores son las entidades que venden, instalan y/o reparan aplicaciones de pago en representación de proveedores de software u otros. Los revendedores e integradores que suministran servicios relacionados con las aplicaciones de pago de conformidad con las PA-DSS son responsables de:

Implementar únicamente las aplicaciones de pago de conformidad con las PA-DSS en un entorno que respete las PCI DSS (o debe instruir al comerciante para que lo haga).

Configurar dichas aplicaciones (cuando se proporcionan opciones de configuración) de acuerdo con la Guía de implementación de las PA-DSS suministrada por el proveedor

Configurar las aplicaciones de pago (o instruir al comerciante para que lo haga) de conformidad con las PCI DSS.

Realizar el servicio técnico de dichas aplicaciones de pago (por ejemplo, resolución de problemas, entrega de actualizaciones remotas y prestación de asistencia remota) de acuerdo con la Guía de implementación de las PA-DSS y las PCI DSS.

Los revendedores e integradores no presentan aplicaciones de pago para la evaluación. Únicamente los proveedores pueden presentar productos. Clientes

Los clientes son comerciantes, prestadores de servicios u otras personas que compran o reciben la aplicación de pago de un tercero con el fin de almacenar, procesar o transmitir datos de titulares de tarjetas como parte de una autorización o liquidación de transacciones de pago. Los clientes que desean utilizar aplicaciones que cumplen con las PA-DSS son responsables de:

Nota:

La aplicación de pago que cumpla únicamente lo establecido en las PA-DSS no garantiza el cumplimiento de las PCI DSS.

Implementar una aplicación de pago que cumpla lo establecido en las PA-DSS dentro de un entorno que, a la vez, respete las PCI DSS.

Configurar la aplicación de pago (cuando se proporcionen opciones de configuración) de acuerdo con la Guía de implementación de las PA-DSS suministrada por el proveedor.

Configurar la aplicación de pago de conformidad con las PCI DSS.

Mantener el estado de cumplimiento con las PCI DSS tanto para el entorno como para la configuración de la aplicación de pago.

Una vez que el PCI SSC publica la lista en el segundo semestre de 2008, los clientes pueden encontrar en el sitio web una lista de las aplicaciones de pago validadas junto con otros materiales de referencia.


Consideraciones para los proveedores. Preparación para la revisión

¿A qué aplicaciones se aplican las PA-DSS?

A los fines de las PA-DSS, una aplicación de pago almacena, procesa o transmite datos de titulares de tarjetas como parte de la autorización o de la liquidación, cuando dicha aplicación se vende, distribuye u otorga bajo licencia a terceros.

Se puede utilizar la siguiente guía para determinar si las PA-DSS se aplican a una determinada aplicación de pago:

Las PA-DSS se atribuyen a las aplicaciones de pago que los proveedores de software generalmente venden e instalan "en forma estándar" sin demasiada personalización.

Las PA-DSS rigen para las aplicaciones de pago suministradas en módulos, entre los que se incluyen un módulo "base" y otros módulos específicos para funciones o tipos de clientes, o personalizados según las solicitudes de los clientes. Es posible que las PA-DSS solo se apliquen al módulo “base”, cuando ese módulo es el único que realiza las funciones de pago (una vez que lo confirmen las PA-DSS). Si existen otros módulos que también realizan las funciones de pago, las PA-DSS se aplicarán también a esos módulos. Tenga en cuenta que se considera una “mejor práctica” que los proveedores de software aíslen las funciones de pago en un solo módulo o en pocos módulos base y, de esa manera, se puedan reservar los demás módulos para funciones que no sean de pago. Si bien no es un requisito, esta mejor práctica puede limitar la cantidad de módulos sujetos a las PA-DSS.

Las PA-DSS NO rigen para una aplicación de pago que se haya desarrollado para un solo cliente, o que se haya vendido a un solo cliente, dado que esta aplicación estará sujeta a la revisión normal de conformidad con las PCI DSS por parte del cliente. Tenga en cuenta que tal aplicación (a la que se puede denominar aplicación "personalizada") se vende a un solo cliente (por lo general, un gran comerciante o prestador de servicios), y está diseñada y desarrollada según las especificaciones provistas por el cliente.

Las PA-DSS NO rigen para aplicaciones de pago desarrolladas por comerciantes y proveedores de servicios si solo se utilizan internamente (no se venden, no se distribuyen ni se otorgan bajo licencia a terceros), dado que estas aplicaciones de uso interno deberían estar sujetas al cumplimiento normal de las PCI DSS por parte de los comerciantes o proveedores de servicios.

Por ejemplo, para estos dos últimos casos, ya sea que la aplicación de pago desarrollada para uso interno o “personalizada” almacene datos de autenticación confiables prohibidos o permita contraseñas complejas, estarían consideradas como parte de los esfuerzos de cumplimiento habitual de las PCI DSS a cargo del comerciante o del prestador de servicios y no requerirían una evaluación según las PA-DSS por separado.

La siguiente lista, si bien no es del todo exhaustiva, detalla las aplicaciones que NO se consideran aplicaciones de pago a los fines de las PA-DSS (y, por lo tanto, no necesitan ser sometidas a revisiones según las PA-DSS):

Sistemas operativos en los que se instala una aplicación de pago (por ejemplo, Windows, Unix).

Sistemas de bases de datos que almacenan información de titulares de tarjetas (por ejemplo, Oracle).

Sistemas de gestión operativa que almacenan datos de titulares de tarjetas (por ejemplo, para elaboración de informes o servicio al cliente).

Nota:

PCI SSC SOLO enumerará las aplicaciones que sean aplicaciones de pago.


Antes de la revisión

Revise la documentación pertinente y los requisitos de las PCI DSS y las PA-DSS disponibles en el sitio web.

Determine o evalúe si la aplicación de pago cumple con las PA-DSS:

Realice un análisis de las diferencias existentes entre la manera en que funciona una aplicación de pago sujeta a las PA-DSS y los requisitos de las PA-DSS.

Corrija las diferencias.

Si lo desea, el PA-QSA puede realizar una evaluación previa o un análisis de diferencias de la aplicación de pago de un proveedor. Si el PA-QSA encuentra deficiencias que podrían entorpecer una opinión sin observaciones, le entregará al proveedor de software una lista con las características de la aplicación de pago que deben corregirse antes del comienzo del proceso formal de revisión.

Determine si la Guía de implementación de las PA-DSS cumple los requisitos de las PA-DSS.

Documentación y materiales obligatorios

Como requisito para la evaluación, el proveedor de software debe entregar la documentación apropiada y el software al PA-QSA.

La información y los documentos pertinentes a las PA-DSS pueden descargarse desde el sitio web. Todos los materiales completos relacionados con la aplicación de pago, como los CD de instalación, los manuales, la Guía de implementación de las PA-DSS , etc., deben entregarse a un PA-QSA que aparezca en la lista del sitio web para que realice la revisión, y no al PCI SSC. Se debe solicitar directamente al PA-QSA toda la información específica a la revisión. Algunos ejemplos de documentos y artículos que deben presentarse ante el PA-QSA son:

1. La aplicación de pago con las instrucciones o el manual del operador.

2. Los accesorios necesarios de hardware y software para realizar transacciones de pago simuladas.

3. Documentación que describe todas las funciones utilizadas para la entrada y salida de datos que pueden ser utilizadas por desarrolladores de aplicaciones de terceros. Específicamente, deben describirse las funciones relacionadas con la captura, la autorización, la liquidación y las devoluciones de cargos (si corresponden a la aplicación). (Un manual es un ejemplo de la documentación que podría cumplir este requisito).

