lunes, 22 de junio de 2020

Posibles sanciones en caso de incumplir PCI DSS

Nota preliminar

Todo el contenido del artículo se menciona con fines meramente informativos. Las versiones de los documentos referenciados, y los requerimientos exigidos por las marcas de pago, pueden haber cambiado desde la última fecha de revisión del presente artículo. Adicionalmente, hay información que no puede hacerse pública, por lo que pueden existir requerimientos y/o sanciones adicionales a las explicadas en el mismo. Es por este motivo que se recomienda contactar con la entidad financiera prestadora de servicios, con el fin de obtener información vinculante y actualizada.


Definiciones

Para una correcta comprensión del artículo, y con el fin de dar toda la información posible al lector, a continuación, se listan un conjunto de definiciones para el conjunto de términos utilizados:
  • Comercio global: Se trata de un comercio que opera en más de un país/región de una marca de pago. En el caso de VISA, se han definido las siguientes regiones nacionales o multinacionales:
    • Asia-Pacífico (AP)
    • Canadá (CAN)
    • Europa central y este, Oriente Medio y África (CEMEA)
    • Europa
    • América latina y Caribe (LAC)
    • Estados Unidos de América (US) 
En el caso de Mastercard, las regiones geográficas que se han definido son la siguientes:
    • Asia/Pacífico
    • Canadá
    • Europa
      • Zona Única de Pagos en Euros (SEPA)
      • Zona no Única de Pagos en Euros (non-SEPA)
    • América latina y Caribe
    • Oriente Medio/África
    • Estados Unidos
  • ADC: Abreviación que hace referencia a un evento Account Data Compromise. Un evento de compromiso de datos de cuenta es aquél en el que una persona no autorizada obtiene datos de tarjeta de forma fraudulenta
  • VISA Client: Denominación que hace referencia a los emisores y adquirientes de VISA
  • VISANet: Conjuntos de sistemas y servicios utilizados por VISA con el fin de prestar servicios financieros de procesamiento, autorización, compensación y liquidación, según corresponda en cada caso
  • AoC: Abreviación de Attestation of Compliance, o formulario de declaración de cumplimiento. Su principal objetivo es dejar documentados los resultados de una evaluación PCI DSS. Indica el cumplimiento de los requerimientos con un Sí/No, sin llegar a dar ningún tipo de detalle
  • SAQ: Abreviación de Self-Assessment Questionnaire, o cuestionario de autoevaluación. Su principal objetivo es dejar documentados los resultados de la autoevaluación PCI DSS realizada. Indica el cumplimiento de los requerimientos con un Sí/No/No aplica
  • RoC: Abreviación de Report on Compliance, o informe de cumplimiento. Su principal objetivo es dejar documentados los resultados de las evaluaciones PCI DSS realizadas in situ. Indica el cumplimiento de los requerimientos con un Sí/Sí con controles compensatorios/No/No aplica. En él, además, se recoge de forma descriptiva y con el soporte de evidencias y muestras, cómo se cumple cada uno de los requerimientos
  • ASV: Abreviación de Approved Scanning Vendor. Todas las empresas autorizadas por el PCI SSC para llevar a cabo escaneos de vulnerabilidades externos reciben esta denominación. Los escaneos de vulnerabilidades externos deben ser realizados por una empresa ASV, de no ser así, no tendrían validez alguna para con PCI DSS


Contexto

En un primer momento, cada marca de pago tenía su propio programa de cumplimiento para asegurar la seguridad de todos aquellos entornos que trabajaran con datos de tarjetas de pago. Esto podía generar incertidumbre con respecto a los requerimientos que debían cumplir los comercios, los proveedores de servicios, y también los fabricantes y desarrolladores de soluciones de pago.

Finalmente, en el año 2006, las marcas de pago VISA, MasterCard, Discover, JCB y American Express decidieron unir esfuerzos para crear el Payment Data Card Industry Secure Standards Council, de ahora en adelante, PCI SSC. La finalidad de este ente es la de elaborar un conjunto de estándares de seguridad comunes con el fin de facilitar el cumplimiento, y establecer estándares robustos ampliamente reconocidos internacionalmente.
 
