Un paso más contra el fraude en Internet

Visa Europa está solicitando a todos las Entidades Adquirentes -Acquirer- que informen a los comercios -Merchants-  de la necesidad de utilizar Merchant Agents que estén debidamente registrados en su web:
www.visamerchantagents.com

Casi todos ya nos habíamos hecho a la idea de las listas públicas en PDF de Visa, Visa europe y Mastercard (en la web de Visa recientemente migrada a una web 2.0). En sus webs aparecen los proveedores de servicio que han superado auditorías por parte de un QSA pero, ciertamente, son pocos los que conocen o han sido informados por las entidades bancarias o las propias marcas de la existencia y necesidad de gestionar el alta en el portal de Visa Merchant Agents.
Por ello, desde Internet Security Auditors queremos ofreceros una pequeña guía sobre qué pasos hay que seguir para poder conseguirlo.

¿Qué es un MERCHANT AGENTS?

Merchant Agent es aquel a quien un comercio o un minorista, contrate la prestación de servicios que impliquen el procesamiento, el almacenamiento o la transmisión de datos de tarjetas de crédito (directa o indirectamente).

¿Cuánto tiempo tengo para registrarme la web de Visa Europa?

La fecha, a partir de la que será obligatorio ser un Merchant Agent registrado por VISA Europe en dicha web, es el 31 de diciembre de 2012.

¿Qué debe hacer un Merchant Agent?

Registrarse en la web de Visa, para lo cual deberá ir facilitando una serie de datos, a través de los pasos que indicamos a continuación:

Paso 1 -
Al iniciar el registro se solicita:
  • Nombre de la empresa.
  • URL.
  • Persona de Contacto.
  • VAT  y número de registro de la empresa.
Paso 2 -
Aceptación del Acuerdo Legal:
  • Se le pedirá que confirme si captura, almacena o transmite datos de tarjeta Visa o si tiene una obligación contractual de hacerlo.
  • También le pedirán que lea y  acepte los términos y condiciones para registrarse y ser catalogado como Merchant Agent.
Paso 3 -
Información de la empresa, debe proporcionar:
  • Una breve descripción de la empresa:
  • Propietario o propietarios.
  • Número de empleados.
  • Áreas geográficas y sectores industriales que opera.
  • El ámbito de aceptación de pago en el que proporciona servicios (por ejemplo, Face-to-face, internet, MOTO, etc.).
  • Nombres y / o URL de cualquier comercio para los que liquide fondos si usted lo hace en nombre del banco adquirente.
  • Si opera en el ámbito de comercio electrónico, que solución de pago integrada ofrece a sus clientes (por ejemplo plena, re direccionamiento a una página  de pago o una API).
  • Si usted proporciona productos o servicios  de seguridad/riesgo a sus clientes.
  • Cuántas transacciones se almacenan, transmiten o procesan anualmente.
  • A cuantos Merchants presta servicios.
Paso 4 -
Información de cumplimiento de PCI DSS:
Si almacena, procesa o transmite números de cuenta Visa, tendrá  que demostrar que cumple con la Payment Card Industry Data Security Standard (PCI-DSS).
Debemos diferenciar dos situaciones:
  1. Si procesa más de 300.000 transacciones al año, necesitará que externamente un QSA haya  evaluado el cumplimiento PCI DSS y aportar copias escaneadas en formato PDF de estos documentos:
    • Formulario de Alcance de Auditoría -  que es un resumen de los detalles sobre el  entorno de pago pagos que ha sido evaluado como PCI DSS y cuáles no.
    • Un escaneo trimestral realizado por un (ASV).
    • Su Declaración de cumplimiento (AOC).
    • El nombre y datos de contacto del QSA que utilizó para validar el cumplimiento.
  2. Si procesa menos de 300.000 transacciones al año, puede autoevaluar su entorno de servicio o utilizar un QSA que lo haga por el. La documentación que tendrá que aportar en este caso será:
    • Cuestionario de Autoevaluación (SAQ) y la fecha en que se presentó al Acquirer. El  SAQ debe confirmar que tiene medidas de seguridad para reducir al mínimo los riesgos identificados por la norma.
    • Un escaneo trimestral realizado por un (ASV).
    • Su Declaración de cumplimiento (AOC).
Una vez aportada vía web esa documentación, se recibe en el plazo de dos días hábiles un acuse de la recepción de la misma.

