PCI Card Production ¿Seguirá el camino de la PCI DSS?

Remontándonos a los inicios del estándar PCI DSS, vemos que sus antepasados eran los programas de seguridad propios de cada una de las marcas involucradas en tarjetas de pago: Visa Card Information Security Program, MasterCard Site Data Protection, American Express Data Security Operating Policy, Discover Information and Compliance, y JCB Data Security Program. Dado que cada uno de los programas anteriores tenía unas metas y perseguía unos objetivos de seguridad parecidos, se conformó el PCI SSC (Payment Card Industry Security Standards Council), y en 2004 se creó la PCI DSS, que alineaba los programas de cada una de las 5 principales marcas de tarjetas en un solo estándar.

Desde su aparición, se ha necesitado asesores QSA (Qualified Security Assessors), validados por el mismo PCI SSC, para la realización de auditorías presenciales en las empresas implicadas. Las auditorías realizadas por los QSAs son reconocidas por las diferentes marcas de tarjetas de pago, por lo que como es lógico, una sola auditoría es suficiente para dicho estándar.

De forma similar, y ya entrando en la materia que nos ocupa, hasta hace poco cada una de las marcas de tarjetas de pago disponía de su propio programa de seguridad para empresas de producción de tarjetas de pago. Como muy bien explica el siguiente artículo:

http://www.pcihispano.com/una-vision-general-a-los-requerimientos-de-seguridad-para-la-produccion-de-tarjetas-de-pago/

Hasta hace pocos años las empresas que creaban y personalizaban tarjetas de pago debían cumplir con el estándar PCI DSS, que al estar orientada a comerciantes, no se acababa de adaptar a los requerimientos de estas empresas. En base a esta necesidad, se fueron añadiendo “parches” a la PCI DSS para intentar abarcar algunos de los aspectos concretos de dichas empresas personalizadoras, como se puede ver, por ejemplo, en la nota que añadieron en la PCI DSS 2.0:

Requerimiento 3.2 de PCI DSS: "… Nota: Es posible que los emisores de tarjetas y las empresas que respaldan los servicios de emisión almacenen datos confidenciales de autenticación si existe una justificación de negocio y los datos se almacenan de forma segura… "

A pesar de dichas modificaciones, tanto Visa como Mastercard disponían de su propio programa de seguridad al que debían adherirse las entidades afectadas. Estas marcas requerían que los productores de tarjetas efectuaran periódicamente auditorías conforme a sus programas específicos, y que se llevaran a cabo por auditores certificados por las propias marcas. Así pues, en ese momento los productores de tarjetas debían aplicar un mínimo de tres manuales para demostrar que sus medidas de seguridad en la gestión de los datos de tarjetas de pago eran correctas, además de pasar las tres auditorías correspondientes: PCI DSS, Visa y Mastercard.

Esta situación no tenía mucho sentido, ya que cada una de las tres normas perseguía unas metas y unos objetivos de seguridad similares, además de que, a pesar de los parches, la normativa PCI DSS no acababa de encajar con los requerimientos funcionales de una empresa productora de tarjetas de pago. Así pues, y a partir de estas necesidades, el PCI SSC lanzó en mayo de 2013 la PCI Card Production. Dicho estándar está conformado por dos documentos:
  • Card Production Logical Security Requirements v1.0
  • Card Production Physical Security Requirements v1.0
A partir de ese momento, tanto Visa como Mastercard confirmaron que adoptaban el nuevo estándar, que remplazaba los programas de seguridad propios que cada marca tenía establecido hasta la fecha.

No obstante, y debido a que no existe actualmente una certificación del PCI SSC para este tipo de estándar, ni una figura parecida al QSA, el cumplimiento del mismo sigue estando controlado por las diferentes marcas de tarjetas. Además, por el momento en Europa no hay un consenso entre Visa y Mastercard, por lo que cada una de las dos marcas efectúa su propia auditoría del estándar con sus propios auditores. Así pues, hemos pasado de los tres estándares o programas de seguridad requeridos para los productores de tarjetas a solo uno, pero sigue siendo necesario pasar dos auditorías para el mismo (Visa y Mastercard).

Esta situación sigue sin tener mucho sentido, ya que tenemos dos marcas de tarjetas de pago auditando un mismo estándar, cada uno por su parte, con los consiguientes gastos que esto supone para el cliente. Por hacer un símil,  en este escenario es como si pagamos a dos mecánicos diferentes para que hagan un chequeo de nuestro coche en base a las mismas pruebas de seguridad, y aunque es cierto que se gana algo más de confianza, no será la suficiente como para pagar dos veces por el mismo trabajo.

En Estados Unidos este problema se atenúa un poco ya que las dos marcas principales (Visa y Mastercard) se han puesto de acuerdo para auditar una sola vez el estándar. Eso sí, con sus propios auditores.

La pregunta a hacerse ahora por los productores de tarjetas es: ¿llegarán a existir unos asesores parecidos a los QSA con potestad por el PCI SSC para certificar la PCI Card Production? O en caso contrario, ¿se pondrán de acuerdo en Europa las dos principales marcas de tarjetas para efectuar una sola auditoría del estándar por su parte?

La lógica dice que sí, aunque sólo el tiempo lo dirá. De momento lo principal para este tipo de entidades es adecuarse correctamente al estándar PCI Card Production, por lo que contar con empresas como Internet Security Auditors, con amplia experiencia en este estándar, siempre es una garantía de buenos resultados.


Autor: Guillem Fábregas - PCIP
Departamento de Consultoría