Las PCI DSS exigen que las entidades lleven a cabo escaneos de vulnerabilidad trimestrales internos y externos, que identifiquen y enfrenten las vulnerabilidades en tiempo y forma y que verifiquen que se hayan solucionado las vulnerabilidades a través de nuevos escaneos. A fin de alcanzar estos objetivos, las entidades deben mostrar escaneos trimestrales “completos” o “satisfactorios” de los últimos cuatro trimestres para sus entornos externos e internos. Generalmente, un escaneo “completo” o “satisfactorio” tiene las siguientes características:

• No se ha detectado configuración o software alguno que resulte en una falla automática (como la presencia de cuentas y contraseñas predeterminadas, etc.)
• Para escaneos externos, no se han encontrado vulnerabilidades con una calificación de 4.0 o más en el Sistema común de calificación de vulnerabilidades (CVSS)
• Para escaneos internos, no se han encontrado vulnerabilidades “Altas” según se definen en el requisito 6.2 de las PCI DSS 

 Todos los datos de titulares de tarjetas que se almacenen, procesen o transmitan deben estar protegidos de conformidad con las PCI DSS. Si se envían o reciben documentos por fax o correo electrónico por medio de un módem a través de una línea telefónica analógica tradicional, no se considera que estos estén atravesando una red pública. En cambio, si se envía o recibe un fax o correo electrónico por Internet, sí estaría atravesando una red pública y estas transmisiones se deben cifrar de acuerdo con los requisitos 4.1 y 4.2 de las PCI DSS. Todo sistema, como servidores de correo electrónico o fax, que atraviesen los datos de titulares de tarjetas debe estar asegurado de conformidad con las PCI DSS. Asimismo, los datos del titular de la tarjeta contenidos en el fax o el correo electrónico que se almacena en forma electrónica deben cumplir con el requisito 3.4 de las PCI DSS para que los datos en cuestión sean ilegibles. Además, el requisito 3.2 prohíbe el almacenamiento de datos confidenciales de autenticación después de la autorización (banda magnética, CAV2, CVC2, CVV2, CID y datos de bloque PIN). Para garantizar que los datos prohibidos no se almacenen al recibirlos en un fax (en el caso del fax o el correo electrónico, serían solo los valores de CAV2, CVC2, CVV2 o CID impresos en el anverso o el reverso de las tarjetas de pago), se deben ocultar o quitar los datos antes de retener el fax en papel, y la transmisión de fax original (por correo electrónico, etc.) debe eliminarse en forma segura del sistema de modo tal que garantice que no se pueden recuperar los datos. Las entidades también deberán proteger los documentos en papel que contengan datos del titular de la tarjeta de acuerdo con los requisitos 9.6 a 9.10 de las PCI DSS.

Los dispositivos inalámbricos son “de marcado” porque la puerta de enlace está certificada y no escanearíamos la “puerta de enlace”.  

 Las PCI DSS se aplican a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas. Si un comerciante terceriza todas sus operaciones de pago, los requisitos de las PCI DSS aplicables para la protección de datos de cuentas se aplicarían al entorno en donde realmente se almacenan, procesan y transmiten los datos, como terceros proveedores de servicios, puertas de enlace de pago, etc. Sin embargo, es la responsabilidad del comerciante garantizar que los datos que comparten con terceros se manejen y protejan adecuadamente. El hecho de que un comerciante tercerice todos los procesos de pago no significa que el adquirente o la marca de pago no pueda responsabilizarlo en caso de que se comprometan los datos de una cuenta. Asimismo, el adquirente o la marca de pago del comerciante incluso pueden solicitar que el comerciante compruebe su estado de cumplimiento con las PCI DSS. Por ejemplo, se puede solicitar que el comerciante complete un SAQ A en el que el comerciante afirma que ha tercerizado todos los servicios de procesamiento de pagos, no almacena datos de cuentas y cumple con el requisito 12.8 de las PCI DSS. El requisito 12.8 de las PCI DSS establece que los comerciantes deben mantener acuerdos por escrito con sus proveedores de servicios que incluyan el reconocimiento del proveedor de servicios respecto de su responsabilidad por la seguridad de los datos que posee y, además, exige que los comerciantes supervisen el cumplimiento de su proveedor de servicios al menos una vez al año. Los comerciantes deberán consultar con su adquirente o marca de pago para determinar sus obligaciones de cumplimiento en caso de tercerizar el procesamiento de todos los pagos.