Ahora bien, los encargados de exigir el cumplimiento con dichos estándares, y de imponer multas por incumplimiento, continúan siendo las propias marcas de pago. Por lo tanto, estas, establecen criterios con el fin de:

  • Categorizar a los comercios en función del número de transacciones procesadas
  • Categorizar a los proveedores de servicios, en función del número de transacciones procesadas, y del servicio facilitado
Cabe destacar que, en función de dicha categorización, la multa por incumplimiento variará.
Los programas de cumplimiento de las diferentes marcas de pago son los siguientes:

Marca de pago Programa de cumplimiento
VISA Visa Europe: AIS (Account Information Security Program)
Visa Inc: CISP (Cardholder Information Security)
Mastercard SDP (Site Data Protection)
American Express DSOP (Data Security Operating Policy)
Discover DISC (Discover Information Security Compliance)
JCB Data Security Program

En este artículo, se analiza el caso concreto de las marcas de pago VISA y Mastercard, incluyendo la categorización de los comercios y los proveedores de servicios, el método de validación que debe utilizarse, y las cuantías de las sanciones que pueden imponer las marcas de pago a las entidades financieras.

Niveles de cumplimiento

Cada una de las marcas de pago establece sus propios niveles de proveedores de servicios y comercios, utilizando varios criterios de categorización, siendo el más común, el conjunto de transacciones realizadas con sus tarjetas de pago. En los siguientes subapartados se tratan los niveles establecidos para los proveedores de servicios y los comercios, teniendo en cuenta el reporte de cumplimiento que han de realizar, y las excepciones que pudiere haber.


Proveedores de servicios

VISA describe los proveedores de servicios como todas aquellas organizaciones que almacenan, procesan y/o transmiten información relacionada con las cuentas o las transacciones de pago, en nombre de los VISA clients, los comercios, u otros proveedores de servicios.

Los proveedores de servicios pueden ser de nivel 1 o de nivel 2 [1] en función del número de transacciones realizadas anualmente. A continuación, se muestran el conjunto de criterios de categorización que se tienen en consideración, y los correspondientes requisitos de validación:


Categoría Criterios de categorización Requisitos de validación Resultado
Nivel 1 Todos los proveedores de servicios que almacenen, procesen y/o transmitan un total, igual o superior, a las 300.000 transacciones de tarjetas de pago de VISA por año
  1. ROC, y AoC, anuales, realizados por un PCI QSA
  2. Escaneo trimestral realizado por un PCI ASV
Si se cumplen todos los requisitos, el proveedor de servicios se inscribe en la lista oficial de VISA
Nivel 2 Todos los proveedores de servicios que almacenen, procesen y/o transmitan menos de 300.000 transacciones de tarjetas de pago de VISA por año
  1. SAQ y AoC anuales
  2. Escaneo trimestral realizado por un PCI ASV
Aunque se cumplan todos los requisitos, los proveedores de nivel 2 no se añaden en la lista oficial de VISA

Así mismo, y siempre en el caso de la marca de pago VISA, los proveedores de servicios se categorizan en función de si tienen conexión directa con VISANet (VisaNet Processor, o VNP), o de si no la tienen (Third Party Agent, o TPA). A continuación, se muestra la categorización de los proveedores, su descripción, y el conjunto de requisitos de validación asociados:

Tipo proveedor (nombres originales en inglés) Descripción Validación de cumplimiento
Nivel 1 Nivel 2
Third Party Agent Entidad que provee servicios de pago, directa o indirectamente, a un VISA client y/o que almacena, transmite o procesa datos de tarjeta

Para validar el cumplimiento se requiere, cada 12 meses, el AoC realizado por un PCI QSA

Ahora bien, VISA se reserva el derecho de pedir el ROC anual realizado por un PCI QSA