4. Documentación que se relaciona con la instalación y configuración de la aplicación, o que brinda información sobre la aplicación. Algunos ejemplos de esta documentación son:

Guía de implementación de las PA-DSS

Instrucciones o guía de instalación del software (como se suministra a los clientes).

Esquema de numeración de la versión del proveedor.

Documentación de control de cambios que evidencia cómo se detallan los cambios para los clientes.

5. Documentación adicional, como esquemas y diagramas de flujo, que ayudarán en la revisión de la aplicación de pago (el PA-QSA puede solicitar material adicional cuando sea necesario).


Plazo para las revisiones según las PA-DSS

El tiempo necesario para realizar una revisión según las PA-DSS, de principio a fin, hasta lograr la validación de una aplicación con todos los puntos marcados como "implementados" puede variar ampliamente. Algunos de los factores determinantes de la extensión de tiempo son:

En qué medida la aplicación cumple con lo establecido en las PA-DSS al inicio de la revisión.

Las correcciones que deban realizarse a la aplicación de pago para que logre el cumplimiento extenderán el tiempo de revisión.

Qué tan disponible está la Guía de implementación de las PA-DSS al inicio de la revisión.

La reelaboración de textos extensos de la Guía aumentará el tiempo de revisión.

Si el PA-QSA elabora y presenta un informe de validación según las PA-DSS de alta calidad al PCI SSC.

Si el PCI SSC revisa el informe más de una vez, y si cada vez que lo hace, el PA-QSA recibe comentarios sobre problemas que deben corregirse, se extenderá el tiempo de revisión.

El tiempo que un PA-QSA calcula para realizar una revisión debe considerarse una aproximación, debido a la posibilidad de que el PA-QSA asuma que la aplicación de pago podrá cumplir rápidamente todos los requisitos de las PA-DSS. Si se descubren problemas durante la revisión o los procesos de aceptación, es necesario que el PA-QSA, el proveedor de software y el PCI SSC conversen. Estas conversaciones pueden incidir en los tiempos de revisión y causar demoras, incluso la finalización temprana de la revisión (por ejemplo, si el proveedor decide no hacer las modificaciones necesarias en la aplicación de pago para lograr el cumplimiento).

Asesores de Seguridad Certificados para las Aplicaciones de Pago

El PCI SSC autoriza y capacita a los Asesores de Seguridad Certificados para las Aplicaciones de Pago (PA-QSA) para realizar evaluaciones según las PA-DSS. Los PA-QSA figuran en una lista que aparece en el sitio web. Son los únicos asesores reconocidos por el PCI SSC para realizar evaluaciones PA-DSS.

El PCI SSC no establece los precios ni los aranceles cobrados por los PA-QSA. Los aranceles se negocian entre el PA-QSA y el cliente. Antes de elegir a un PA-QSA, se recomienda a las entidades consultar a varias firmas de PA-QSA y respetar los procesos de selección de proveedores de la empresa.

Servicios relacionados con las PA-DSS que pueden ofrecer los PA-QSA

El PCI SSC no exige ni recomienda ninguno de estos servicios. La lista se incluye para proporcionar ejemplos de los tipos de servicios que pueden ofrecer los PA-QSA. Si como empresa, tiene interés en estos servicios, comuníquese con un PA-QSA para obtener información sobre la disponibilidad y el precio. Algunos ejemplos de servicios relacionados con las PA-DSS son:

Guía en el diseño de aplicaciones de pago de acuerdo con las PA-DSS.

Revisión del diseño del software de un proveedor, respuestas a preguntas formuladas por correo electrónico o por teléfono y participación en conferencias de llamadas para aclarar requisitos.

Asesoramiento en la elaboración de la Guía de implementación de las PA-DSS

Servicios de evaluación previa (análisis de diferencias) al inicio de la evaluación formal según las PA-DSS.

Asesoramiento para acercar la aplicación de pago al cumplimiento de las PA-DSS en caso de que existan diferencias o áreas de no conformidad durante la evaluación.


Asistencia técnica durante la evaluación

Se recomienda que el proveedor disponga de una persona en el área técnica para que brinde asistencia ante las preguntas que puedan surgir durante la evaluación. Durante la revisión, y para agilizar el proceso, un contacto del proveedor debe estar “de guardia” para discutir problemas con el PA-QSA y responder sus preguntas.

Acuerdo de publicación y entrega de informes

Antes de que el PA-QSA entregue al PCI SSC el informe de PA-DSS, el proveedor debe firmar el Acuerdo de Publicación del Proveedor según las PA-DSS de la Industria de Tarjetas de Pago (el “Acuerdo de Publicación”), por el cual autoriza la presentación del informe al PCI SSC para su revisión. El PA-QSA debe entregar directamente al PCI SSC el Acuerdo de Publicación junto con los informes de PA-DSS.

Aranceles

Nota:

El proveedor paga directamente al PA-QSA todos los aranceles correspondientes a la evaluación según las PA-DSS (estos aranceles se negocian entre el proveedor y el PA-QSA).

El PCI SSC le facturará trimestralmente al proveedor todos los aranceles de registro, y el proveedor efectuará el debido pago directamente al PCI SSC.

Todos los aranceles y las fechas relacionados con la evaluación según las PA-DSS se negocian entre el PA-QSA y el proveedor de la aplicación de pago, y dicho proveedor efectúa el pago correspondiente directamente al PA-QSA.

Se cobrará a los proveedores un arancel anual de registro de $1250 por cada aplicación de pago que figure en la lista del PCI SSC.

Como parte del proceso de revalidación anual (consulte la sección “Revalidación anual” más adelante en este documento), el PCI SSC cobrará anualmente el arancel estipulado a los proveedores de software por todas las aplicaciones de pago que tengan publicadas en la lista a la fecha de facturación. La fecha de facturación se establecerá trimestralmente, según el trimestre de la elaboración de la lista original. Por ejemplo, el 1 de abril, los proveedores de software tendrán un cargo de $1250 por cada aplicación de pago publicada durante el trimestre finalizado el 31 de marzo. Los proveedores no deberán pagar por las aplicaciones que estén validadas, pero que el proveedor decidió no publicar en el sitio web. Cabe destacar que los proveedores no podrán manipular las listas para evitar pagar el arancel. Es decir que, los proveedores no pueden solicitar que se retire de la lista una aplicación y que esta se coloque nuevamente después de la facturación.


