Nuevo SAQ A-EP de PCI DSS v3.0 para empresas de E-Commerce con pago externalizado

El PCI SSC, con la publicación de los nuevos Cuestionarios de AutoEvaluación (SAQ) para el reporte del cumplimiento de PCI DSS v3.0 ha dado un paso más en la adaptación de los cuestionarios a las casuísticas existentes en las empresas que han de presentar este reporte y, muy en concreto, en cuanto a comercios.

Hasta ahora, los comercios, cuyo estado de cumplimiento ha de ser reportado a las entidades bancarias, de las que son clientes, disponía de cinco cuestionarios (A, B, C, C-VT y D), muy a grandes rasgos, siendo el A el utilizado para aquel comercio presencial que no recogía datos de tarjeta (y por tanto el cuestionario y reporte más "sencillo") y el D para el comercio que, habitualmente, almacenaba el dato (y por tanto el cuestionario y reporte más "amplio y/o complejo").

Pero en los comercios electrónicos se producía una paradoja en los casos en los que estos integraban el uso de un Terminal de Punto de Venta (TPV) Virtual, al que redirigen al cliente para realizar el pago: dado que no obtenían el dato (siempre que ellos no pidieran los datos de pago y fuera el TPV de una entidad, procesador, IPSP el que lo hiciera) se trasladaba la incorrecta sensación que este comercio no tiene ni responsabilidad ni riesgo en el compromiso del dato de tarjeta.

El año pasado, dentro del E-Commerce Special Interest Group (SIG) del PCI SSC, en el que participó un miembro del equipo de Internet Security Auditors, se estuvo tratando el cómo definir las responsabilidades de las empresas de E-Commerce. Una conclusión clave resultante del trabajo de este SIG, y que así se incluyó en el documento final, fue que: "Ninguna opción [de método de pago que se haya implementado] elimina completamente las responsabilidades de cumplimiento de PCI DSS del comercio". Esta Guía  se publicó en enero de 2013 en la web del PCI SSC con el nombre  de "PCI DSS E-commerce Guidelines" que se puede descargar en https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf.

A los comercios, en algunos casos, se les ha trasmitido la falsa sensación que, empleando ese TPV o solución de pago de terceros, se les eximía del cumplimiento de cualquier responsabilidad de cumplimiento de PCI DSS. Pero un escenario relevante se obviaba en esta situación: dado que desde esa web es desde donde se redirige al cliente que realiza el pago a la web del tercero (en el que se introducen los datos de pago) existen técnicas en las que vulnerando y comprometiendo el sitio del primero, es posible capturar los datos de pago, de forma transparente para el usuario, y redirigiendo el pago a la web de la entidad, ISPS o tercero, ese sí, cumplidor de PCI DSS.

El esquema sería el siguiente:
Nuevo SAQ A-EP de PCI DSS v3.0 para empresas de E-Commerce con pago externalizado

El PCI SSC, el mes de febrero, en sus circulares a QSA y empresas miembro del consejo, ha incluido en su sección de "Pregunta del mes" la respuesta a esta situación y que dice:

¿Si un sitio web utiliza una redirección a un página de pago alojada en un tercero, está el servidor web en el ámbito de aplicación de la versión 3.0 de PCI DSS?
Cuando las páginas web utilizan páginas de pago alojada en un tercero al que redirigen el procesamiento de pagos, existe el riesgo de que la página web puede verse comprometida como resultado la recolección no autorizada de los datos de titulares de tarjetas antes o durante la redirección. El uso de un servidor web para redirigir los datos de titulares de tarjetas a un tercero, por tanto, no elimina del servidor web del comercio del ámbito de aplicación y los requisitos de PCI DSS aplicables debe ser implementados. [....]

Añadido a esto, y como mencionábamos al principio de este artículo, esta misma semana, el PCI SSC ha publicado los SAQ de la versión 3.0 y una de las novedades de estos cuestionarios es la aparición del nuevo modelo SAQ A-EP, que define los requerimientos potencialmente aplicables para los Comercios E-Commerce Externalizados Parcialmente Empleando Sitios Web de Terceros para el Procesamiento del Pago ("Partially Outsourced E-commerce Merchants Using a Third-Party Website for Payment Processing"). Esto quiere decir que, de ahora en adelante, los comercios que, hasta ahora se encontraban en una cierta indeterminación (por el mensaje trasladado hacia ellos sobre la necesidad de cumplimiento) tendrán más claro el escenario y responsabilidades de cumplimiento que les aplica. Este cuestionario puede descargarse ya desde la web del PCI SSC e incluye 139 controles que, según el caso particular, habrá que analizar su grado de aplicación concreta a cada empresa que realiza comercio electrónico.

Clarificar las cosas no debe ser sinónimo de complicación sino al contrario, que los comercios tengan claras las responsabilidades servirá para proteger a los comercios y a los clientes, sobre todo para que, si se produce un  incidente con un compromiso de datos, todas las partes tengan claro a qué atenerse.