Visa Europe revealed important stats about the usage of Contactless Cards. Poland, Spain and the UK use this payment methd the most, with UK usage growing by 300% year over year.
Visa Europe revealed important stats about the usage of Contactless Cards. Poland, Spain and the UK use this payment methd the most, with UK usage growing by 300% year over year.
Todas las organizaciones involucradas en el manejo de los datos PIN de Visa, ya sea que se trate de procesamiento de PIN, traducción, aceptación y/o administración de claves, o la administración o seguridad de estos entornos, deben cumplir con el Programa de Seguridad PIN de Visa.
Dado que el ciclo de validación del Programa de Seguridad PIN de Visa es de 24 meses, queremos proporcionarle una actualización sobre los cambios recientes en el proceso de validación (marzo de 2019).
Generalidades:
Visa introduce dos categorías principales de entidades que requieren validación contra el Programa de Seguridad PIN de Visa. Estos son los Participantes Validadores y los Participantes No Validadores.
Los Participantes Validadores se definen como:
Todas estas entidades deben realizar una evaluación de seguridad del PIN in situ una vez cada 24 meses.
Los participantes no validadores son clientes de Visa, comerciantes y otras organizaciones que adquieren transacciones con PIN y/o realizan servicios de administración clave sólo para su propio negocio de adquisición.
Si bien los participantes no validadores deben cumplir plenamente con los requisitos de seguridad del Programa de seguridad del PIN de Visa, los requisitos de validación son diferentes a los de los participantes validadores. Su proceso de validación incluye la realización de autoevaluaciones utilizando un recurso interno o externo.
A diferencia de antes de 2018, los resultados de la autoevaluación (Cuestionario de Autoevaluación PIN) no necesitan ser presentados a Visa, sino que deben ser retenidos como evidencia de cumplimiento. Visa se reserva el derecho de solicitar pruebas del cumplimiento de PIN en cualquier momento, o solicitar una revisión de seguridad del PIN in situ de cualquier organización, en cualquier momento, para garantizar la seguridad del sistema de pago.
A partir de julio de 2018, los participantes en la validación del PIN pueden contratar y comprometerse directamente con las SA aprobadas por Visa para la revisión del PIN in situ. De este modo, se agiliza considerablemente el proceso.
Justo después de la introducción del nuevo modelo PIN SA en julio de 2018, Visa y otras marcas de pago consolidaron sus esfuerzos en la Validación de Seguridad PIN e iniciaron la transición de todo el proceso a PCI SSC.
Si usted revisa la lista actual de Evaluadores de Seguridad Aprobados por Visa, verá el siguiente aviso:
Nota: Visa se encuentra actualmente en un período de congelación y no acepta solicitudes para nuevos evaluadores de seguridad en ninguna región, a la espera de la transición de los evaluadores al PCI SSC en 2019. Las organizaciones que requieran una evaluación in situ deben continuar haciendo referencia a los recursos de esta lista hasta nuevo aviso. Póngase en contacto con el representante regional de riesgos de visado para obtener información adicional.
El nuevo programa de validación se anunció el año pasado. Y el 20 de febrero de 2019, PCI SSC abrió el Programa de Evaluadores de PIN Calificados para aceptar nuevas solicitudes. Vale la pena mencionar que no sólo las empresas QSA existentes pueden calificar. Sin embargo, los requisitos de cualificación son muy exigentes.
El primer entrenamiento y examen para los asesores de seguridad PCI PIN está previsto para el 10 y 11 de junio de 2019. Podemos esperar que las primeras validaciones contra el nuevo programa comiencen en junio.
Mientras escribía este artículo, Visa circuló otra información importante: a partir del 1 de octubre de 2019, se exigirá a los participantes de la validación del PIN que utilicen un PCI QPA para las evaluaciones in situ. Las evaluaciones de PIN que ya están programadas y se realizarán después del 1 de octubre de 2019, pueden continuar utilizando un Evaluador de PIN aprobado por Visa que no sea un PCI QPA. En estos casos, se requiere la aprobación de Visa antes de que se lleve a cabo la evaluación. En la misma fecha, todas las compañías que no sean Asesores de Seguridad PCI PIN serán eliminadas de la lista de evaluadores aprobados.