Descripción general de los procesos de las PA-DSS

El proveedor inicia el proceso de revisión según las PA-DSS. El sitio web contiene todos los documentos relacionados que el proveedor necesitará para explorar el proceso de revisión según las PA-DSS. A partir de la lista del PCI SSC, el proveedor selecciona un PA-QSA, y juntos negocian el costo y el NDA. Luego, el proveedor le entrega al PA-QSA el software de la aplicación de pago, los manuales y otros documentos obligatorios. El PCI SSC emitirá después una carta de aceptación que confirma la finalización satisfactoria del proceso para cada aplicación de pago (la "Carta de aceptación de las PA-DSS"). Una vez aceptada la aplicación de pago, el producto se publicará en el sitio web. Las imágenes y descripciones que aparecen en las siguientes páginas explican en detalle los componentes del programa PA-DSS:

Proceso Imagen Página

Proceso de aceptación del informe de PA-DSS. Figura 1 12

Cambios de las PA-DSS en las aplicaciones publicadas Figura 2 13

Reconocimiento y transición de aplicaciones PABP a la lista de PA-DSS Figura 3 14

Revalidación anual de las PA-DSS y renovación de aplicaciones vencidas Figura 4 15

Programa de QA del PA-QSA para las revisiones de informes Figura 5 16


Figura 1: Proceso de aceptación del informe de PA-DSS


Figura 2: Cambios de las PA-DSS en las aplicaciones publicadas


Figura 3: Reconocimiento y transición de aplicaciones PABP a la lista de PA-DSS


Figura 4: Revalidación anual de las PA-DSS y renovación de las aplicaciones vencidas


Figura 5: Programas de QA del PA-QSA para las revisiones de informes


Descripción general del proceso de aceptación del informe de PA-DSS

Observe que todos los informes de PA-DSS y otros materiales deben presentarse en el PCI SSC en inglés.

El PA-QSA realiza la revisión de la aplicación de pago de acuerdo con los Procedimientos de evaluación de seguridad de las PA-DSS, y elabora un informe que comparte con el proveedor. Si el informe presenta todos sus puntos implementados, el proveedor firma el Acuerdo de Publicación, y el PA-QSA envía el informe al PCI SSC. Si el informe no presenta todos los puntos implementados, el proveedor debe modificar los puntos resaltados. Por ejemplo, esto puede incluir la actualización de la documentación del usuario o la actualización del software. Una vez que el PA-QSA considera que todos los problemas de documentación han sido resueltos, el proveedor firma el Acuerdo de Publicación y el PA-QSA envía el informe al PCI SSC.

El PCI SSC recibe el informe y lo revisa desde una perspectiva de control de calidad. Si el informe satisface los requisitos de control de calidad como se establece en los requisitos de validación de QSA y en los documentos de respaldo, el PCI SSC envía al proveedor una Carta de aceptación de las PA-DSS y, luego, agregará la aplicación a la lista de PCI SSC a fin de mes para las aplicaciones que finalizaron el proceso antes del día 10 de ese mes. Por problemas de calidad relacionados con el informe, el PCI SSC se comunica con el PA-QSA. Luego, es responsabilidad del PA-QSA resolver los problemas con el PCI SSC. Estos problemas pueden limitarse a la actualización del informe para que refleje la documentación adecuada que respalda las decisiones del PA-QSA. Sin embargo, si los problemas requieren que el PA-QSA realice más pruebas, el PA-QSA debe notificar al proveedor que es necesario realizar nuevas evaluaciones. El PA-QSA y el proveedor deben programar juntos dichas evaluaciones.

El flujo del proceso correspondiente a la aceptación de informes se detalla en la figura 1.


Cambios en aplicaciones de pago publicadas

Los proveedores actualizan aplicaciones de pago ya publicadas por varias razones; por ejemplo, para agregar una nueva función o para actualizar la aplicación base o principal.

Desde una perspectiva de las PA-DSS, pueden ocurrir tres tipos de situaciones de cambio:

1. Se realizan cambios menores a una aplicación de pago publicada que generan efectos en los requisitos de las PA-DSS. En este caso, para que se publique la nueva versión, el proveedor de software documenta el cambio a fin de que el PA-QSA realice la revisión. Consulte la sección Sin efectos sobre los requisitos de las PA-DSS obtener información detallada.

2. Se realizan cambios a una aplicación de pago publicada que pueden afectar los requisitos de las PA-DSS. En este caso, para que se publique la nueva versión, el proveedor de software presenta la nueva versión de la aplicación de pago para que se realice una revisión completa según las PA-DSS. Consulte la sección Posibles efectos sobre los requisitos de las PA-DSS para obtener información detallada.

3. No se realizan cambios a una aplicación de pago ya publicada. En este caso, solamente se requiere un formulario anual de declaración. Consulte la sección Sin cambios a una aplicación de pago publicada para obtener información detallada.

Si se realizan actualizaciones a las aplicaciones ya publicadas y si el proveedor desea que la información de la aplicación actualizada aparezca en la lista, debe presentar los detalles de los cambios a un PA-QSA (preferentemente al asesor que revisó originalmente la aplicación de pago).

El PA-QSA luego determina si es necesario evaluar nuevamente la aplicación. Esta decisión posiblemente se determine sobre la base de si los cambios realizados afectan la seguridad de la aplicación. Otra consideración puede ser el alcance o la profundidad de los cambios realizados. Por ejemplo, el cambio puede afectar solamente una función auxiliar y no la aplicación central.

Si una aplicación de pago publicada ha sufrido cambios que pueden afectar los requisitos de las PA-DSS, y si el proveedor desea que la información revisada se incluya en la Carta de aceptación de las PA-DSS y en el sitio web, debe presentar al PA-QSA la documentación adecuada con los cambios para que determine si es necesario realizar una evaluación completa. Si el PA-QSA acuerda con el proveedor que los cambios documentados no afectan los requisitos de las PA-DSS, el PA-QSA comunicará esto al proveedor de software, y este elaborará y firmará un formulario de autodeclaración de cambios que también firmará el PA-QSA antes de entregarlo al PCI SSC. El PCI SSC indicará luego las debidas actualizaciones en la Carta de aceptación de las PA-DSS revisada y en el sitio web. Para obtener más información, consulte Sin efectos sobre los requisitos de las PA-DSS: No se necesita una nueva revisión de las PA-DSS.

Nota:

Si los proveedores de aplicaciones de pago pueden disponer en módulos la funcionalidad de pago, esto ayudará a disminuir la necesidad de realizar nuevas evaluaciones debido a que los cambios no afectarían la seguridad ni la función de pago.

El flujo del proceso correspondiente a los cambios efectuados en aplicaciones publicadas se detalla en la figura 2.


Sin efectos sobre los requisitos de las PA-DSS: No se necesita una nueva revisión de las PA-DSS

Si se revisa una aplicación de pago ya publicada, pero esa revisión se considera menor y no afecta negativamente la seguridad, puede entregarse la documentación del cambio ("Análisis de cambios") al PA-QSA para que realice la revisión. Se recomienda con firmeza que el proveedor recurra al mismo PA-QSA que realizó la evaluación original.

El análisis de cambios que presente el proveedor de software al PA-QSA debe incluir como mínimo la siguiente información:

Nombre de la aplicación de pago.

Número de versión de la aplicación de pago.

Nombre y número de versión de la aplicación de pago relacionada que en ese momento figura en la lista de PCI SSC.

Descripción del cambio.

Descripción del motivo por el cual se realiza el cambio.

Detalles de si la información de los titulares de tarjetas y las funciones de pago se ven afectados y cuáles son los efectos.

Descripción de cómo funciona el cambio.

Descripción de pruebas realizadas por el proveedor para validar la ausencia de efectos negativos en los requisitos de seguridad de las PA-DSS.

