La creciente oleada de ciberataques a nivel mundial ha puesto en alerta a personas, empresas, entidades bancarias y, sobre todo, a las compañías de tarjetas de crédito. La última en endurecer las políticas y normativas asociadas a los pagos ha sido Mastercard.
Según los datos recopilados por Statista, Mastercard es el cuarto procesador de pagos más importante del mundo, por detrás de VISA, Apple Pay y Alipay, y procesa cerca de cinco billones de dólares en pagos al año.
En 2006 esta compañía que ofrece servicios multinacionales de tarjetas de pago creó y desarrolló la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS), junto con otras entidades del sector, como Visa, American Express y JBC.
Todos ellos fundaron el Payment Card Industry Security Standards Council, un foro mundial que reúne a las entidades que almacenan, transmiten o procesan datos de titulares de tarjetas para desarrollar e impulsar la adopción de normas y recursos de seguridad de datos para pagos seguros.
En paralelo, Mastercard activó el Site Data Protection (SDP) Program, un programa propio que ofrece normas, directrices, mejores prácticas y herramientas de validación del cumplimiento aprobadas para fomentar un amplio cumplimiento de la norma PCI DSS.
Este programa categoriza como comercios de Nivel 3 a los comercios con más de 20.000 pero menos o igual a un millón de transacciones totales combinadas de comercio electrónico al año (Mastercard y Maestro), y les exige que validen su cumplimiento PCI DSS ante Mastercard para cumplir con el Programa SDP.
De este modo, dos veces al año, el 31 de marzo y el 30 de septiembre, las empresas y entidades que trabajan con datos de titulares de tarjetas Mastercard deben presentar el Formulario de presentación y estado de cumplimiento del adquirente SDP (Formulario SDP) para informar sobre el estado de validación del cumplimiento de PCI DSS de sus comerciantes de nivel 3.
En los últimos años, Mastercard se ha mantenido firme en su objetivo de elevar la seguridad del ecosistema de pagos. Por eso ahora ha lanzado una nueva normativa que afectará a toda la cadena de pagos.
Mastercard añadirá un campo adicional en el formulario SDP semestral
En el programa SDP actual, las entidades adquirentes informan de la validación PCI DSS individual de los comerciantes de nivel 3 a través del formulario SDP semestral.
Sin embargo, desde ahora las entidades adquirentes deberán garantizar a Mastercard que disponen de un programa de gestión de riesgos para identificar y gestionar el riesgo de seguridad de los pagos dentro de su cartera de comercios de Nivel 3 (comercio electrónico).
Para cumplir con esta nueva normativa deberán añadir un campo de datos adicional -Sí o No-, al formulario SDP actualizado. De este modo, podrán certificar que disponen de dicho programa de riesgos para su cartera de comercios de nivel 3.
El nuevo campo de datos del formulario SDP deberá ser cumplimentado por las entidades adquirentes a partir de la fecha límite de notificación del 30 de septiembre de 2024.
¿Cuáles son los requisitos mínimos del programa de gestión de riesgos comerciales de nivel 3?
Mastercard ha facilitado a los clientes una breve guía con los requisitos mínimos para las entidades adquirentes que deseen implantar un programa de gestión de riesgos para comerciantes de nivel 3 antes del 30 de septiembre de 2024.
Entre los mínimos que señala el proveedor de tarjetas bancarias se encuentran los siguientes puntos:
Comunicación requisitos PCI DSS
Para poder implantar un programa de gestión de riesgos, es necesario que las entidades adquirentes comuniquen periódicamente los requisitos de cumplimiento de la norma PCI DSS a sus comerciantes de nivel 3. Esta comunicación formal puede llevarse a cabo mediante correos electrónicos, cartas, folletos, boletines, contratos, extractos de cuenta, etc.
PCI DSS en las aplicaciones de pago o Software
Las aplicaciones de pago o software de pago que utilizan los comerciantes de Nivel 3 deben cumplir con la norma PCI.
Los comerciantes de Nivel 3 que utilicen aplicaciones de pago o software de pago proporcionados por terceros deben validar que cada una de ellas figura en la lista del sitio web del PCI SSC, lo cuál indica que siguen la norma PCI Payment Application Data Security Standard (PA-DSS) o la norma PCI Secure Software Standard, según corresponda.
PCI DSS para proveedores de servicios
Las entidades adquirentes deben asegurarse que sus comerciantes de nivel 3 utilizan únicamente proveedores de servicios que cumplan la norma PCI DSS.
Es fundamental recordar que la lista de proveedores de servicios registrados que cumplen la norma PCI DSS de Mastercard se actualiza mensualmente. Esta únicamente incluye proveedores que se han registrado en Mastercard, y que han superado con éxito una evaluación PCI realizada por un evaluador de seguridad cualificado (QSA) y aprobado por el PCI Security Standards Council (SSC).
Pese a estos requisitos, en la guía recuerdan que en el caso de que la entidad ya disponga de un programa de gestión de riesgos que cumpla los requisitos de Mastercard, no está obligada a modificar el contenido de su programa actual.
Sin duda, esta nueva normativa obligará tanto a las entidades adquirentes, como a los comercios de nivel 3 a ponerse las pilas en materia de ciberseguridad y cumplimiento PCI DSS. De cara a los próximos meses, las entidades o bancos adquirentes empezarán a solicitar a estos comercios su estado de cumplimiento a través de la presentación de los correspondientes AOC / SAQ.
En estos casos, la mejor manera para que estos pequeños comercios puedan profesionalizar sus sistemas de identificación y gestión de amenazas y cumplir con la PCI-DSS es contar con la ayuda de un partner de ciberseguridad especializado.
¿Eres un comercio de nivel 3 y nunca habías oído hablar de esta certificación? Escríbenos a [email protected] para activar tu modo «compliance» y poder certificar a los bancos el cumplimiento de PCI-DSS.