INDUSTRIA DE TARJETA DE PAGO (PCI)

Payment Card Industry Data Security Standard (PCI DSS)

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) fue desarrollado para promover y mejorar la seguridad de datos de los titulares de tarjetas y para facilitar la adopción generalizada de medidas consistentes en seguridad de datos a nivel global. El PCI DSS sirve como referencia de requisitos operativos y técnicos diseñados para proteger los datos de los titulares de tarjeta..

• Aplicable a cualquier organización que cuente con procesamientos de tarjetas de pago
• El conjunto de requisitos mínimo para proteger datos de cuenta
• Requisitos de validación y reporte definidos por las marcas de pago.

Payment Application Data Security Standard (PA-DSS) / Payment Card Industry Software Security Framework (PCI SSF)

El PA-DSS y el PCI SSF definen los requisitos de seguridad y los procedimientos de evaluación para vendedores de software de aplicaciones de pago. Tanto el estándar como el marco son aplicables a vendedores y aplicaciones de software que participen en procesos de autorización y establecimiento.

• Las aplicaciones validadas ayudan a mantener el cumplimiento de PCI DSS
• Dos estándares aplicables a empresas de desarrollo de software y aplicaciones (bajo licencia o comerciales)
• No aplicable a aplicaciones móviles, desarrolladas para un único cliente o internamente
  
  

Payment Card Industry 3-D Secure (PCI 3DS)

El estándar PCI 3DS define los requisitos lógicos y físicos y evalúa procesos para entidades que trabajen con o proporcionen funciones de 3DS. El PCI 3DS consta de un conjunto mínimo de requisitos para proteger datos 3DS sensibles basándose en 14 principios estructurados en más de 200 requisitos.

El estándar es aplicable a todas las entidades que proporcionen las siguientes funciones:

Payment Card Industry Point-to-Point Encryption (PCI P2PE) / NESA

El P2PE (y NESA) define los requisitos y procedimientos de prueba para un cifrado de punto a punto (y seguridad para soluciones de cifrado no listadas). El cifrado fortalece los datos de los datos del titular de la tarjeta desde el punto de interacción (en el entorno de cifrado donde se capturan los datos) hasta el punto de descifrado de esos datos dentro del entorno de descifrado, eliminando de manera efectiva datos en texto plano del titular de la tarjeta entre ambos puntos. El P2PE es aplicable a proveedores de soluciones, vendedores de aplicaciones de pago y proveedores de componentes.

Los proveedores de componentes P2PE pueden validar el siguiente servicio que proporcionen:

• Proveedor de componentes de gestión de cifrado (EMCP)
• Proveedor de componentes de despliegue de POIs (PDCP)
• Proveedor de componentes de gestión de POIs (PMCP)

• Proveedor de componentes de gestión de descifrado (DMCP)

• Instalaciones de inyección de claves (KIF)
• Proveedor de componentes de gestión de claves (KMCP)
• Proveedor de componentes de carga de claves (KLCP)
• Autoridad de certificación/Autoridad de registro (CA/RA)

Seguridad del PIN en Payment Card Industry (PCI PIN)

El estándar de seguridad PCI PIN contiene un conjunto completo de requisitos para una gestión, un procesamiento y una transmisión segura de los datos del número de identificación personal (PIN) durante el procesamiento de transacciones de tarjetas de pago online y offline en cajeros y en terminales de punto de venta atendidos y desatendidos.

• PCI PIN es aplicable a todas las entidades involucradas en el procesamiento del PIN, incluyendo transacciones en cajeros automáticos y TPV
• Los requisitos de validación e informes los definen las marcas de pago
• Las evaluaciones de PCI PIN las deben realizar empresas empresas validadas PCI QPA

Payment Card Industry Token Service Providers (PCI TSP)

El PCI TSP es un estándar PCI para entidades que proporcionan servicios como Proveedores de Servicio de Tokenización (TSP). Un TSP es una entidad que proporciona a solicitantes de tokenización registrados, como empresas con credenciales de tarjeta, con un valor "sustituto" del PAN (Número de cuenta principal) (o "tokens de pago"). Estos tokens solo se pueden usar en dominios específicos, como el sitio web de la empresa o canales predefinidos en dispositivos móviles para hacer un pago NFC (comunicación de campo cercano).

• Aplicable a todas las entidades que llevan a cabo servicios como TSP
• Requisitos de informes y validación definidos por las marcas de pago
• Evaluación proporcionada por QSA (Cifrado de punto a punto P2PE)