Explicación de cómo y por qué los requisitos de las PA-DSS no se ven afectados negativamente.

Descripción de cómo este cambio corresponde a la metodología de versiones del proveedor, incluso de qué manera este número de versión indica que el cambio es “menor”.

Si corresponde, la descripción de uso de prácticas de programación/enfoques de módulos y cómo ese uso previene un efecto negativo sobre los requisitos.

Si el PA-QSA acepta que el cambio, como el proveedor documenta en el Análisis de cambios, no afecta negativamente la seguridad de la aplicación: (a) el PA-QSA comunicará esto al proveedor de software, (b) el proveedor de software elaborará y firmará una Autodeclaración de cambios, y se la enviará al PA-QSA, (c) el PA-QSA firmará para manifestar su consentimiento y reenviará la Autodeclaración y el Análisis de cambios al PCI SSC, y (d) el PCI SSC revisará luego el formulario y la documentación para realizar un control de calidad.

Cuando se supone que no existen efectos sobre los requisitos de las PA-DSS:

Se emitirá una Carta de aceptación de las PA-DSS al proveedor.

Se actualizará la lista de aplicaciones de pago validadas según las PA-DSS en el sitio web con la nueva información.

La fecha de vencimiento y el número de versión de esta aplicación nuevamente publicada serán iguales a los de la aplicación “matriz”.

Por problemas de calidad relacionados con la autodeclaración de cambios, el PCI SSC se comunicará con el PA-QSA, y los problemas se resolverán de acuerdo con el proceso descrito anteriormente.


Posibles efectos sobre los requisitos de las PA-DSS: Se necesita una nueva revisión de las PA-DSS

Si los cambios a la aplicación de pago afectan los requisitos de las PA-DSS, la aplicación debe someterse a otra evaluación según las PA-DSS. El PA-QSA presentará luego un nuevo informe de las PA-DSS al PCI SSC para su aceptación. En esta situación, el proveedor primero debe presentar documentación del cambio al PA-QSA, quien determinará si la naturaleza de la modificación afecta la seguridad de la aplicación de acuerdo con los requisitos vigentes de las PA-DSS. Sin cambios en aplicaciones de pago publicadas: Se necesita una revalidación anual

Todos los años, hasta la fecha de revalidación que figura en la lista, el proveedor debe presentar un formulario de declaración de validación con la parte 3b completa. El formulario de declaración de validación está en el Anexo C de las PA-DSS.

El flujo del proceso correspondiente a la revalidación anual se detalla en la figura 4.


Renovación de las aplicaciones vencidas

A medida que se aproxima la fecha de vencimiento de la aplicación, el PCI SSC notificará el vencimiento al proveedor de software. Las dos opciones que el proveedor puede considerar son:

1. Continuar vendiendo la aplicación. Para ello, el proveedor se comunica con el PA-QSA para que evalúe nuevamente la aplicación.

2. No continuar vendiendo la aplicación. En este caso, el PCI SSC modificará el estado de publicación de la aplicación de pago a "No aceptada para nuevas implementaciones" después de la fecha de vencimiento.

Observe que si el proveedor elige continuar vendiendo la aplicación después de haberse cumplido satisfactoriamente el nuevo proceso de evaluación según las PA-DSS, la aplicación mantiene su estado de publicación en la lista de PCI SSC como "Aceptada para nuevas implementaciones" con una nueva fecha de vencimiento asignada.

El flujo del proceso correspondiente a la renovación de aplicaciones vencidas se detalla en la figura 4.


Transición y reconocimiento de las aplicaciones de pago validadas según las PABP

Reconocimiento de aplicaciones PABP en la lista de PABP hasta el 15 de octubre de 2008

El PCI SSC está reconociendo (transfiriendo) aplicaciones que actualmente cumplen con las PABP a la lista de PCI SSC. Este enfoque de reconocimiento permite que las aplicaciones antes evaluadas y declaradas de conformidad con las PABP continúen implementándose hasta que estén disponibles aplicaciones de pago nuevas de conformidad con las PA-DSS.

Se ha aplicado un enfoque gradual a las fechas de vencimiento de las aplicaciones de las PABP según la versión de los requisitos utilizados en aquella evaluación. Para que una aplicación conforme a las PABP pueda permanecer en la lista de PCI SSC como “Aceptada para nuevas implementaciones”, debe someterse a una evaluación según las PA-DSS dentro de un plazo establecido. Si no se evalúa dentro de este plazo, la aplicación conforme a las PABP permanecerá en la lista de PCI SSC, pero con la nota "No aceptada para nuevas implementaciones".

Nota:

La lista de PCI SSC realiza una distinción entre “nuevas implementaciones” e “implementaciones existentes”. Una vez implementadas, las aplicaciones de pago, por lo general, tienen un largo período de vida efectiva que puede alcanzar hasta los 10 ó 15 años. El PCI SSC comprende que la implementación de las aplicaciones de pago puede ser un proceso complejo y costoso, y que puede no ser práctico para los comerciantes adquirir y actualizar sus aplicaciones de pago con frecuencia.

El siguiente cuadro muestra las fechas de vencimiento y las notas que se incluirán en la Lista de aplicaciones de pago validadas según las PA-DSS para las versiones de PABP y para las revisiones según las PA-DSS conforme a la PA-DSS v1.1 vigente.

Publicación en el PCI SSC antes del vencimiento

Publicación en el PCI SSC después del vencimiento

Versión Fecha de

vencimiento Notas de

validación Notas de

implementación Notas de

validación Notas de

implementación

PABP 1.4 24 meses Validada según las

PABP

Aceptada para nuevas

implementaciones

Validada según las

PABP

No aceptada para nuevas

implementaciones

PABP 1.3 18 meses Validada según las

PABP


implementaciones

Validada según las

PABP


implementaciones

Anterior a PABP 1.3

12 meses Aplicación PCI anterior

No recomendada para nuevas

implementaciones

Aplicación PCI anterior


implementaciones

PA-DSS 1.1

3 años después del cambio de

norma

Validada según las PA-

DSS


implementaciones

Validada según las PA-DSS


implementaciones

El flujo del proceso correspondiente al reconocimiento y la transición de las aplicaciones según las PABP se detalla en la figura 3.


Aplicaciones de pago sometidas a revisión de las PABP durante la transición

Con el lanzamiento de las PA-DSS, versión 1.1, se concederá un período de gracia de aproximadamente seis meses para que los PA-QSA conozcan las nuevas normas, reciban capacitación y obtengan autorización para realizar las revisiones según las PA-DSS. Además, los proveedores conocer las PA-DSS y tener en cuenta sus requisitos en el desarrollo de nuevas aplicaciones de pago. Durante este período, se pueden continuar evaluando las aplicaciones de pago según la PABP, versión 1.4 . El período de gracia se extiende hasta el 15 de octubre de 2008. No se aceptarán los informes presentados después de esa fecha para la validación de conformidad con las PABP1. Los informes basados en PABP, versión 1.4, y presentados después del 15 de octubre de 2008, deben someterse a los Procedimientos de transición a las PA-DSS. El PA-QSA puede utilizar los resultados del informe de PABP, pero también debe incluir una evaluación delta de acuerdo con los Procedimientos de transición a las PA-DSS en la presentación al PCI SSC. El proveedor también puede elegir evaluar su aplicación de pago de acuerdo con las PA-DSS en cualquier momento después del lanzamiento de las nuevas normas.

