Visa para Comercios

Seguridad de la Información (Programa AIS)

Nuevas normas de seguridad relativas a la conservación y al tratamiento de información sensible acerca de los titulares de tarjetas

Los pagos mediante tarjeta de crédito gozan de una creciente popularidad. La confianza de los consumidores en este medio de pago reside en la protección de la información de las tarjetas de crédito y de los datos de las transacciones. Visa quiere desarrollar y fortalecer esta confianza, tanto del consumidor como del comercio. Por ello, la seguridad siempre ha constituido el núcleo de sus inquietudes. En este sentido, los programas de recomendaciones contra los abusos o de prevención contra el fraude no son nada nuevo.

Los consumidores no son los únicos en beneficiarse de una mayor seguridad, también favorece a los comercios: unos clientes satisfechos generan más ventas; las pérdidas derivadas de los fraudes se reducen progresivamente, y el volumen de reclamaciones disminuye.

Función del programa AIS (Programa de Seguridad de la Información)

Visa International introdujo el programa AIS durante el año 2000. Un año después, extendió su aplicación al mundo entero. El objetivo del programa AIS es dar apoyo a las entidades financieras miembro, los comercios, los proveedores de servicios de todos los ámbitos para que puedan tratar con una mayor seguridad los datos sensibles de las tarjetas y las transacciones. El programa define requisitos de seguridad para el tratamiento, el registro y la vigilancia de datos de carácter confidencial, lo que debería permitir identificar lagunas en el seno de los sistemas de seguridad empleados y evitar posibles perjuicios.

Normas de seguridad relativas a los datos PCI DSS (estándares de seguridad de la información de la Industria de Tarjetas de Pago): definición

Para poder poner en marcha un procedimiento homogéneo de observancia de los requisitos de seguridad, los organismos Visa y MasterCard han acordado unas normas comunes. Éstas se han recopilado bajo la denominación «Payment Card Industry Data Security Standards (PCI DSS)» (normas de seguridad relativas a la información de la Industria de Tarjetas de Pago). Son válidas para el conjunto del sector de pago con tarjeta.

La metodología relativa a la protección de la información PCI DSS incluye doce puntos que deben cumplir los proveedores de servicios y los puntos de aceptación de tarjetas Visa.

  • Instalación y actualización periódica de un cortafuegos para proteger los datos.
  • Prohibición de utilizar valores anteriores (proveedor / fabricante) para las contraseñas del sistema y otros parámetros de seguridad.
  • La protección de los datos registrados; el no registrar datos inútiles relacionados con transacciones y tarjetas, como pueden ser números de tarjetas completos, datos que figuran en las bandas magnéticas, los criptogramas visuales (CVV2 – código de verificación) o PIN.
  • La transferencia cifrada de datos sobre el titular de la tarjeta y otros datos personales en las redes públicas.
  • La instalación y actualización periódica de un antivirus.
  • El desarrollo y el uso de un sistema y de aplicaciones más seguros.
  • La limitación del acceso a los datos, reservado únicamente para fines comerciales.
  • Asignación de un identificador personal a cada persona que tenga acceso al sistema informático.
  • Reducción de los derechos de acceso a los datos personales de los titulares de tarjetas.
  • Seguimiento y vigilancia de los accesos a los recursos de la red y a la información de los titulares de las tarjetas.
  • Verificación regular de los sistemas de seguridad y del desarrollo de los procesos.
  • Aplicación en la empresa de unas directrices que rijan la seguridad de los datos.

Notificación de las normas de protección de la información PCI DSS a los afiliados a Visa

Los comercios y los proveedores de servicios deben cumplir las normas de protección de datos PCI DSS en el tratamiento de los datos relativos a las tarjetas y las transacciones. En concreto, esto significa que deben pasar por un proceso de certificación supervisado por una empresa autorizada por Visa y MasterCard.

Esto no implica la desaparición de los programas Visa AIS (Programa de Seguridad de la Información) y MasterCard (Site Data Protection – SDP). No obstante, las normas de protección de la información PCI DSS incluyen requisitos de verificación de los dos programas para que los comercios y los proveedores de servicios pasen una sola vez la certificación para los dos sistemas de tarjetas, en base a unas normas comunes y homologadas.

El contenido y el modo de certificación dependen del volumen anual de transacciones y de la naturaleza de éstas (transacciones de tipo estándar, de comercio electrónico o por teléfono/por correo -pedidos por teléfono / por correo-).

