Seguridad de la Información

Validación del Cumplimiento

Independientemente al mandato de cumplimiento con las Normas de Seguridad PCI existe además la validación de cumplimiento mediante la cual las entidades verifican y demuestran su cumplimiento. Esta importante tarea permite identificar y corregir vulnerabilidades, y proteger a los clientes asegurando que se mantengan niveles apropiados de seguridad.

Visa ha establecido prioridades y ha definido niveles de validación de cumplimiento basados en el volumen de transacciones, el riesgo potencial y la exposición que introducen al sistema de pago comercios y proveedores de servicios.

 

Criterios de Validación de Cumplimiento para Comercios

Los Adquirentes son responsables de que todos sus comercios cumplan con los requerimientos de las Normas de Seguridad PCI, sin embargo para la validación de cumplimiento se han establecido prioridades basadas en el volumen de transacciones y otros factores de riesgo.

Todos los comercios se identificarán en uno de cuatro niveles globales basado en el volumen de transacciones Visa durante un periodo de 12 meses. El volumen de transacciones es el resultado del total de transacciones (incluyendo crédito, débito y prepago) de un comercio que opera bajo el mismo nombre comercial (DBA). Los niveles para los comercios son:

 

Nivel / Tier Criterio para Comercios Requerimientos de Validación

1
  • Comercios que procesan más de 6 millones de transacciones Visa al año (todos los canales) ó
  • Comercios Globales identificados como Nivel 1 en cualquier región Visa••
  • Informe Anual de Cumplimiento (ROC) por Evaluador de Seguridad Calificado (QSA)
  • Prueba de vulnerabilidad de red trimestral por proveedor aprobado (ASV)
  • Formulario de Certificación del Cumplimiento

2
  • Comercios que procesan entre 1 a 6 millones de transacciones Visa al año (todos los canales)
  • Cuestionario de Auto-evaluación anual (SAQ)
  • Prueba de vulnerabilidad de red trimestral por proveedor aprobado (ASV)
  • Formulario de Certificación del Cumplimiento

3
  • Comercios de Internet que procesan entre 20,000 a 1 millones de transacciones Visa al año
  • Cuestionario de Auto-evaluación anual (SAQ)
  • Prueba de vulnerabilidad de red trimestral por proveedor aprobado (ASV)
  • Formulario de Certificación del Cumplimiento

4
  • Comercios de Internet que procesan menos de 20,000 transacciones Visa al año y/o todos los otros comercios que procesan menos de 1 millón de transacciones Visa al año
  • Validación de cumplimiento establecida por Adquirente, recomendación: SAQ anual y prueba de vulnerabilidad de red trimestral

• Cualquier comercio que sufra un ataque que resulte en compromiso de cuentas puede ser escalado a un nivel más alto de validación.

 

• • Un comercio que cumpla con el criterio de Nivel 1 en cualquier región/país Visa que opere en más de un país/región Visa es considerado un comercio global de Nivel 1, exceptuando los casos en los cuales no existen infraestructuras comunes y los datos no son centralizados; en estos casos el comercio se valida de acuerdo del volumen del país/región.

 

Criterios de Validación para Proveedores de Servicios

Un proveedor de servicios es cualquier organización que almacena, procesa o transmite información en nombre de un banco, comercio u otro proveedor de servicios.

Tanto los bancos Emisores como los Adquirentes deben usar proveedores de servicios certificados bajo las Normas de Seguridad PCI y además son responsables de que sus comercios también utilicen proveedores de servicios certificados. Para identificar Proveedores de Servicios certificados PCI, refiérase a la lista Global de Proveedores de Servicio PCI DSS.Todos los proveedores de servicios se identificarán en uno de dos niveles globales para la validación del cumplimiento:

 

No se incluye en la lista global de Visa
Procesador, o cualquier proveedor de servicios que almacena, procesa y/o transmite más de 300,000 transacciones Visa por año.
No se incluye en la lista global de Visa
No se incluye en la lista global de Visa
No se incluye en la lista global de Visa
Nivel Criterio Requerimientos de Validación Resultado

1

Procesador, o cualquier proveedor de servicios que almacena, procesa y/o transmite más de 300,000 transacciones Visa por año.
  • Informe Anual de Cumplimiento (ROC) por QSA
  • Prueba de vulnerabilidad de red trimestral por proveedor aprobado (ASV)
  • Formulario de Certificación de Cumplimiento

Se incluye en la lista global de Visa para proveedores de servicio en cumplimiento.

2

Cualquier proveedor de servicios que almacena, procesa y/o transmite menos de 300,000 transacciones Visa por año.
  • Cuestionario de Auto-evaluación anual (SAQ)
  • Prueba de vulnerabilidad de red trimestral por proveedor aprobado (ASV)
  • Formulario de Certificación de Cumplimiento

No se incluye en la lista global de Visa•

• Puede elegir validar cumplimiento como proveedor de servicio de Nivel 1 para ser incluido en la lista Visa de proveedores de servicios en cumplimiento.

 

Fechas Límites para Cumplimiento

La siguiente tabla muestra los requerimientos y las fechas de cumplimiento relacionados a las Normas de Seguridad PCI para las entidades que participan del sistema Visa:


30 de Septiembre 2010
Proveer confirmación que no se almacena información sensitiva de autenticación (ej.: contenido de banda magnética, CVV2 o datos del PIN)
30 de Septiembre 2010
30 de Septiembre 2010
30 de Septiembre 2010
30 de Septiembre 2010
Entidad Requerimiento Fecha Límite

Comercios de Nivel 1 y 2

Proveer confirmación que no se almacena información sensitiva de autenticación (ej.: contenido de banda magnética, CVV2 o datos del PIN)

30 de Septiembre de 2009

Comercios de Nivel 1

Confirmación de cumplimiento total con las Normas de Seguridad PCI

30 de Septiembre de 2010

Procesadores

Confirmación de cumplimiento total con las Normas de Seguridad PCI

30 de Septiembre de 2010