Procedimientos de transición a las PA-DSS

Los Procedimientos de transición a las PA-DSS permiten a los Asesores de Seguridad Certificados para las Aplicaciones de Pago (PA-QSA), cuando corresponde, transferir una aplicación desde la lista de aplicaciones de pago validadas según las PABP de Visa2 a la lista de PCI SSC de aplicaciones de pago validadas según las PA-DSS.

Nota: El PCI SSC reconoce (transfiere) aplicaciones de pago validadas de acuerdo con las versiones 1.3 y 1.4 de las PABP a la lista de aplicaciones validadas según las PA-DSS durante 18 y 24 meses, respectivamente, antes de que se requiera una revisión según las PA-DSS3.

Estos procedimientos de transición son aplicables en las siguientes situaciones:

Procedimientos de transición obligatorios: Si la aplicación de pago se está sometiendo a una revisión de las PABP, y Visa no la finaliza antes del 15 de octubre de 2008, la finalización de estos procedimientos de transición es obligatoria para que el PCI SSC reconozca estas aplicaciones como validadas según las PA-DSS. Tenga en cuenta que las revisiones realizadas exclusivamente de acuerdo con las PABP NO se aceptarán después del 15 de octubre de 2008.

Nota:

Se debe utilizar la misma empresa de PA-QSA que realizaba la revisión de las PABP para llevar a cabo los procedimientos de transición a las PA-DSS.

Procedimientos de transición voluntarios: Según la Nota anterior, si un proveedor de aplicaciones de pago cuenta con aplicaciones que reúnen los requisitos para ser “reconocidas” pero, en cambio, desea que se enumere una aplicación, versión 1.3 ó 1.4, de PABP como “Validada según las PA-DSS”, se deberán utilizar estos procedimientos de transición. Un PA-QSA realizará los procedimientos y presentará el informe de acuerdo con la Guía del programa PA-DSS para que el PCI SSC reconozca las aplicaciones, versión 1.3 y 1.4, de las PABP como validadas.

Para obtener más información sobre los Procedimientos de transición a las PA-DSS, consulte Procedimientos de transición de PABP a las PA-DSS en el sitio web.

1 Si una aplicación se evalúa según la PABP, versión 1.4, y se presenta antes del 15 de octubre de 2008, se realizará una excepción en caso de que surjan problemas de calidad con el informe. Esa aplicación puede continuar su revisión de acuerdo con la PABP, versión 1.4, hasta que se resuelvan los problemas de calidad. Las excepciones de este tipo se considerarán hasta el 15 de abril de 2009. 2 Revisión realizada según las mejores prácticas para las aplicaciones de pago (PABP), versiones 1.3 ó 1.4. 3 Revisión realizada según las Normas de Seguridad de Datos para las Aplicaciones de Pago (PA-DSS), versión 1.1.


Programa de control de calidad

El PCI SSC revisa los informes de los PA-QSA para realizar el control de calidad. Como se mencionó en los Requisitos de validación de QSA y en el Acuerdo de PA-QSA, los PA-QSA deben cumplir normas de control de calidad establecidas por el PCI SSC. A continuación, se describen las distintas fases del programa de QA. El flujo del proceso correspondiente al programa de QA se detalla en la figura 5.

Programa de control para PA-QSA nuevos

El PCI SSC utiliza un proceso de control gradual para revisar los informes de verificación de los PA-QSA. Al principio, se revisan más informes y a medida que el PA-QSA demuestra calidad, la frecuencia de control se reduce. Si el PA-QSA continúa cumpliendo las normas de calidad, pasa al Programa de control para QSA experimentados (con frecuencias de muestreo aún más bajas). A medida que el PA-QSA cumpla con las normas de calidad, estará sujeto a menos controles.

Sin embargo, si el PA-QSA no cumple con las normas de calidad, se tomarán las siguientes medidas:

Carta de advertencia: se entrega al PA-QSA como declaración inicial sobre la necesidad de mejorar la calidad.

Recuperación: si las normas de calidad siguen sin cumplirse, se somete al PA-QSA a una fase de reparación y se pueden iniciar acciones disciplinarias.

Revocación: si las normas de calidad siguen sin cumplirse, se cancela la habilitación del PA-QSA y se lo retira de la lista de PCI SSC de PA-QSA aprobados.

Programa de control para PA-QSA experimentados

Una vez que el PA-QSA ingresa al Programa de control para PA-QSA experimentados, se realiza un control limitado de sus informes. Si continúa cumpliendo las normas de calidad, entonces continuará el control limitado. El objetivo es que este sea el “estado permanente” de trabajo de un PA-QSA.

Si surgen problemas de calidad y las normas no se cumplen, entonces el PA-QSA vuelve al Programa de control para PA-QSA nuevos.

Recuperación

Durante el período de recuperación, los PA-QSA aún pueden realizar revisiones, pero todos los informes están sujetos a controles de calidad realizados por PCI SSC. El PCI SSC cobrará $ 500 a cada uno por los informes que se presenten o se vuelvan a presentar durante el período de reparación. El PA-QSA también debe presentar un plan de recuperación al PCI SSC donde detalle cómo planifica mejorar la calidad de sus informes. El PCI SSC también puede exigir una visita en el sitio con el PA-QSA para auditar los programas de QA. Esta visita estará a cargo del PA-QSA. Si el PA-QSA satisface las normas de calidad durante el período de remediación, vuelve al Programa de control para PA-QSA nuevos. Si el PA-QSA no cumple con las normas de calidad durante el período de reparación, ingresa a la categoría de revocación. Observe que si una aplicación de pago incluida en la Lista de aplicaciones de pago validadas según las PA-DSS del PCI SSC se encuentra comprometida por un error del PA-QSA, este pasará inmediatamente a período de recuperación. El PA-QSA deberá cumplir las normas de calidad para volver a estar en el Programa de control para PA-QSA nuevos.


Revocación

Cuando se cancela la certificación de un PA-QSA, este deja de aparecer en la lista de PCI SSC de PA-QSA aprobados. Si el PA-QSA pierde su habilitación, no puede realizar revisiones de aplicaciones de pago. El PA-QSA puede apelar la revocación, pero debe cumplir los requisitos como se establece en los requisitos de validación de QSA y los documentos de respaldo. El PCI SSC se reserva el derecho de solicitar una evaluación de simulación.

Antes de ingresar nuevamente al Programa de control para PA-QSA nuevos, se cobrará un arancel de registro nuevo de $1250.


Proceso de elaboración de informes de PA-DSS

El PCI SSC fundará la aceptación del informe únicamente en los resultados documentados en el ROV. Una vez recibido el informe, ocurrirá lo siguiente:

El PCI SSC revisará el informe (por lo general, dentro de los 30 días calendario a partir de la recepción) y determinará si es aceptable.

Si no se identifican problemas ni interrogantes del PA-QSA, el PCI SSC facturará al proveedor de software el arancel de registro. Una vez recibido el arancel de registro, el PCI SSC emitirá una Carta de aceptación de las PA-DSS y publicará en el sitio web la aplicación de pago y la información del proveedor.