Cuadro de exigencias por volumen y naturaleza de las transacciones:

Nivel* Criterios para comerciantes Requisitos de validación
1 Comerciantes que procesen anualmente más de seis millones de transacciones Visa por todos los canales o comercios globales identificados como nivel uno por cualquier región Visa.**
  • El Informe anual sobre cumplimiento (Annual Report on Compliance, ROC) será sometido a una auditoria in situ por parte de un Asesor de seguridad cualificado, o bien por un recurso de seguridad interna cualificado.
  • Escaneado trimestral de la red por parte de un Proveedor de escaneado homologado (Approved Scan Vendor, ASV).
  • Formulario de Atestado de cumplimiento.
2 Comerciantes que procesen anualmente entre uno y seis millones de transacciones Visa por todos los canales.
  • Cuestionario anual de autoevaluación (Annual Self-Assessment Questionnaire, SAQ).
  • Escaneado trimestral de la red por parte de un ASV.
  • Formulario de Atestado de cumplimiento.
3 Comerciantes que procesen anualmente entre 20.000 y un millón de transacciones Visa de comercio electrónico.
  • Emplee un proveedor de servicio que tenga certificada su conformidad con PCI DSS [Normas de seguridad de los datos del sector de tarjetas de pago (Payment Card Industry Data Security Standards)]; (en el sitio web de Visa Europe: www.visaeurope.com puede encontrarse la lista de proveedores certificados)
     
    O
  • Que haya certificado su propia conformidad con las normas PCI DSS al adquirente (que debe, cuando se le solicite, ser capaz de validar esa conformidad con Visa Europe) (SAQ).
4 Sólo comerciantes de comercio electrónico
Comerciantes que procesen anualmente menos de 20.000 transacciones Visa de comercio electrónico.
  • Emplee un proveedor de servicio que tenga certificada su conformidad con PCI DSS [Normas de seguridad de los datos del sector de tarjetas de pago (Payment Card Industry Data Security Standards)]; (en el sitio web de Visa Europe: www.visaeurope.com puede encontrarse la lista de proveedores certificados)
     
    O
  • Que haya certificado su propia conformidad con las normas PCI DSS al adquirente (que debe, cuando se le solicite, ser capaz de validar esa conformidad con Visa Europe) (SAQ).
  Comerciantes no de comercio electrónico
Comerciantes que procesen anualmente hasta un millón de transacciones Visa.
  • SAQ anual.
  • Escaneado trimestral de la red por parte de un ASV.
  • Formulario de Atestado de cumplimiento.

* Las entidades comprometidas pueden escalarse a discreción regional.

** En los casos en que los comerciantes operan en más de un país o región, si cumplen los criterios del nivel uno en cualquier país o región Visa, serán considerados como comerciantes de Nivel uno globales. Puede aplicarse una excepción a los comerciantes globales si no hay infraestructura común y si Visa no cuenta con agregación transfronteriza de datos. En estos casos, los comerciantes se validarán según los niveles regionales.

Observancia de las normas PCI DSS (Payment Cards Industry - Industria de las Tarjetas de Pago) - inicio del proceso de certificación: pasos a seguir

  • Lea la información exhaustiva (en inglés) sobre el programa AIS que encontrará en http://www.visaeurope.com/aboutvisa/security/ais/main.jsp o descargando el fichero Implantación de las Normas de Seguridad de la Información en la Industria de los Medios de Pago: Guía para Comercios (Archivo PDF 645 Kb)
  • Aconsejamos a los establecimientos adheridos a Visa y a aquellos de sus empleados que intervengan en transacciones de pago que se familiaricen con las normas PCI DSS y las apliquen en la empresa.
  • Póngase en contacto con su entidad financiera adquirente para obtener más información sobre el proceso de certificación.
  • Prepare y ejecute las medidas citadas anteriormente (véase cuadro), cualquiera que sea el volumen de transacciones.
  • Introduzca las medidas correctivas en caso de identificación de deficiencias o de puntos débiles en el sistema de seguridad.
  • Asegúrese de que, una vez se apliquen las normas PCI DSS, éstas siguen cumpliéndose.

Su entidad adquirente, con la que ha formalizado un contrato de aceptación de las tarjetas Visa, le ayudará y responderá a las preguntas que le formule al efecto y sobre la certificación.

  • © Copyright Visa Europe 2012