Un paso más contra el fraude en Internet

Visa Europa está solicitando a todos las Entidades Adquirentes -Acquirer- que informen a los comercios -Merchants-  de la necesidad de utilizar Merchant Agents que estén debidamente registrados en su web:
www.visamerchantagents.com

Casi todos ya nos habíamos hecho a la idea de las listas públicas en PDF de Visa, Visa europe y Mastercard (en la web de Visa recientemente migrada a una web 2.0). En sus webs aparecen los proveedores de servicio que han superado auditorías por parte de un QSA pero, ciertamente, son pocos los que conocen o han sido informados por las entidades bancarias o las propias marcas de la existencia y necesidad de gestionar el alta en el portal de Visa Merchant Agents.
Por ello, desde Internet Security Auditors queremos ofreceros una pequeña guía sobre qué pasos hay que seguir para poder conseguirlo.

¿Qué es un MERCHANT AGENTS?

Merchant Agent es aquel a quien un comercio o un minorista, contrate la prestación de servicios que impliquen el procesamiento, el almacenamiento o la transmisión de datos de tarjetas de crédito (directa o indirectamente).

¿Cuánto tiempo tengo para registrarme la web de Visa Europa?

La fecha, a partir de la que será obligatorio ser un Merchant Agent registrado por VISA Europe en dicha web, es el 31 de diciembre de 2012.

¿Qué debe hacer un Merchant Agent?

Registrarse en la web de Visa, para lo cual deberá ir facilitando una serie de datos, a través de los pasos que indicamos a continuación:

Paso 1 -
Al iniciar el registro se solicita:
  • Nombre de la empresa.
  • URL.
  • Persona de Contacto.
  • VAT  y número de registro de la empresa.
Paso 2 -
Aceptación del Acuerdo Legal:
  • Se le pedirá que confirme si captura, almacena o transmite datos de tarjeta Visa o si tiene una obligación contractual de hacerlo.
  • También le pedirán que lea y  acepte los términos y condiciones para registrarse y ser catalogado como Merchant Agent.
Paso 3 -
Información de la empresa, debe proporcionar:
  • Una breve descripción de la empresa:
  • Propietario o propietarios.
  • Número de empleados.
  • Áreas geográficas y sectores industriales que opera.
  • El ámbito de aceptación de pago en el que proporciona servicios (por ejemplo, Face-to-face, internet, MOTO, etc.).
  • Nombres y / o URL de cualquier comercio para los que liquide fondos si usted lo hace en nombre del banco adquirente.
  • Si opera en el ámbito de comercio electrónico, que solución de pago integrada ofrece a sus clientes (por ejemplo plena, re direccionamiento a una página  de pago o una API).
  • Si usted proporciona productos o servicios  de seguridad/riesgo a sus clientes.
  • Cuántas transacciones se almacenan, transmiten o procesan anualmente.
  • A cuantos Merchants presta servicios.
Paso 4 -
Información de cumplimiento de PCI DSS:
Si almacena, procesa o transmite números de cuenta Visa, tendrá  que demostrar que cumple con la Payment Card Industry Data Security Standard (PCI-DSS).
Debemos diferenciar dos situaciones:
  1. Si procesa más de 300.000 transacciones al año, necesitará que externamente un QSA haya  evaluado el cumplimiento PCI DSS y aportar copias escaneadas en formato PDF de estos documentos:
    • Formulario de Alcance de Auditoría -  que es un resumen de los detalles sobre el  entorno de pago pagos que ha sido evaluado como PCI DSS y cuáles no.
    • Un escaneo trimestral realizado por un (ASV).
    • Su Declaración de cumplimiento (AOC).
    • El nombre y datos de contacto del QSA que utilizó para validar el cumplimiento.
  2. Si procesa menos de 300.000 transacciones al año, puede autoevaluar su entorno de servicio o utilizar un QSA que lo haga por el. La documentación que tendrá que aportar en este caso será:
    • Cuestionario de Autoevaluación (SAQ) y la fecha en que se presentó al Acquirer. El  SAQ debe confirmar que tiene medidas de seguridad para reducir al mínimo los riesgos identificados por la norma.
    • Un escaneo trimestral realizado por un (ASV).
    • Su Declaración de cumplimiento (AOC).
Una vez aportada vía web esa documentación, se recibe en el plazo de dos días hábiles un acuse de la recepción de la misma.

Visa Europa revisará los archivos remitidos y efectuará una verificación de alto nivel de los documentos.

Cuando se comprueba que todo es correcto, Visa Europa  informa de la cuota exacta de inscripción inicial y proporciona los detalles sobre la forma de pago.

En 2012, la cuota de inscripción inicial podría no aplicarse a algunos Merchant Agent, (discrecional de VISA),  pero en todo caso  no será superior a  5.000 € (IVA no incluido) para los que sí tienen que abonarla.

Este proceso de registro debe efectuarse de manera anual, se paga una cuota de inscripción inicial el primer año y una cuota en años sucesivos, que será la mitad del importe de la cuota de inscripción inicial.

Paso 5 - Publicación en las listas
Una vez revisada la documentación y efectuado el pago de la cuota, VISA Europa publicará al nuevo Merchant Agent en su web:
http://www.visamerchantagentslist.com/

Visa Europa se reserva el derecho de rechazar la inscripción de un Merchant Agent si:
  • Hay una sospecha razonable de que el agente ha participado en una actividad que infrinja la ley, o que pudiera dañar la reputación de la marca Visa, o  por ser una amenaza potencial a la integridad y seguridad del Sistema de Visa.
  • También si se proporcionan datos insuficientes o incompletos.
  • Los documentos remitidos no estén al día.
Para cualquier consulta sobre el proceso de registro que no sea de carácter técnico puede contactarse con Visa en el correo agentcompliance@visa.com.

Para consultas técnicas puede utilizar support@visamerchantagents.com.

Para cualquier consulta sobre servicios relacionados con el cumplimiento de las normas PCI DSS y PA-DSS, contacte con nosotros en pcidss@isecauditors.com