Si se identifican y envían al PA-QSA interrogantes o problemas, el proceso descrito anteriormente se reiniciará con la recepción de una respuesta o un informe revisado, completo y aceptable (“Informe revisado”) enviado por el PA-QSA. El proceso no se reiniciará hasta que se reciba un Informe revisado y aceptable que haya subsanado todos los puntos identificados anteriormente, pero que aún se encuentran sujetos a control. Por lo general, el PCI SSC examinará un Informe revisado dentro de los catorce días calendario a partir de la recepción.

En caso de que surjan interrogantes o problemas, el ciclo se repetirá hasta la recepción de una respuesta satisfactoria, ante lo cual el PCI SSC enviará una Carta de aceptación de las PA-DSS y publicará la información en el sitio web. Pueden surgir otros interrogantes o problemas en cualquier momento antes de la emisión de la Carta de aceptación de las PA-DSS.

En el caso de los informes relacionados con los cambios a versiones de aplicaciones ya publicadas, según la autodeclaración de cambios del proveedor, el proceso de aceptación de informes descrito es el mismo. El PCI SSC deberá emitir una Carta de aceptación de las PA-DSS revisadas y publicar en el sitio web la información revisada, a menos que surjan interrogantes o problemas como se explicó más arriba.

La Carta de aceptación del PCI SSC y la publicación en el sitio web incluirán, al menos, la información que se indica a continuación. Cada característica se detalla en el “Anexo A: Elementos de aplicación para la lista de aplicaciones de pago validadas según las PA-DSS”.

Nota:

El PCI SSC no otorgará "aprobaciones parciales" fundadas en la capacidad de una aplicación de pago de cumplir algunos de todos los requisitos.

Proveedor de la aplicación de pago

Identificador de la aplicación de pago

Número de aprobación

Notas de validación

Notas de implementación

Autodeclaración de cambios menores a la versión (cuando corresponda)

Fecha de revalidación anual

Fecha de vencimiento

Empresa de PA-QSA

Tipo de aplicación de pago

Mercado objetivo de la aplicación de pago (cuando corresponda)

Región o localidad específica para la aplicación de pago (cuando corresponda)


Notificación después de un fallo o riesgo de seguridad

Los proveedores deberán notificar al PCI SSC sobre un fallo o riesgo de seguridad que ocurra en relación con la aplicación de pago publicada, mediante la implementación de los procedimientos descritos en esta sección.

Notificación y tiempo

Sin perjuicio de otras obligaciones legales que posiblemente correspondan al proveedor, este debe notificar inmediatamente al PCI SSC sobre todo fallo o riesgo de seguridad relacionados con la aplicación de pago publicada por el PCI SSC.

El proveedor también debe proporcionar una respuesta inmediata sobre los efectos potenciales (posibles o reales) que el fallo haya tenido, puede tener o tendrá.

Nota:

El proveedor debe presentar la notificación dentro de las 24 horas de haber descubierto el fallo o riesgo de seguridad.

Formato de la notificación

El proveedor puede presentar la notificación inicial sobre un fallo o riesgo de seguridad mediante una llamada telefónica al coordinador de PA-DSS del PCI SSC, seguida de un correo electrónico, fax o carta que incluya todos los detalles del fallo o riesgo.

Detalles de la notificación

Después de notificar un fallo o riesgo de seguridad, el proveedor debe suministrar toda la información pertinente al fallo o riesgo, al coordinador de PA-DSS del PCI SSC. A modo de ejemplo, esto incluirá lo siguiente:

El número de cuentas en riesgo (si se conoce)

Todos los informes que detallen el fallo o riesgo de seguridad

Todos los informes o evaluaciones realizadas para investigar el fallo o riesgo de seguridad

El PCI SSC, conforme a los términos del Acuerdo de Publicación, puede compartir esta información y otros datos según se solicite para respaldar o realizar una evaluación del fallo o riesgo de seguridad, a fin de mitigar o prevenir otros riesgos o fallos.

Acciones después de un fallo o riesgo de seguridad

Ante el conocimiento del PCI SSC sobre una debilidad o un riesgo real de seguridad en relación con un producto específico o grupo de productos publicados en la lista de aplicaciones de pago validadas según las PA-DSS el PCI SSC puede llevar a cabo las siguientes acciones:

Notificar a todas las marcas de pago sobre la debilidad o el riesgo de seguridad.

Intentar obtener el informe forense para evaluar exactamente cómo surgió el riesgo.

Comunicarse con el proveedor para informarle que su producto presenta una debilidad de seguridad o ha manifestado un riesgo y, si es posible, compartir información relacionada con la debilidad o el riesgo.

Respaldar al proveedor en su intento de mitigar o prevenir futuros riesgos.

Respaldar al proveedor en su intento de: 1) corregir todas las debilidades de seguridad, y 2) elaborar un documento guía para enviar a sus clientes con información sobre alguna vulnerabilidad potencial y con detalles sobre las acciones que deben llevarse a cabo para mitigar o prevenir otros fallos o riesgos de seguridad.

Trabajar con las autoridades competentes responsables de exigir la ley que sean adecuadas para que ayuden a mitigar o prevenir otros riesgos.


Respaldar o realizar evaluaciones del producto que sufre el riesgo, ya sea de manera interna o de acuerdo con los términos del Acuerdo de Publicación, mediante el PA-QSA a fin de identificar la causa de dicho riesgo.

Cancelación de la aprobación

El PCI SSC se reserva el derecho de cancelar la aceptación de una aplicación de pago y de retirar dicha aplicación de la Lista de aplicaciones de pago validadas según las PA-DSS si resulta evidente que la aplicación de pago no ofrece la debida protección contra amenazas actuales o no cumple los requisitos de las PA-DSS. Si el PCI SSC considera que la aplicación de pago posee una debilidad de seguridad o ha presentado un riesgo, notificará por escrito al proveedor sobre su intención de cancelar la aceptación de dicha aplicación.


Términos y condiciones legales

La aprobación del PCI SSC únicamente se atribuye a las aplicaciones de pago o versiones que sean idénticas a la aplicación de pago revisada por un PA-QSA. Si algún aspecto de la aplicación de pago difiere de la evaluada por el PA-QSA, aun si la aplicación de pago cumple con la descripción básica del producto incluido en la carta, la aplicación de pago no debe ser considerada como aceptada ni promocionada como aceptada por el PCI SSC. Por ejemplo, si una aplicación de pago tiene el mismo nombre o número de versión que la evaluada por el PA-QSA, pero de hecho no es idéntica a la aplicación revisada por el PA-QSA, no debe considerarse ni promocionarse como aceptada.

Ningún proveedor o tercero puede referirse a una aplicación de pago como "Aprobada por la PCI" o "Aprobada por el PCI SSC" ni afirmar o insinuar de otro modo que el PCI SSC ha aprobado total o parcialmente algún aspecto del proveedor o sus aplicaciones de pago, salvo en la medida que se establezca en los términos y las restricciones de un convenio escrito celebrado con el PCI SSC o en una Carta de aceptación de las PA-DSS. El PCI SSC prohíbe absolutamente cualquier otra referencia a la aceptación que concede.