Para validar el cumplimiento se requiere, cada 12 meses, el AoC de un cuestionario de autoevaluación tipo D (AOC SAQ-D)
Third Party VNP Entidades que no son VISA client, y que proveen servicios de emisión y/o servicios de adquirencia de pagos a VISA clients, comercios, agentes y/u otros proveedores de servicios Se requiere el RoC y el AoC, cada 12 meses, y ante peticiones puntuales que pudiere realizar la marca de pago
Visa Client VNP acting as Service Provider VISA clients que proveen servicios de emisión y/o adquirencia de pagos a otros VISA clients, y/o a comercios de otros VISA clients Se requiere el RoC y el AoC, cada 12 meses, y ante peticiones puntuales que pudiere realizar la marca de pago
Visa Client Acquiring VNP

Adquirentes de VISA que procesan transacciones para sus comercios, o que proporcionan desembolsos en efectivo a un titular de tarjeta

Este grupo incluye a los clientes y entidades patrocinados (asociados) con la misma empresa matriz

Se requiere el RoC, y el AoC, realizados por un PCI QSA para todas aquellas nuevas solicitudes de conexión

Se requiere, cada 12 meses, el RoC y el AoC realizados por un PCI ISA

Se requiere el RoC, y el AoC, realizados por un PCI QSA para todas aquellas nuevas solicitudes de conexión

Se requiere, cada 12 meses, el AOC de un cuestionario de autoevaluación tipo D (SAQ D)
Visa Client Issuing VNP

VISA clients que únicamente almacenan, procesan y/o transmiten sus propios datos de tarjeta

Este grupo incluye a los clientes y entidades patrocinados (asociados) con la misma empresa matriz

Para todas las solicitudes de conexión nuevas, y ante solicitud expresa de VISA, se puede validar el cumplimiento de cualquier de las siguientes formas:

  1. AoC, y RoC, realizados por un PCI QSA
  2. AoC, y RoC, realizados por un PCI ISA
  3. SAQ-D realizado por un cargo ejecutivo relevante (por ejemplo, un CISO)

VISA mantiene una lista oficial del conjunto de proveedores de servicios que han validado su cumplimiento [2]. Antes de contratar a un proveedor de servicios, por diligencia debida, se debería consultar si el proveedor aparece en susodichas listas.

Una vez analizado el caso de VISA, se procede a hacer lo propio con la marca de pago Mastercard. Como se analiza a continuación, Mastercard también establece dos niveles para los proveedores de servicios, si bien los criterios de categorización se encuentran ajustados a sus necesidades.

Categoría Criterios de categorización Requisitos de validación
Nivel 1
  1. Todos los procesadores terceros (TPP)
  2. Todas las entidades de almacenamiento de datos (DSE), y los facilitadores de pagos (PF) que superen una cifra total combinada de 300.000 transacciones anuales entre Mastercard y Maestro
  3. Todas las billeteras digitales por etapas (SDWO)
  4. Todos los proveedores de servicios que presten servicios de:
    1. Tokenización (TSP)
    2. 3-D Secure (3-DSSP)
    3. Actividad digital (DASP)
  1. Evaluación in situ anual realizada por un PCI QSA aprobado por el PCI SSC
  2. Análisis trimestral de la red realizado por un PCI ASV

Notas adicionales:

  1. Mastercard recomienda que los proveedores de servicios de nivel 1 demuestren el cumplimiento con el anexo de PCI DSS denominado Designated Entities Supplemental Validation (DESV)
Todos los proveedores de servicios de nivel 1 deben validar el cumplimiento con PCI DSS, pero en función de la tipología de estos, se puede requerir la validación de cumplimiento con otros estándares del PCI SSC

 

Nivel 2
  1. Todas las entidades de almacenamiento de datos (DSE) que alcancen, como máximo, una cifra total combinada de 300.000 transacciones anuales entre Mastercard y Maestro
  2. Terminal Servicers (TS)
  1. Autoevaluación anual
  2. Análisis trimestral de la red realizado por un PCI ASV

Notas adicionales:

  1. Mastercard recomienda que los proveedores de servicio de nivel 2 demuestren el cumplimiento con el anexo de PCI DSS denominado
    Designated Entities Supplemental Validation (DESV)

Mastercard también posee su propio listado oficial de proveedores de servicios, denominado The Mastercard SDP Compliant Registered Service Provider List [3]. Por diligencia debida, se debería comprobar si los proveedores de servicios aparecen en susodicho listado.