 Se recomienda enérgicamente la segmentación de red o el aislamiento del entorno de los datos del titular de la tarjeta del resto de la red de una entidad como método que puede reducir el alcance de una evaluación de las PCI DSS. De la manera más detallada posible, la adecuada segmentación de red aísla los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta de los sistemas que no realizan estas operaciones. La segmentación de red se puede alcanzar mediante una variedad de medios físicos o lógicos, como firewalls internos de red correctamente configurados, routers con sólidas listas de control de acceso u otra tecnología que restringe el acceso a un segmento particular de la red. Un prerrequisito importante para reducir el alcance del entorno de los datos del titular de la tarjeta es la comprensión de las necesidades de la empresa y de los procesos relacionados con el almacenamiento, el procesamiento y la transferencia de los datos del titular de la tarjeta. Es posible que la restricción de los datos del titular de la tarjeta a la menor cantidad posible de ubicaciones mediante la eliminación de datos innecesarios y la consolidación de datos necesarios necesite la reingeniería de prácticas de negocio de larga data. La documentación de los flujos de datos del titular de la tarjeta mediante un diagrama de flujo de datos ayuda a comprender completamente todos los flujos de datos del titular de la tarjeta y a asegurar que toda segmentación de red logre aislar el entorno de los datos del titular de la tarjeta. La aptitud de la implementación de una segmentación de red en particular varía enormemente y depende de ciertos factores como la configuración de una red determinada, las tecnologías que se utilizan y otros controles que puedan implementarse. Le recomendamos validar el alcance de su entorno de los datos del titular de la tarjeta como parte de su proceso de evaluación anual de las PCI DSS, incluida la validación de toda segmentación de red.

El sistema se escaneará trimestralmente. Puede escanear a pedido si desea realizar escaneos con mayor frecuencia.

El requisito 11.2.2 de las PCI DSS aborda la necesidad de que un proveedor de escaneo aprobado (ASV) por el PCI SSC realice escaneos de vulnerabilidad externos trimestrales. El ASV generará un informe del escaneo que detalla los resultados del escaneo de vulnerabilidad (este informe del escaneo no es un indicio de que se hayan respetado o cumplido otros requisitos de las PCI DSS). Los ASV deben proporcionar informes de escaneo en plantillas oficiales, según se estipula en la Guía del programa de ASV. Toda documentación adicional proporcionada por el ASV (por ejemplo, certificados, cartas o demás documentos) se debe identificar de manera clara como material complementario proporcionado por la empresa del ASV. Este material complementario no ha sido aprobado por el PCI SSC ni debería tomarse como reemplazo de las plantillas y los formularios oficiales del PCI SSC que han recibido aprobación por parte de las marcas de pago. 

Todos los comerciantes, pequeños o grandes, deben estar en cumplimiento de la PCI. Las marcas de pago han adoptado conjuntamente las PCI DSS como requisito para las organizaciones que procesan, almacenan o transmiten datos de titulares de tarjetas de pago. El PCI SSC es el responsable de administrar las normas de seguridad, mientras que cada marca de pago individual es responsable de administrar y exigir el cumplimiento de estas normas. En caso de tener preguntas relacionadas con los plazos y los requisitos de validación de cumplimiento y con los requisitos para los informes de cumplimiento, le sugerimos que se comunique con su adquirente. Para obtener más información sobre las normas de seguridad de la PCI y documentación complementaria, incluyendo la “Guía de exploración de PCI DSS”, así como los cuestionarios de autoevaluación para ayudar a comerciantes pequeños y medianos, visite el sitio web del PCI SSC: www.pcisecuritystandards.org 