EL PCI SSC otorga una aceptación para consolidar ciertas características operativas y de seguridad importantes para el logro de sus objetivos. No obstante, la aceptación en ninguna circunstancia incluye un respaldo o garantía de funcionalidad, calidad o rendimiento de un producto o servicio en particular. El PCI SSC no garantiza productos ni servicios suministrados por terceros. En ningún caso, la aceptación que concede el PCI SSC incluye o da indicios de garantías de productos, incluidas, de manera enunciativa, las garantías de comerciabilidad, de aptitud para uso determinado o de no violación de los derechos de terceros. Asimismo, el PCI SSC expresamente rechaza tales garantías. Todos los derechos y las soluciones en relación con productos y servicios que han recibido aceptación, deben ser proporcionados por la parte que suministra dichos productos o servicios, y no por el PCI SSC ni por las marcas de pago.

A menos que el PCI SSC establezca lo contrario por escrito, todos los bienes y servicios considerados en este documento que el PCI SSC ofrece a terceros, se brindan en el “estado en el que están”, “con todas las fallas que pudieran tener” y sin garantías de ningún tipo.

Guía del programa PCI PA-DSS v. 1.2, Elementos para la Carta de aceptación Octubre de 2008 Copyright 2008, PCI Security Standards Council LLC Página 31

Anexo A: Elementos para la Carta de aceptación y la Lista de aplicaciones de pago validadas según las PA-DSS

Proveedor de la aplicación de pago

Esta entrada indica el proveedor de la aplicación de pago para la aplicación de pago validada.

Identificador de la aplicación de pago

El PCI SSC utiliza el identificador de la aplicación de pago para mostrar información importante y representativa de la aplicación de pago validada. Consiste en:

Nombre de la aplicación de pago

Número de versión de la aplicación de pago

A fin de asegurar el uso de una aplicación de pago validada, se recomienda firmemente a los clientes o agentes designados que adquieran y utilicen únicamente las aplicaciones cuya información coincida exactamente con los datos suministrados en el identificador de aplicaciones de pago. Ejemplo de un identificador de aplicaciones de pago (dos componentes):

Componente Descripción

Nombre de la aplicación Acme Payment 600

Número de versión de la aplicación

PCI 4.53

Número de versión de la aplicación

El número de versión de la aplicación representa la versión específica de la aplicación revisada en la evaluación según las PA-DSS. Los campos que forman el número de versión de la aplicación pueden constituir una combinación de caracteres alfanuméricos fijos o variables.

Nota:

En las PA-DSS, consulte la sección Instrucciones y contenido para el informe de validación, a fin de obtener información detallada sobre el contenido que se debe incluir en el informe de validación según las PA-DSS sobre los métodos del proveedor en cuanto a versiones .

Se recomienda firmemente a los clientes que adquieran o utilicen únicamente las aplicaciones con número de versión cuyos caracteres alfanuméricos coincidan exactamente con el número de versión que figura en la lista de aplicaciones de pago validadas según las PA-DSS o en la Carta de aceptación de las PA-DSS que el PCI SSC concedió al proveedor.

Número de aprobación

El PCI SSC asigna el número de aprobación en el momento de la aceptación; este número será el mismo durante el ciclo de vida de la aplicación en lista.


El PCI SSC utiliza notas de validación para indicar si la revisión se realizó de acuerdo con el programa PABP de Visa o el programa PA-DSS del PCI SSC, y para advertir la versión de PABP o PA-DSS que se aplicó. Consulte la tabla para ver más ejemplos en Notas de implementación.



El PCI SSC utiliza notas de implementación para indicar si una aplicación de pago es aceptable o no aceptable para nuevas implementaciones; y estas notas están relacionadas con la fecha de vencimiento de la aplicación, como se menciona a continuación. Para obtener información detallada, consulte además la tabla completa en la página 22.

Publicación en el PCI SSC antes del vencimiento Publicación en el PCI SSC después del vencimiento


Notas de implementación Notas de validación


Validada según las PABP

Aceptada para nuevas implementaciones

Validada según las PABP

No aceptada para nuevas implementaciones


No recomendada para nuevas implementaciones




Aceptada para nuevas implementaciones



Autodeclaración de cambios menores a la versión (cuando corresponda)

La autodeclaración de cambios menores a la versión se utiliza, si corresponde, para indicar las versiones que experimentan el proceso de cambio, ya que se han documentado cambios menores en la aplicación, como se describe en la sección Sin efectos sobre los requisitos de las PA-DSS de este documento.

Fecha de revalidación anual

El PCI SSC utiliza la fecha de revalidación anual para indicar cuando vence la declaración de validación anual del proveedor de software. La revalidación anual forma parte del formulario de declaración de validación, que se encuentra en el Anexo C, parte 3b de las PA-DSS.

Fecha de vencimiento

La fecha de vencimiento de las aplicaciones de pago validadas según las PA-DSS es la fecha en la que el proveedor de software debe someter la aplicación a una nueva evaluación según los requisitos de las PA-DSS vigentes en ese momento, a fin de conservar la aceptación del PCI SSC. La fecha de vencimiento está relacionada con las notas de implementación, como se mencionó anteriormente.

El PCI SSC intentará actualizar las PA-DSS cada 24 meses, junto con las actualizaciones a las PCI DSS. La aceptación de las aplicaciones de pago validadas según las PA-DSS vence tres años después de la fecha de puesta en vigencia de una nueva actualización de los requisitos de las PA-DSS. El objetivo es una expectativa de vida efectiva de, al menos, tres años para impedir una amenaza grave que pueda requerir cambios inmediatos.

Nota:

Todas las evaluaciones según las PA-DSS realizadas en comparación con la versión 1.1 tendrán la misma fecha de vencimiento que las revisiones realizadas según la versión 1.2 de las PA-DSS, de acuerdo con el proceso normal de vencimiento.

Por ejemplo: la versión 1.1 y la versión 1.2 de las PA-DSS vencerán el mismo día. Con el lanzamiento de la nueva versión de las PA-DSS (la sucesora de la versión 1.2) que aparecerá alrededor de octubre de 2010, las revisiones que se realicen a las versiones 1.1 y 1.2 de las PA-DSS vencerán en octubre de 2013.

Actualmente no existe una fecha de vencimiento para las aplicaciones de pago validadas según las PA-DSS que estaban en la lista de aplicaciones aprobadas en el momento de la implementación. Las aplicaciones de pago implementadas cuya aprobación haya vencido pueden seguir siendo utilizadas. El plazo de vencimiento está relacionado con nuevas adquisiciones/implementaciones, y no con implementaciones existentes.


Empresa de PA-QSA

Esta entrada indica el nombre de la empresa de asesores de seguridad certificados para las aplicaciones de pago que realizó la validación y que determinó la conformidad de la aplicación según las PA-DSS.

Tipo de aplicación de pago

El tipo de aplicación de pago indica una de las siguientes características:

Punto de venta (POS)

Middleware

Máquina expendedora de combustible automática

Carrito de compras

Liquidación

Tarjeta ausente (CNP)

Puerta de enlace

Otro

Mercado objetivo

El mercado objetivo indica el mercado al que se dirige la aplicación de pago (cuando corresponda). Por ejemplo, el mercado objetivo puede ser uno de los siguientes:

Comercio minorista

Cabinas para áreas de estacionamientos

Nafta/gasoil

Comercio electrónico

Nota:

El objetivo es indicar si la aplicación de pago está diseñada específicamente para un mercado en particular y no a efectos comerciales del proveedor de software.