Comercios

VISA categoriza a los comercios en cuatro niveles distintos [4], principalmente, en función del número de transacciones realizadas con sus tarjetas, y de si se trata de un comercio físico o electrónico.

Categoría Criterios de categorización Requisitos de validación
Nivel 1
  1. Más de 6 millones de transacciones VISA por año en el conjunto de canales de pago.
  2. Comercios globales categorizados bajo el nivel 1 en alguna de las regiones establecidas por Visa*

Anualmente:

  1. Cumplimentar un RoC, por un PCI QSA, o un auditor interno. Se recomienda que el auditor interno se encuentre en posesión de la certificación PCI ISA
  2. Enviar un AoC

Trimestralmente:

  1. Realizar escaneos de red PCI ASV trimestrales
Nivel 2
  1. Entre 1 millón y 6 millones de transacciones VISA por año, en el conjunto de canales de pago

Anualmente:

  1. Cumplimentar un SAQ
  2. Enviar un AoC

Trimestralmente:

  1. Realizar escaneos de red PCI ASV trimestrales
Nivel 3
  1. Comercios electrónicos: entre 20.000 y 1 millón de transacciones por año

Anualmente:

  1. Cumplimentar un SAQ
  2. Enviar un AoC

Trimestralmente:

  1. Realizar escaneos de red PCI ASV trimestrales
Nivel 4**
  1. Comercios físicos: hasta 1 millón de transacciones por año.
  2. Comercios electrónicos: menos de 20.000 transacciones por año.

Anualmente:

  1. Cumplimentar un SAQ
  2. Enviar un AoC

Trimestralmente:

  1. Realizar escaneos de red PCI ASV trimestrales (si aplica)

* Por norma general, VISA considera que, si un comercio opera en más de una región VISA, y en alguna de estas cumple los criterios para ser categorizado bajo el nivel 1, entonces debe ser considerado como un comercio de nivel 1 en todas las regiones en las que opere. La marca de pago puede aplicar algunas excepciones, en función de la infraestructura utilizada, y de la agregación de datos realizada.

**Desde el 31 de enero de 2017, VISA establece que los adquirientes deben asegurar que los comercios de nivel 4 cumplan con PCI DSS, y que validen este cumplimiento de forma anual [5].

Mastercard, por su parte, también establece 4 niveles de comercios [6], principalmente, en función del número de transacciones anuales realizadas con sus tarjetas, pero como se puede observar en la siguiente tabla, sus criterios de categorización van un poco más allá, y hasta mencionan la marca de pago VISA.


Categoría Criterios de categorización Requisitos de validación
Nivel 1
  1. Todos los comercios que hayan sufrido ataques informáticos resultantes en un evento ADC.
  2. Comercios con más de 6 millones de transacciones MasterCard y Maestro anuales, combinadas entre sí.
  3. Cualquier comercio que pueda ser categorizado de nivel 1 según los criterios definidos por VISA.
  4. Cualquier comercio que, bajo decisión de Mastercard, se determine que debe estar en el nivel 1.
  1. Evaluación in situ anual realizada por un PCI QSA, o un auditor interno PCI ISA.
  2. Análisis trimestral de la red realizado por un PCI ASV.

 

Nivel 2
  1. Cualquier comercio que tenga más de 1 millón, y menos de 6 millones, de transacciones Mastercard y Maestro anuales, combinadas entre sí.
  2. Cualquier comercio que pueda ser categorizado bajo el nivel 2 según los criterios definidos por VISA.
  1. Evaluación in situ anual realizada por un PCI QSA, o autoevaluación realizada por un PCI ISA.
  2. Análisis trimestral de la red realizado por un PCI ASV.

 

Nivel 3
  1. Cualquier comercio electrónico que tenga más de 20.000 transacciones Mastercard y Maestro combinadas entre sí, y un máximo igual o inferior a 1M de transacciones Mastercard y Maestro combinadas entre sí.
  2. Cualquier comercio que pueda ser categorizado bajo el nivel 3 según los criterios definidos por VISA.
  1. Autoevaluación anual.
  2. Análisis trimestral de la red realizado por un PCI ASV.