No, los comerciantes que usan soluciones de P2PE no deben contratar a un asesor de P2PE [es decir, un QSA (P2PE) o PA-QSA (P2PE)] para sus evaluaciones de las PCI DSS. Los comerciantes que utilizan soluciones de P2PE publicadas por el Consejo continuarán validando su cumplimiento con las PCI DSS según lo que establecen los programas de cumplimiento de la marca de pago. Por ejemplo, es posible que un comerciante necesite contratar a un QSA para realizar una evaluación en el sitio o es posible que sea elegible para completar un cuestionario de autoevaluación (SAQ). Los comerciantes deberán comunicarse directamente con su adquirente (banco mercantil) o marca de pago para entender sus requisitos de validación. Los comerciantes que deseen contratar a un QSA para la revisión de las PCI DSS encontrarán una lista de QSA en el sitio web del Consejo: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php 

Una vez completado su escaneo, podrá consultar los detalles debajo de la fecha del hipervínculo del escaneo programado en el Portal. Al hacer clic en el enlace, se lo redirigirá a un resumen general del escaneo y los resultados. Tenga en cuenta que las vulnerabilidades que tengan un nivel de riesgo Mediano o superior harán que el escaneo no esté en cumplimiento. Comuníquese con el Soporte técnico en el Portal en caso de tener más preguntas o consultas sobre el servicio.

Respuesta:
Es posible que haya usuarios ilimitados asociados a su cuenta. Simplemente añada el nombre, título y dirección de correo electrónico del nuevo usuario para solicitar una nueva cuenta.

Respuesta:
El sistema guardará sus respuestas a medida que avanza, por lo que no necesita completar el proceso entero en su primera sesión.

Respuesta:
Son servicios disponibles que pueden vincular un nombre de host con una dirección IP dinámica. Estos servicios se conocen como 'resolución de DNS dinámico'. Si tiene una dirección IP dinámica, la mejor opción es registrarla con un proveedor de DNS dinámico. En caso de registrar su dirección IP dinámica en lugar de un nombre de host, deberá controlar su dirección IP regularmente. Como mínimo, deberá verificar que su cuenta indique la dirección IP correcta antes de que comience un escaneo.

Los escaneos tardan, en general, entre 30 y 60 minutos por IP. Sin embargo, como sucede con todo en Internet, los tiempos pueden variar según la velocidad de su conexión y la forma en la que su firewall responde a la herramienta de escaneo. Por eso le recomendamos programar su escaneo después del horario laboral para que pueda ejecutarse en segundo plano durante la noche.

Se debe completar un escaneo una vez por trimestre calendario (cada tres meses o cuatro veces al año).  Además, el sistema programará sus escaneos automáticamente después de programar el primero por su cuenta.  Si está inscripto en escaneos basados en sus requisitos, puede escanear o volver a escanear el sistema las veces que quiera (a diario si lo desea). 

Respuesta:
El SAQ está diseñado para que brinde respuestas afirmativas "sí" o, tal vez, "N/C" con una explicación para estar en cumplimiento. Por lo tanto, ha fallado porque ha respondido una pregunta con "no". El paso más importante es revisar esa pregunta y realizar los cambios necesarios dentro de su organización, de modo que pueda responder esa pregunta honestamente con un "sí". Este es el paso necesario para que su SAQ esté en cumplimiento. Por último, para estar en cumplimiento, debe actualizar o volver a responder el SAQ para demostrarlo. Una vez más, si se responden todas las preguntas con "sí" o "N/C", se considerará que cumple con esta parte de las PCI DSS. Tenga en cuenta que si selecciona la respuesta "N/C" para alguna pregunta, debe adjuntar una pequeña explicación de por qué no se aplica el requisito en cuestión.

Una vez que haya completado un SAQ en cumplimiento, complete el escaneo requerido, según corresponda.  Recuerde que muchos comerciantes no están obligados a realizar un escaneo.  Con un SAQ en cumplimiento, puede imprimir o descargar su certificado para sus registros.  Recuerde que debe actualizar el SAQ si se produce alguna modificación en su empresa respecto de cómo se manejan o almacenan los datos de titulares de tarjetas.