Región o localidad específica para la aplicación de pago (cuando corresponda)

La región o localidad específica de una aplicación de pago indica las aplicaciones desarrolladas para ser utilizadas, a veces únicamente, en zonas o lugares geográficos específicos.

Guía de programa PCI PA-DSS v. 1.2, Identificación de creaciones de Octubre de 2008 aplicaciones de pago certificadas Copyright 2008, PCI Security Standards Council LLC Página 34

Anexo B: Identificación de creaciones de aplicaciones de pago certificadas

Nota: Para consideración futura. Mientras las creaciones de aplicaciones de pago certificadas no constituyen un requisito en este momento, alentamos a los proveedores de software y a los PA-QSA para que trabajen juntos en el desarrollo de métodos para certificar y firmar digitalmente creaciones de aplicaciones de pago. El PCI SSC se reserva el derecho de exigir creaciones de aplicaciones certificadas en el futuro.

Por ejemplo, un método de certificación podría considerar lo siguiente:

Los proveedores identifican de manera clara una creación certificada para realizar un lanzamiento general. En el mejor de los casos, una creación certificada por un PA-QSA como aplicación de conformidad con las PA-DSS debe incluir la huella o firma digital (firma de código) tanto del proveedor como del QSA en el momento de embalarse para la entrega. Al menos, la entrega debe ser identificada sin ambigüedades por nombre, versión, número de compilación y sello con fecha y hora, y debe ser verificable por medio del algoritmo de compendio de mensajes MD5 y del correspondiente encabezado de creación. De este modo, se consolida el requisito 7.2 de las PA-DSS para garantizar la entrega mediante una "conocida cadena de confianza". Asimismo, esto puede ayudar a respaldar un programa PA-DSS relacionado con una marca de pago y fomentar el conocimiento y la confianza de los clientes.

Guía de programa PCI PA-DSS v. 1.2, Autodeclaración de cambios menores a la versión Octubre de 2008 Copyright 2008, PCI Security Standards Council LLC Página 35

Anexo C: Autodeclaración de cambios menores a la versión

Instrucciones para la presentación

El proveedor de la aplicación de pago y el Asesor de Seguridad Certificado para las Aplicaciones de Pago (PA-QSA) deben completar el presente documento como declaración del estado de cambio de una aplicación con respecto a las Normas de Seguridad de Datos para las Aplicaciones de Pago (PA-DSS). El proveedor de la aplicación de pago debe completar todas las secciones que correspondan y presentar el documento de análisis de cambios junto con esta autodeclaración al PA-QSA.

Después de revisar la documentación suministrada, el PA-QSA debe completar las secciones que correspondan y presentarla junto con las copias de todos los documentos exigidos al PCI SSC, de acuerdo con las instrucciones del PCI SSC para la encriptación y presentación de informes.

Parte 1. Información del proveedor de la aplicación de pago

Nombre de la empresa:

Nombre de contacto: Cargo:

N.º de teléfono: Dirección de correo electrónico:

Dirección comercial: Ciudad:

Estado/Provincia: País: Código postal:

URL:

Parte 1a. Información de la aplicación de pago

Nombre y número de versión de la aplicación de pago "matriz" actualmente publicada en la lista de PCI SSC:

Nombre actual de la aplicación: Número de versión actual:

Número de aprobación del PCI SSC:

Nombre y número de versión nuevos de la aplicación de pago (cuando corresponda):

Nuevo nombre de la aplicación: Nuevo número de versión:

Descripción del cambio (si corresponde):

Funcionalidad de la aplicación de pago (marque todas las opciones que correspondan):

Punto de venta Carrito de compras Tarjeta ausente (CNP)

Middleware Liquidación Puerta de enlace:

Máquina expendedora de combustible automática Otros (especifique):

Mercado objetivo para la aplicación:


Parte 2. Asesor de Seguridad Certificado para las Aplicaciones de Pago (PA-QSA). Información de la empresa

Nombre de la empresa:

Nombre de contacto del PA-QSA principal:

Cargo:

N.º de teléfono: Dirección de correo electrónico:

Dirección comercial: Ciudad:

Estado/Provincia: País: Código postal:

URL:

Parte 3. Confirmación de estado de cambio

Parte 3a. Declaración del proveedor de la aplicación de pago

Según el estudio interno de cambios y la documentación de Análisis de cambios, (PA Vendor Name) afirma que el siguiente estado corresponde a las aplicaciones y las versiones identificadas en la Parte 1 del presente documento, al (date) (marque los campos que correspondan):

Únicamente se han realizado cambios menores a la aplicación “matriz” indicada anteriormente para crear una nueva aplicación que también fue mencionada anteriormente; estos cambios corresponden a la clasificación Sin efectos sobre los requisitos de las PA-DSS

Todos los cambios se han registrado correctamente en el documento de análisis de cambios entregado al PA-QSA, según se mencionó en la Parte 2.

Toda la información incluida en esta autodeclaración muestra fielmente los resultados del análisis de cambios en todos sus aspectos sustanciales.

No existe evidencia de almacenamiento de datos de banda magnética (es decir, ninguna pista)4, datos de CAV2, CVC2, CID o CVV25, ni datos de PIN6 después de la autorización de una transacción en NINGÚN archivo ni función generados por la aplicación.

Parte 3b. Declaración del Asesor de Seguridad Certificado para las Aplicaciones de Pago (PA-QSA)

Según la documentación del análisis de cambios suministrada por el proveedor de la aplicación de pago indicado en la Parte 1, (PA-QSA Name) afirma que el siguiente estado corresponde a las aplicaciones y versiones identificadas en la Parte 1 del presente documento, al (date) (marque los campos que correspondan):

De acuerdo con nuestra revisión de la documentación del análisis de cambios, acordamos que los documentos respaldan la afirmación del proveedor que establece que únicamente se han realizado cambios menores a la aplicación indicada anteriormente; estos cambios corresponden a la clasificación Sin efectos sobre los requisitos de las PA-DSS

4 Datos de banda magnética (datos de pista): Datos codificados en una banda magnética que se utiliza para obtener la autorización durante una transacción con tarjeta presente. Es posible que las entidades no retengan todos los datos de banda magnética después de la autorización. Los únicos elementos de datos de pistas que se pueden retener son: el número de cuenta, la fecha de vencimiento y el nombre. 5 El valor de tres o cuatro dígitos impreso en el panel de firma o en el anverso de la tarjeta de pago que se utiliza para verificar las transacciones con tarjeta ausente (CNP). 6 Datos del PIN: El número de identificación personal introducido por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloqueo del PIN cifrado presente dentro del mensaje de la transacción.


Parte 3c. Agradecimientos del PA-QSA y del proveedor de la aplicación

Firma del PA-QSA principal Fecha

Nombre del PA-QSA principal Título

Firma del Oficial Ejecutivo del proveedor de la aplicación Fecha

Nombre del Oficial Ejecutivo del proveedor de la aplicación Título

Empresa proveedora de la aplicación representada

industria de tarjetas de pago (pci) normas de seguridad de … · 2018. 12. 19. · “marcas de...

Documents