 

Nivel 4**
  1. Cualquier comercio que no se encuentre categorizado bajo los anteriores niveles.
  1. Autoevaluación anual
  2. Análisis trimestral de la red realizado por un PCI ASV

 


*Los comercios de nivel 4 deben cumplir con PCI DSS. Ahora bien, los adquirientes de estos deben determinar si también es necesario llevar a cabo la validación de cumplimiento, o si, por el contrario, esta no es necesaria dadas las casuísticas y particularidades del comercio en estudio.

Sanciones por incumplimiento

Antes de poder desgranar las sanciones que establecen las marcas de pago por incumplimiento, es muy importante aclarar que, ante un incidente de seguridad, los comercios deben contactar con sus entidades financieras. Las sanciones que se describen a continuación se aplican a la entidad financiera con la que trabaja cada comercio o proveedor de servicios, y, es esta entidad, la que decide, según sus propios criterios internos, si traslada la sanción a la parte final. Dicha sanción, puede tener en cuenta criterios internos de la entidad, y, puede ser económica, o bien implicar una modificación de las condiciones contractuales.

Es igualmente importante destacar que, a parte de las sanciones y/o modificaciones contractuales que pudieren imponer las entidades financieras, también se podría incurrir en costes adicionales por la obligación de realizar una investigación forense.

Sanciones establecidas por VISA

VISA recoge, en el documento VISA Rules, un conjunto de sanciones por incumplimiento de sus normas. Para ello, hay un apartado que recoge incumplimientos concretos, y las consecuencias relacionadas, y, otro apartado, que recoge las sanciones que deben aplicarse en todos aquellos casos de incumplimiento no contemplados de forma específica.

El incumplimiento con el programa de VISA [7] implica lo siguiente:

Incumplimiento Tipo de sanción
Primer incumplimiento.

VISA remite al cliente una carta de aviso, estableciendo una fecha máxima de corrección. Además, también se debe pagar un importe de 500 USD.

Segundo incumplimiento de una misma norma, en un período de 12 meses después de la fecha de corrección especificada en la notificación del primer incumplimiento.

Se debe pagar un importe de 5.000 USD.

Tercer incumplimiento de una misma norma, en un período de 12 meses después de la fecha de corrección especificada en la notificación del primer incumplimiento.

Se debe pagar un importe de 10.000 USD.

Cuarto incumplimiento de una misma norma, en un período de 12 meses después de la fecha de corrección especificada en la notificación del primer incumplimiento.

Se debe pagar un importe de 25.000 USD.

Quinto incumplimiento, y posteriores, de una misma norma en un período de 12 meses después de la fecha de corrección especificada en la notificación del primer incumplimiento.

Se debe pagar un importe que queda a discreción de VISA.

Si el período de 12 meses no está libre de incumplimientos, y si el total de sanciones se cifran en 25.000 USD o más Penalización adicional igual a todas las penalizaciones interpuestas durante ese período de 12 meses

En el apartado 1.12.2.2 de las VISA Rules [7] se establecen el conjunto de sanciones generales por incumplimiento de las normas establecidas. Estas varían en función de si se han incumplido las denominadas VISA Core Rules, o bien si el incumplimiento es de otras normas adicionales.  En el primer de los casos, aplica la siguiente tabla:

Evento Tipo de sanción
Notificación de incumplimiento de regla emitida.

Se emite una carta de aviso, solicitando un plan de resolución para subsanar el incumplimiento.

La fecha de respuesta ha expirado, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero después de la corrección, se ha vuelto a incumplir.

Se debe pagar un importe de 25.000 USD.

Han pasado 30 días desde la expiración de la fecha de respuesta, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero después de la corrección, se ha vuelto a incumplir.

Se debe pagar un importe de 50.000 USD.

Han pasado 60 días desde la expiración de la fecha de respuesta, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero después de la corrección, se ha vuelto a incumplir.

Se debe pagar un importe de 75.000 USD.

