Contáctanos
Comenzar AHORA a realizar tu evaluación de cumplimiento PCI PIN empezando a proteger los datos de tus clientes
CUMPLIMIENTO PCI PIN
Seguridad para tus clientes y tu negocio
El PIN (número de identificación de tarjeta) es un dato único
Te has preguntado ¿Qué medidas de seguridad tiene tu entidad para asegurar el PIN de la tarjeta de los usuarios cuando pagan en un supermercado, en un restaurante o realizan retiros en un cajero?
¿tu PIN está seguro? ¿cómo es la transmisión? ¿Qué medidas de seguridad se han implementado?. El PIN (número de identificación de tarjeta) es un dato único y extremadamente sensible que, si se ve comprometido con los detalles de la tarjeta asociada, puede ocurrir una actividad de fraude generando una perdida financiera.
Esto es lo que hace PCI PIN Security Requeriments. Es una normativa de PCI que cubre la seguridad del PIN en las transacciones de pago en línea y fuera de línea en cajeros electrónicos (ATM) y en terminales de punto de venta (POS) permitiendo con esta normativa gestionar procesar y transmitir de manera segura el numero de identificación personal (PIN)
El PIN (número de identificación de tarjeta) es un dato único
- Identificar los requerimientos mínimos de seguridad para transacciones de intercambio basadas en PIN
- Describir los requisitos mínimos aceptables para asegurar el dato del PIN y las llaves de cifrado
- Asistir a todos los participantes del sistema de pago en establecer las medidas para que el PIN no sea comprometido
Actores que participan en el cumplimiento de PCI PIN
¿Quiénes deben cumplir con PCI PIN?
Las empresas que deben cumplir con los requisitos de seguridad de PCI PIN son las que administran o utilizan dispositivos que procesan y aceptan PIN de titulares de tarjetas:
- El estándar PCI PIN es de obligatorio cumplimiento para todas instituciones adquirentes y los responsables del procesamiento de las transacciones con PIN de tarjetas de pago de las tarjetas de las marcas del PCI SSC (VISA, MasterCard, AMEX, Discover y JCB).
- Estas empresas pueden estar relacionadas con instituciones que tengan instalados cajeros automáticos, terminales Punto de Venta (POS) o quioscos de pago.
- Las organizaciones que brindan servicios de administración de claves, especialmente en forma de soporte de cifrado o instalaciones de inyección, deben prestar mucha atención a su estado de cumplimiento de PCI PIN.
- Las empresas que utilizan criptografía asimétrica a través de autoridades de certificación y distribución remota. (proveedores de servicios)
Si los POS son parte de la solución comercial y la puerta de alcance para las transacciones con clientes para aceptar pagos con tarjeta...
Beben cumplir con los requisitos de seguridad PCI PIN. El propósito de una evaluación de PIN es evaluar si una organización está entregando de forma segura el cifrado de PIN en sus transacciones, como dispositivos POS, donde los clientes ingresan sus PIN.
Un PIN es la principal credencial utilizada para identificar y autenticar al cliente al completar una transacción...
y en ningún momento durante el proceso de pago se debe exponer el PIN. Los requisitos de seguridad del PIN de PCI describen un conjunto de estándares para la gestión, el procesamiento y la transmisión seguros de los datos del PIN (Número de identificación personal) durante las transacciones con tarjeta en línea y fuera de línea.
Los requisitos garantizan que el PIN de 4 dígitos del titular de la tarjeta permanezca encriptado en todos los sistemas de pago, por lo que la confidencialidad debe estar protegida en todo momento
¿Cuáles son los riesgos que cubre PCI PIN?
Son todos aquellos que se derivan de la gestión, procesamiento y transmisión del PIN de las tarjetas de pago durante el procesamiento de transacciones online y offline a través de cajeros y puntos de venta.
¿Cómo lo Hacemos?
1. Cumplimiento y definición de alcance:
El primer paso que debemos realizar para hacer una evaluación PIN es determinar eficientemente el alcance identificando todas las localizaciones donde se desempeñan operaciones que soportan el proceso de transacciones en el entorno de los actores definidos e identificar todas las llaves de cifrado empleadas para la adquirencia y procesamiento del PIN.
2. Análisis GAP
El primer paso para cumplir con los requerimientos de PCI PIN es realizar un análisis de los procesos de la empresa en los que se implica el PIN, procesos de inyección y gestión de claves de cifrado, etc.
El GAP evalúa los procesos, roles involucrados y tecnologías de la organización y los compara con los requerimientos de la norma PCI PIN con el fin de identificar la brecha existente para definir por parte de la organización evaluada los planes de acción para su cierre.
3. Implantación del Plan de Acción
En la implementación del plan de acción, la organización cierra los hallazgos en procesos, tecnología y ejecución de actividades por parte del personal involucrado.
IQ-Information Quality apoya el proceso de cierre con el acompañamiento de nuestros expertos con las recomendaciones que aseguren que lo implementado por la organización cumple con los requerimientos de la norma
4. Auditoría de Certificación del Cumplimiento de PCI PIN
Information Quality como QPA, en el proceso de auditoría verifica, mediante revisiones técnicas y procedimientales, que los requerimientos establecidos en PCI PIN se están cumpliendo.
Se entrega el AOC (Attestation of Compliance) y el ROC (Report on Compliance) de la norma PCI PIN. En caso de identificar hallazgos se define un plazo para su cierre y se validan para proceder a la emisión de los documentos de cumplimiento
¿Cómo está organizado el estándar PCI PIN?
La norma fue creada en septiembre de 2011, y en ella se establecen, divididos en 7 objetivos de control, 32 requisitos de seguridad que las instituciones adquirentes y los responsables del procesamiento de las transacciones con PIN de tarjetas de pago han de cumplir.
¿PCI DSS ó PCI PIN?
PCI DSS aplica a todas las entidades que almacenan, procesan o transmiten datos de tarjeta PAN ( Personal Account Number). Esta norma le aplica a los comercios y a los proveedores de servicios: emisores, procesadores, call centers, pasarelas de pago, SOCs, data centers entre otros
PCI PIN involucra a todas las entidades que adquieren, procesan o transmiten el PIN. incluye a las entidades adquirentes y proveedores de servicio involucradas con la inyección de llaves o autoridades de certificados. La norma PCI PIN no aplica en los comercios ni en los emisores.