Si se ha completado su escaneo y no está en conformidad, diríjase al panel de control de comerciantes en el Portal para revisar sus resultados. Haga clic en Corrección del escaneo en su panel de control. Dentro de esta sección del Portal, se determinarán los detalles en cuanto a qué medidas tomar. Si vuelve a quedar atascado, comuníquese por teléfono (o envíe un correo electrónico) a los contactos de soporte técnico en el Portal para obtener asistencia adicional.

El escaneo no interrumpirá lo que el comerciante esté haciendo. No ejecutamos ningún ataque de negación del servicio que pueda derribar sus sistemas. En caso de contar con un empleado de TI para supervisar el escaneo, lo único que pueden notar, en general, es una pequeña disminución de la velocidad de Internet, dado que enviaremos tráfico a través de ella para realizar la prueba. Hágales saber que pueden continuar procesando tarjetas como siempre. Sin embargo, si por algún motivo, el comerciante tuviera una conexión a Internet limitada (a través de una línea telefónica u otras velocidades lentas) y notara un impacto en el sistema durante el escaneo, podemos ejecutar el escaneo a menos velocidad para adaptarnos a estas circunstancias, en caso de ser necesario. Para ello, deberán comunicarse con nosotros para obtener soporte técnico adicional en relación con esta necesidad. Pero, en conjunto, el sistema está diseñado para ejecutarse durante el horario de producción y, en general, notamos inconvenientes limitados con nuestros clientes, si es que los hay.

Una aplicación de pago es una aplicación comercial que almacena, procesa o transmite datos de titulares de tarjetas como parte de la autorización o liquidación. Un ejemplo común de aplicación de pago es el software que se ejecuta en una terminal de punto de venta (POS). Para obtener detalles sobre una aplicación de pago en un punto de venta, comuníquese con el proveedor de la terminal del punto de venta o con su banco adquirente (banco mercantil). 

 SÍ. Recuerde que hay otros requisitos dentro del SAQ, como las políticas del requisito 6.6 y el requisito 11.3. Asimismo, los SAQ se deben completar solo una vez al año si no se han producido cambios en cuanto a cómo acepta pagos con tarjetas de crédito. Si esto cambia, se debe actualizar el SAQ. Además, los escaneos son trimestrales, de modo que el sistema los programará y ejecutará a lo largo del año. Por último, el cumplimiento es un proceso constante y fluido; utilice las herramientas que proporciona este Portal para obtener capacitación y controlar que la seguridad para tarjetas de crédito sea adecuada dentro de su organización.

Son ubicaciones que manejan titulares de tarjetas de la misma manera con el mismo propietario y el mismo nombre comercial. Esto permite que los comerciantes completen un SAQ que se aplicará a múltiples ubicaciones. 

Esto significa que hay ubicaciones de comerciantes que comparten las credenciales de inicio de sesión. Esto es para que el comerciante pueda ver múltiples empresas cómodamente iniciando una sola sesión. 

 Recuerde que la idea general del Consejo de Seguridad respecto de las PCI DSS es brindar una plataforma en la que las marcas de tarjetas puedan llegar a las distintas capas de entidades (bancos, entidades de procesamiento, ISO y representantes de ventas) para comunicarse directamente con el comerciante. El requisito del ISO es proporcionar el conjunto de herramientas autoadministradas al comerciante, eso es todo. Las herramientas deben otorgar al comerciante la capacidad de completar los pasos de las PCI DSS, que incluyen el cuestionario de autoevaluación (SAQ) y un escaneo proporcionado por un proveedor de escaneo aprobado (ASV). Al otorgar al comerciante acceso a estas herramientas, el ISO ha realizado un gran esfuerzo para cumplir su función en las PCI DSS.

Toda multa y/o penalidad asociada con el incumplimiento de las PCI DSS y/o las brechas de seguridad confirmadas las define cada una de las marcas de tarjetas de pago. Para obtener información más específica, comuníquese con las marcas de tarjetas de pago particulares. 

Respuesta:
Si su banco mercantil o su proveedor de servicios solicitan un comprobante de su cumplimiento, comuníquese con el representante de soporte técnico que se indica en el Portal para solicitar una carta de cumplimiento. Nuestro equipo llevará a cabo una revisión rápida de su cuenta y le otorgará una carta que establece lo que ha hecho para validar su cumplimiento.