Han pasado 90 días desde la expiración de la fecha de respuesta, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero después de la corrección, se ha vuelto a incumplir.

Se debe pagar un importe de 150.000 USD.

Se continuará pagando el importe de forma mensual, hasta que el incumplimiento con la norma sea subsanado. Además, el importe por pagar será doblado mensualmente.

Para los incumplimientos con el resto de las normas establecidas por las VISA Rules, aplica la siguiente tabla:


Evento Tipo de sanción
Notificación de incumplimiento de regla emitida.

Se emite una carta de aviso, solicitando un plan de resolución para subsanar el incumplimiento.

La fecha de respuesta ha expirado, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero después de la corrección, se ha vuelto a incumplir.

Se debe pagar un importe de 5.000 USD.

Han pasado 30 días desde la expiración de la fecha de respuesta, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero después de la corrección, se ha vuelto a incumplir.

Se debe pagar un importe de 10.000 USD.

Han pasado 60 días desde la expiración de la fecha de respuesta, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado

El incumplimiento con la norma ha sido subsanado, pero después de la corrección, se ha vuelto a incumplir.

Se debe pagar un importe de 25.000 USD.

Han pasado 90 días desde la expiración de la fecha de respuesta, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero después de la corrección, se ha vuelto a incumplir.

Se debe pagar un importe de 50.000 USD.

Se continuará pagando el importe de forma mensual, hasta que el incumplimiento con la norma sea subsanado. Además, el importe por pagar será doblado mensualmente.


Además, debe tenerse en cuenta que, si el incumplimiento es considerado por la marca de pago como deliberado, o significativo, entonces también se pueden aplicar las sanciones recogidas en la sección 1.12.2.8 de susodicho documento [7]. Los importes por pagar, y el conjunto de acciones por realizar, varían en función de si el incumplimiento ha sido deliberado o significativo. En el caso de un incumplimiento deliberado, aplica la siguiente tabla:

Evento Tipo de sanción
Notificación de incumplimiento de norma emitida.

Se emite una carta de aviso, solicitando un plan de resolución para subsanar el incumplimiento.

Además, se debe pagar un importe de 50.000 USD.

La fecha de respuesta ha expirado, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero dentro de los 12 meses posteriores a la fecha de corrección, se ha vuelto a incumplir la misma norma.

Se debe pagar un importe que puede ir desde los 100.000 USD hasta los 1.000.000 USD.

Se continuará pagando el importe de forma mensual, hasta que el incumplimiento con la norma sea subsanado. Además, a discreción de VISA, el importe por pagar será incrementado cada mes.



En el caso de un incumplimiento significativo, aplica la siguiente tabla:

Evento Tipo de sanción
Notificación de incumplimiento de norma emitida.

Se emite una carta de aviso, solicitando un plan de resolución del incumplimiento para cumplir como es debido.

Además, se debe pagar un importe de 50.000 USD.

La fecha de respuesta ha expirado, y, además, alguno de los siguientes eventos aplica:

El incumplimiento con la norma no ha sido subsanado.

El incumplimiento con la norma ha sido subsanado, pero dentro de los 12 meses posteriores a la corrección, se ha vuelto a incumplir la misma norma.

Se debe pagar un importe que puede ir desde los 50.000 USD hasta los 500.000 USD.

Se continuará pagando el importe de forma mensual, hasta que el incumplimiento con la norma sea subsanado. Además, a discreción de VISA, el importe por pagar será incrementado cada mes.



Finalmente, es importante recordar que VISA puede mantener sanciones específicas por el incumplimiento con PCI DSS y otros estándares de seguridad, en función del nivel de los comercios y los proveedores de servicio, así como del número de incumplimientos en los que se haya incurrido.

Es igualmente importante indicar que VISA puede evaluar, suspender o renunciar a los importes de las sanciones, de forma total o parcial, para adaptarse a circunstancias únicas o atenuantes.