Visa Europa revisará los archivos remitidos y efectuará una verificación de alto nivel de los documentos.

Cuando se comprueba que todo es correcto, Visa Europa  informa de la cuota exacta de inscripción inicial y proporciona los detalles sobre la forma de pago.

En 2012, la cuota de inscripción inicial podría no aplicarse a algunos Merchant Agent, (discrecional de VISA),  pero en todo caso  no será superior a  5.000 € (IVA no incluido) para los que sí tienen que abonarla.

Este proceso de registro debe efectuarse de manera anual, se paga una cuota de inscripción inicial el primer año y una cuota en años sucesivos, que será la mitad del importe de la cuota de inscripción inicial.

Paso 5 - Publicación en las listas
Una vez revisada la documentación y efectuado el pago de la cuota, VISA Europa publicará al nuevo Merchant Agent en su web:
http://www.visamerchantagentslist.com/

Visa Europa se reserva el derecho de rechazar la inscripción de un Merchant Agent si:
  • Hay una sospecha razonable de que el agente ha participado en una actividad que infrinja la ley, o que pudiera dañar la reputación de la marca Visa, o  por ser una amenaza potencial a la integridad y seguridad del Sistema de Visa.
  • También si se proporcionan datos insuficientes o incompletos.
  • Los documentos remitidos no estén al día.
Para cualquier consulta sobre el proceso de registro que no sea de carácter técnico puede contactarse con Visa en el correo agentcompliance@visa.com.

Para consultas técnicas puede utilizar support@visamerchantagents.com.

Para cualquier consulta sobre servicios relacionados con el cumplimiento de las normas PCI DSS y PA-DSS, contacte con nosotros en pcidss@isecauditors.com

Os adelantamos las novedades sobre la No cON Name 2012

Cómo ya hemos mencionado en entradas anteriores, este año volvemos a participar en el evento más esperado del año por expertos, profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software.

Pero a parte de participar como patrocinadores del evento, este año impartiremos talleres y realizaremos los ya clásicos concursos del congreso:

Hemos preparado un Wargame organizado como una serie de retos de exploiting que los participantes al concurso tendrán que solucionar aplicando sus conocimientos de hacking, reversing, etc.

El concurso presenta un reto principal de análisis de dispositivos móviles junto a algunos retos satélite que deben descubrirse. No existe un único objetivo en el juego, por lo que cualquier puntualización o hallazgo será valorado por el jurado. Los participantes deberán demostrar que disponen de los conocimientos suficientes sobre el funcionamiento de diversos aspectos como la ingeniería inversa, el análisis de comunicaciones o criptografía.

Realizaremos un Quiz, en el que podrán participar los asistentes al congreso, donde podrán demostrar sus conocimientos en seguridad, desarrollo, tecnologías móviles, etc. al más puro estilo de un millón para el mejor, pero sin millón. Eso sí, el reconocimiento de saberse el más sabio en Seguridad TIC.

Vicente Aguilera en el mayor evento de IBM Software en España

Vicente Aguilera, chapter leader del capítulo español de la OWASP, ha sido invitado a participar en el mayor evento de IBM alrededor de las tecnologías y productos software de este gran fabricante americano.

Vicente presentará las actividades principales de la OWASP en cuanto a la seguridad en el desarrollo de software, qué consideraciones sigue siendo necesario tener presente para conseguir que el software desarrollado sea seguro y las mejores prácticas y herramientas que la OWASP provee a los desarrolladores.

El IBM Software Summit, #START013, se celebrará el 6 de noviembre de 2012 en el Palacio Municipal de Congresos de Madrid.
Más información en IBM Software Summit #Start013