La última versión de los Requisitos de Seguridad PIN 3.0 se publicó en agosto de 2018.
Aunque en la mayoría de los casos los cambios aclaran los requisitos existentes, la nueva versión también define varias fechas de expiración importantes:
Recientemente, Visa notificó a todos los participantes en la validación que, a partir del 1 de enero de 2020, todas las evaluaciones del PIN deben realizarse utilizando el PIN PCI v3 y los materiales de información PCI asociados. A partir de esta fecha, las evaluaciones PCI PIN v2 ya no serán aceptadas.
Como parte del nuevo proceso de validación del PCI SSC, en enero de 2019 se publicó la nueva plantilla de Requisítos de Seguridad PCI PIN 3.0 RoC.
A diferencia de los antiguos informes de validación que eran muy breves, la nueva plantilla de informes define nuevos horizontes para informar sobre los resultados de la evaluación. Es muy detallado, específico y contiene mucha información sobre la entidad evaluada. Por un lado, es un cambio positivo. Una plantilla de informe detallada refuerza la precisión y la minuciosidad de los procesos de evaluación, recopilación de pruebas y análisis. Por otro lado, la documentación detallada de todos los subrequisitos y la redacción del informe de 250 páginas requerirá tiempo adicional tanto en el sitio como en la oficina. Creemos que los uno o dos días in situ que Visa menciona en la Guía del Programa no son suficientes para validarlos contra todos los requisitos aplicables y reunir pruebas de soporte. Teniendo experiencia en la realización de varias evaluaciones P2PE (donde el mismo informe detallado se utiliza durante años), estimamos que el tiempo que un evaluador necesita para validar el nuevo Programa de Seguridad PIN será mucho más largo que antes de 2018.
En 2018, Visa presentó la nueva lista mundial de participantes en el programa PIN aprobados y en cumplimiento. Asegúrese de que aparezca en la lista en el color azul. Una presentación tardía de la renovación por 1-60 días significa que su empresa aparecerá en la lista en ámbar. Esto informa a los clientes potenciales de que algo puede estar mal en la validación de su conformidad. Si el envío de la renovación de su listado se retrasa 61-90 días, entonces su compañía aparecerá en rojo y puede ser eliminada de la lista en un momento posterior.
Nuestro equipo de expertos está disponible para responder a sus preguntas sobre el Programa de seguridad del PIN de Visa.
Guía del Programa Visa PIN de seguridad: https://usa.visa.com/dam/VCOM/download/security/documents/visa-pin-security-program-guide-public.pdf
Los cambios en el programa de seguridad PIN en Europa: https://usa.visa.com/dam/VCOM/global/partner-with-us/documents/announcement-ve-pin-progam-changes-public-version.pdf
Lista de Evaluadores de Seguridad Aprobados por Visa (SA): https://usa.visa.com/dam/VCOM/download/security/documents/sa-global-list.pdf
El Registro Global de Proveedores de Servicios de Visa: https://www.visa.com/splisting
Requisitos de seguridad del PIN - Resumen de cambios significativos de la versión 2.0 a la 3.0: https://www.pcisecuritystandards.org/documents/PCI_PIN_Security_Rqrmts_Modifications_v3_Summary_of_Changes_Aug2018.pdf?agreement=true&time=1551107880220
I am a Managing Consultant at Advantio.
During my 18-year IT career, I have been lucky to work with the United Nations for over three years on a field mission as well as spend ten years focused on project management, information security, capacity planning, disaster recovery and businesses continuity.
In Advantio I apply my well-developed analytical, troubleshooting and problem-solving skills. I also can draw on my background in data processing, network and systems architecture as well as IT security.
My certifications include: CISA, PCI QSA, PA-QSA, QSA (P2PE), PA-QSA (P2PE), 3DS Assessor.
Copyright © 2019. All Rights Reserved. Privacy Statement. Sitemap.