Sanciones establecidas por MasterCard


La marca de pago Mastercard establece un conjunto de sanciones por incumplimiento del programa SDP [8]. En este caso, si la parte interesada tiene un límite para cumplir con este, y no lo cumple, se pueden llegar a imponer las siguientes sanciones:

Categorización Número Incumplimientos Sanción máxima
Comercios de nivel 1 y 2 1

25.000 USD

2 50.000 USD
3 100.000 USD
4 200.000 USD

Comercios de nivel 3

1

10.000 USD

2 20.000 USD
3 40.000 USD
4 80.000 USD

Proveedores de servicios de nivel 1 y 2

1

25.000 USD

2 50.000 USD
3 100.000 USD
4 200.000 USD


Adicionalmente, también hay unas sanciones específicas, y complementarias a las anteriormente explicadas en caso de producirse un evento ADC, o un potencial evento ADC. La cuantía de la sanción, en este caso, puede llegar a ser de hasta 100.000 USD por cada incumplimiento de un requisito del PCI SSC.

Conclusiones

Si bien las marcas de pago unieron esfuerzos para crear unos estándares de seguridad comunes bajo el paraguas del PCI SSC, estas siguen reservándose la potestad de establecer los criterios de categorización de los comercios y proveedores, así como de fijar el conjunto de acciones asociadas en caso de incumplimiento.

Cada marca de pago pues, tiene sus propios criterios, que, si bien se encuentran unificados en cierta medida, también dan respuesta a las necesidades particulares de cada una de estas.

La recomendación a todos los proveedores de servicio, comercios y partes interesadas que hayan sido requeridos para cumplir con un estándar, sea PCI DSS u otros estándares del PCI SSC, o bien las propias normas de las marcas de pago, es que se siempre se tenga en consideración lo siguiente:
  • Se debe actuar con total transparencia, y de forma leal.
  • Se debe tener un plan de cumplimiento realista y contrastado, que desgrane el cumplimiento en varias fases, estableciendo fechas objetivo. Es muy importante que el avance de estas sea medible.
  • Si surgen contratiempos, deben documentarse y notificarse lo antes posible. La documentación de estos debe identificar de forma clara y precisa el motivo causante del contratiempo, y el plan de remediación. Además, siempre que se pueda, y si aplica, debe hacerse referencia a las necesidades de negocio y/o a las restricciones técnicas que pudiere haber.
  • El plan de remediación debe identificar de forma clara el conjunto de pasos a seguir para subsanar el contratiempo. Estos pasos, a su vez, deben ser medibles, y tener fijada una fecha objetivo.

Las cuantías o sanciones que pueden llegar a imponer las marcas de pago, pues, tienen un claro carácter coercitivo, y como se ha comentado a lo largo del artículo, pueden (o no) aplicarse en función de cada caso en particular. Seguramente, si se demuestra la buena voluntad de cumplimiento, y si se justifica de forma clara y precisa cualquier contratiempo, la cuantía sea menor a lo esperado.

Referencias

[1] Data Security Compliance Requirements for Service Providers (2017) [online]. VISA. https://usa.visa.com/dam/VCOM/download/merchants/data-security-compliance-service-providers.pdf

[2] Visa Global Registry of Service providers (2019) [online]. VISA.

[3] Site Data Protection (SDP) Program. The Mastercard SDP Compliant Registered Service Provider List (2019) [online].
https://www.mastercard.us/content/dam/mccom/global/documents/Sitedataprotection/site-data-protection-pci-list.pdf

[4] PCI Compliance helps keep you and your customers data safe. Compliance validation (2019) [online] VISA

[5] Visa Security Bulletin. New small merchant data security requirements (2015) [online] VISA https://usa.visa.com/dam/VCOM/download/merchants/bulletin-small-merchant-security.pdf

[6]  What merchants need to know about securing transactions (2019) [online] Mastercard

[7] Visa Core Rules and Visa Product and Service Rules (2019) [online] VISA

[8]  Security Rules and Procedures. Merchant Edition (2019) [online] Mastercard  https://www.mastercard.us/content/dam/mccom/en-us/documents/rules/SPME-Manual-September-2019.pdf

Fecha de la última revisión: 5 de mayo de 2020


Autor: Marc de Tébar - PCIP
Dpto. Consultoría
x