Español
English
Siempre que afrontamos un proyecto de adaptación PCI DSS, el primer paso que hacemos es explicar los principales actores que forman parte del ecosistema de pagos, con el objetivo de exponer las obligaciones y responsabilidades que tienen cada uno de ellos respecto al estándar.
Sin esta información es difícil afrontar un proyecto de estas características, ya que normalmente los clientes perciben el cumplimiento de la norma como una obligación repentina, sin haber pasado antes por un proceso educativo básico, donde se les explique las obligaciones y responsabilidades que tienen cada uno de los involucrados en el proceso de pago.
Por esta razón, es fundamental tener una imagen clara de los principales actores envueltos en este proceso. Básicamente conocer quiénes son, cómo funcionan y cuáles son sus responsabilidades y obligaciones de cara a la normativa PCI DSS. Sabiendo esto, habremos conseguido un marco conceptual básico para afrontar un proyecto de estas características.
Dentro del ecosistema de pagos, existen varios actores involucrados durante el procesamiento de tarjetas de crédito/débito. Para ser prácticos, solamente nos centraremos en los siguientes:
• Titulares de las tarjetas
• Comercios
• Pasarelas de pago
• Bancos adquirentes
• Emisores de tarjetas
Antes de entrar en detalle en cada uno de ellos, es importante resaltar que existen otros actores involucrados, de los que no hablaremos en este blog, como, por ejemplo: proveedores de aplicaciones de pago, fabricantes de hardware de pago, etc.
Titulares de las tarjetas
Básicamente es la persona que cuenta con una tarjeta de crédito/débito autorizada y emitida por un emisor de tarjetas, y la principal razón por la cual se ha creado la normativa PCI DSS. En resumidas cuentas, para proteger sus datos y reducir los riesgos en casos de robo y/o fraude.
Si la tarjeta es robada o clonada, y luego utilizada fraudulentamente, normalmente el titular de la tarjeta llama a su banco adquiriente o a su emisor para solicitar un rembolso, y al mismo tiempo solicitar una nueva. Esto automáticamente activa los procesos de fraude de los adquirientes y emisores de tarjetas, en búsqueda de responsabilidades.
Comercios
Los comercios son entidades autorizadas para aceptar pagos con tarjetas de crédito/débito, por la comercialización de sus productos y/o servicios.
Normalmente tienen la capacidad de decidir qué tipo de pago aceptarán (crédito, débito o ambos); con qué marcas trabajarán; con qué banco adquiriente tendrán la cuenta y/o código de comercio; qué tipo de Terminal de Punto de Venta (TPV) deberán comprar o arrendar; y, finalmente y no menos importante, qué medidas deberán implementar para proteger los datos del titular de la tarjeta.
Este último punto puede parecer obvio, sin embargo, en la práctica podemos decir que no lo es. Todos los comercios tienen la responsabilidad y la obligación de proteger sus sistemas, por donde se trasmiten, procesan o almacenan datos de tarjetas.
Así pues, todos los comercios que aceptan pagos con tarjetas, independientemente del tamaño de la empresa, tienen la responsabilidad de cumplir y reportar el estado de cumplimiento de la normativa PCI DSS.
Por otro lado, tienen la obligación de solicitar el estado de cumplimiento PCI DSS a aquellos proveedores con los que mantienen relación comercial, y que almacenan, procesan o trasmiten datos de la tarjeta a su nombre, o que podrían impactar directamente en la seguridad de los datos de tarjetas, como, por ejemplo: pasarelas de pago.
Pasarelas de pago
Las pasarelas procesan, transmiten, y en algunos casos, almacenan las transacciones de pago entre el comercio y los bancos adquirentes. Dichas entidades envían las transacciones al adquirente correspondiente según el tipo y marca de la tarjeta.
Las pasarelas de pago tienen la responsabilidad de proteger todos sus sistemas por donde se trasmiten, procesan o almacenan datos de tarjeta de sus clientes (comercios), y, en consecuencia, la obligación de cumplir y reportar el estado de cumplimiento de la normativa PCI DSS a sus clientes (comercios), los bancos adquirientes y emisores de tarjetas.
Bancos adquirentes
Los adquirentes son entidades financieras responsables de autorizar las transacciones de pago hechas por los titulares de las tarjetas, y abonarlo a los emisores de tarjetas.
En algunas ocasiones, los bancos adquirientes actúan en nombre de los emisores de tarjetas, específicamente en nombre de Visa y MasterCard. La entidad adquirente es el banco con la que el comercio tiene una relación contractual, con la finalidad de recibir las operaciones que involucran el uso de tarjetas de pago, en los establecimientos de sus comercios.
Desde una perspectiva de normativa, los bancos adquirientes son responsables del seguimiento y cumplimiento PCI DSS de sus comercios. En este sentido, deben asegurarse, en una primera instancia, que sus comercios entiendan la normativa PCI DSS. Esto es muy importante de recordar y tener en cuenta.
Los bancos adquirientes informan a cada una de las marcas de pago, los niveles de cumplimiento de sus comercios de forma regular. En aquellos casos en los que el comercio, no es cumplidor, es responsabilidad del banco adquiriente, acompañar, realizar seguimiento y ayudar a sus comercios a cumplir con los requisitos de la normativa.
Emisores de tarjetas
Los emisores son instituciones financieras que emiten tarjetas a sus clientes. Ellos facturan a sus clientes por las transacciones que realizan, y envían dinero a los bancos adquirientes, para que éstos, puedan pagar a los respectivos comercios, donde se realizó la transacción.
Algunas marcas de tarjetas, como Visa y MasterCard, no participan directamente en la emisión de tarjetas, sino que delegan esas funciones a organizaciones independientes de terceros, por ejemplo, a entidades adquirentes. Otras marcas, como American Express, Discover y JCB emiten directamente sus tarjetas y hacen de banco adquirente.
Cada uno de los principales emisores de tarjetas, tiene su programa de cumplimiento, de acuerdo con sus políticas de gestión de riesgos. En función de esto, cada emisor tiene sus propios procesos de validación del estándar PCI DSS, incluida la forma en la que los comerciantes y/o pasarelas de pagos reportan el cumplimiento, la definición de los niveles según el número de transacciones anuales, y las sanciones por no cumplimiento.
Finalmente, es su responsabilidad determinar y comunicar a los bancos adquirentes, la participación o no, de investigadores forenses (Forensic Investigators, PFI), con el objetivo de ayudar a determinar, cuándo y cómo se pudo haber originado una brecha de seguridad en un determinado comercio o pasarela de pago.
Con los roles y responsabilidades de los emisores de tarjetas, terminamos este blog. Esperamos que ahora tengas una imagen clara de los principales actores envueltos en este proceso y que hayas entendido quiénes son, cómo funcionan y cuáles son sus responsabilidades y obligaciones de cara a la normativa PCI.
Aprovechamos la oportunidad para recordarte que en A2SECURE te acompañamos durante la adaptación y/o certificación del estándar, independientemente del sector en el que te encuentres.
_______
Autor: Jaime Loaiza