 Norma de Seguridad de Datos

Las PCI DSS se centran en la protección de los datos del titular de la tarjeta a lo largo del proceso de transacción, ya sea en un entorno de venta al por menor o en Internet, o en cualquier otro ámbito intermedio. Hoy en día, la industria de tarjetas de pago es más variada que nunca. Todos los días nuevas aplicaciones de pago amplían los métodos por los que los clientes pueden usar las tarjetas de crédito para comprar bienes y servicios. 

 Industria de Tarjetas de Pago

Es cuando un ASV (proveedor de escaneo aprobado) escanea su dirección IP y/o sitio web en busca de “vulnerabilidades”. Las vulnerabilidades son, principalmente, “agujeros” en el sistema que los hackers pueden utilizar para obtener acceso no autorizado. El escaneo, en general, abarca sus sitios web, dirección IP, a la que se hace referencia como dirección IP externa. Si transfiere a sus clientes a un carrito de compras de un tercero durante el proceso de pago, debe incluir la dirección IP del tercero en el escaneo. Esto es muy importante, porque podría resultar responsable por posibles multas si un individuo no autorizado obtiene información sobre la tarjeta de pago de un cliente en algún momento del proceso de transacción. 

Es la página de inicio del Portal de cumplimiento de la PCI. 

Respuesta:
Un nombre de host es el nombre de una dirección IP. Es más fácil de recordar que la dirección IP, que consiste en números. Si su empresa desea un medio para que se comuniquen con ella por Internet, por lo general debe registrar un nombre de host para su dirección IP.

El proveedor de soluciones de P2PE es una entidad particular (por ejemplo, una entidad de procesamiento, adquirente o puerta de enlace de pago) que tiene responsabilidad general sobre el diseño y la implementación de una determinada solución de P2PE y administra soluciones de P2PE para sus clientes comerciantes. El proveedor de soluciones tiene la responsabilidad general de garantizar que se cumplan todos los requisitos de P2PE, incluyendo todo requisito de P2PE llevado a cabo por terceros en nombre del proveedor de soluciones (por ejemplo, autoridades de certificación y establecimientos de introducción de claves). Consultar la norma de P2PE y la guía del programa de P2PE para obtener más información. 

Esta es la empresa que procesa sus transacciones de tarjetas de crédito 

Es un "proveedor de escaneo aprobado". El proveedor que usamos para realizar su escaneo obligatorio para el cumplimiento parcial de las PCI DSS. Puede verificar los proveedores de escaneo aprobados en el sitio web www.pcisecuritystandards.org. 

Es una política de protección opcional que cubre una cantidad de dólares en caso de que se produzca un evento de la PCI y la subsiguiente investigación forense y/o multa. Consulte a su entidad de procesamiento para obtener más detalles sobre la disponibilidad de esta protección, si así lo desea. 

Respuesta:
Obtener su dirección IP o nombre de host que corresponde es muy importante para ejecutar sus escaneos de vulnerabilidad correctamente. Nuestro sistema lo guiará para determinar su dirección IP a medida que completa las pruebas de seguridad. O puede visitar el sitio web www.whatismyip.com desde la computadora que procesa las tarjetas de pago y esta le mostrará la dirección IP para esa red pública.

Respuesta:
Las computadoras en una red tienen una dirección (similar a la dirección de un hogar o empresa) que identifica dónde la pueden encontrar otras computadoras en Internet. Este número tendrá la forma de cuatro números separados por puntos (p.  ej., x.x.x.x): esta es su dirección IP.

 

Respuesta:
Son servicios disponibles que pueden vincular un nombre de host con una dirección IP dinámica. Estos servicios se conocen como 'resolución de DNS dinámico'. Si tiene una dirección IP dinámica, la mejor opción es registrarla con un proveedor de DNS dinámico. En caso de registrar su dirección IP dinámica en lugar de un nombre de host, deberá controlar su dirección IP regularmente. Como mínimo, deberá verificar que su cuenta indique la dirección IP correcta antes de que comience un escaneo.

Consiste en una norma de seguridad unificada aceptada por todas las marcas de tarjetas, como Visa, MasterCard, Discover y demás, que se utiliza como medida de seguridad para proteger los datos del titular de la tarjeta. 

Respuesta:
Para el escaneo que se realice en su sistema, solo necesitaremos su dirección IP externa (o su dirección IP pública) porque únicamente evaluaremos la parte externa (el lado que mira hacia afuera) de su red. Una dirección IP privada comprende todas las computadoras conectadas a la red "dentro" de su oficina. Estas no se escanean en estas pruebas de seguridad de la PCI.

Respuesta:
Una dirección IP estática es siempre la misma y nunca cambia, mientras que una dirección IP "dinámica" significa que su dirección IP puede modificarse en el transcurso del tiempo (por ejemplo, al reiniciar, en caso de picos de tensión o periódicamente). La frecuencia con la que se modifica una dirección IP dinámica varía en función de las prácticas de su proveedor de servicios de Internet.

 

La Norma de Seguridad de Datos de la PCI representa un conjunto de herramientas y medidas comunes que se utilizan en la industria a fin de garantizar el manejo seguro de información confidencial. La norma, creada inicialmente al alinear los programas Account Information Security (AIS)/Cardholder Information Security (CISP) de Visa y el programa Site Data Protection (SDP) de MasterCard, proporciona un marco que se puede utilizar para desarrollar un sólido proceso de seguridad de datos de la cuenta, incluyendo la prevención y la detección de incidentes de seguridad y la reacción ante estos. La versión actualizada, versión 1.1, desarrollada por los miembros fundadores del PCI Security Standards Council, entró en vigencia con el lanzamiento del PCI Security Standards Council. 

El cuestionario de autoevaluación de la Norma de Seguridad de Datos de la PCI es una herramienta de validación cuya intención es asistir a los comerciantes y los proveedores de servicio a quienes las marcas de pago permiten autoevaluar su cumplimiento con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Hay cuatro versiones del SAQ de las PCI DSS para elegir, según las necesidades de su empresa. Consulte la sección de “Selección del SAQ y la declaración que mejor se aplican a su organización” en el documento Instrucciones y directrices del cuestionario de autoevaluación. https://www.pcisecuritystandards.org/documents/pci_dss_saq_instr_guide_v2.0.pdf 

La norma de encriptación punto a punto (P2PE) de la PCI contiene requisitos de seguridad detallados y procedimientos de evaluación para proveedores de aplicaciones y proveedores de soluciones de P2PE para garantizar que sus soluciones cumplan con los requisitos necesarios para proteger los datos de tarjetas de pago. La versión 1.1 de la norma de P2PE contiene requisitos de seguridad y procedimientos de evaluación para soluciones de P2PE de terceros basadas en hardware. Las versiones posteriores del programa de P2PE abordarán los requisitos para asegurar las operaciones de administración de claves y descifrado basadas en software, así como situaciones en las que los comerciantes manejan sus propias claves criptográficas. Los asesores de P2PE y los PA-QSA cuentan con la calificación del Consejo para evaluar soluciones y aplicaciones de P2PE. 

Respuesta:
El escaneo está diseñado para tener un impacto mínimo en su red. Los escaneos pueden ejecutarse durante el horario laboral normal y tienen un impacto mínimo. El sistema es automático y se puede configurar para que ejecute el escaneo después del horario laboral, si así lo desea.

Remítase a la sección de “Selección del SAQ y la declaración que mejor se aplican a su organización” del documento Instrucciones y directrices del SAQ de las PCI DSS para obtener información sobre los distintos SAQ y los tipos de entornos a los que está destinado cada uno de ellos. Los comerciantes también deberán consultar con su adquirente (banco mercantil) o marca de pago para determinar si son elegibles o si deben presentar un SAQ y, en caso afirmativo, qué SAQ es el apropiado para su entorno. 

45.33.64.15
69.164.195.28
69.164.203.238
69.164.207.99
45.79.22.69
45.79.22.70
45.56.64.216
45.56.66.52
45.56.70.138