Los estándares PCI (Payment Card Industry) son el marco que engloba la seguridad que deben seguir las transacción realizadas con tarjetas de crédito regidas por el PCI Security Standards Council. Son una especie de mínimo común denominador de las normas de seguridad que sigue cada red de tarjetas de crédito (VISA, Mastercar, JCB, etc) .

Tienen varios estándares, pero el que más nos afecta es el PCI-DSS (Payment Card Industry Data Security Standard), y es al que nos referimos normalmente cuando hablamos de PCI en una aplicación web dedicada a un negocio distinto al de los medios de pago.

El objetivo es reducir en lo posible el fraude en el comercio (electrónico o no), algo que nos beneficiará a todos. Se puede discutir si estos estándares son la mejor forma, pero a día de hoy no hay alternativa alguna.

¿Debo cumplir con el estándar PCI?

Contrariamente a lo que se suele pensar, todo sistema que intervenga en una transacción con tarjetas de crédito debe cumplir con PCI-DSS. Literalmente: cualquier entidad que acepte, almacene, procese y/o transmita datos de tarjeta.

Explicar los requerimientos del estándar queda fuera del objetivo de este artículo, pero pasado el susto os puedo decir que es más sencillo de lo que parece para la mayoría de nosotros con la mayoría de pasarelas de pago.

En función del número de transacciones anuales que gestionemos caeremos en uno de los siguientes niveles:

Nivel PCIRequisitos
Nivel 1Más de 6 millones de transacciones anuales
Nivel 2De 1 a 6 millones de transacciones anuales
Nivel 3De 20 mil a 1 millón de transacciones anuales
Nivel 4Menos de 20 mil transacciones anuales

Pero como decía, la mayoría de las pasarelas de pago modernas hacen cumplir con el estándar muy sencillo. Tanto los pagos offsite como los bridge de javascript o los post transparentes a sus servidores que utilizan muchas plataformas nos evitan entrar en contacto con los datos de la tarjeta de crédito. Esto hace que nuestras obligaciones se reduzcan enormemente y estemos en el nivel más bajo, recayendo todas las exigencias sobre la plataforma.

Pero, importante, esto no nos exime de cumplir con el estándar y nuestro acquirer bank (el banco que obtiene el dinero de la red de tarjetas) puede requerirnos el certificado en cualquier momento. Rellenando un simple cuestionario (PCI DSS Self-Assessment Questionnaire A) en el que certifiquemos que seguimos las buenas prácticas de seguridad en internet lo conseguiremos.

Sin embargo, si recibimos la información de la tarjeta en nuestro servidor y usamos un API directamente las exigencias pueden crecer, de modo que a ser posible debemos intentar evitarlo. No es difícil para los niveles 3 y 4, pero en todo caso yo preferiría evitarlo.

¿Quién debe certificarme?

Existen unas empresas auditoras aprobadas por el consejo que rige las normas llamadas QSA (Qualified Security Assessor) que se encargan de certificarnos. Podéis ver un listado aquí si bien algunas pasarelas de pago como Paymill incluyen la gestión dentro de sus servicios con un QSA autorizado. No quiero hacer propaganda de ninguna de ellas en concreto.

Es posiblemente que nunca te pidan tu certificado, pero yo no me la jugaría. A día de hoy es un esfuerzo y coste pequeño y dormirás más tranquilo.

Seguridad de sentido común

Si finalmente tienes recibir en tu aplicación los datos de la tarjeta de crédito hay tres cosas importantes susceptibles de obviar que no debes olvidar:

  • Nunca guardar, ni registrar en los logs, el CVV/CVC.
  • Únicamente si fuera estrictamente necesario guardar cifrado, y no registrar en los logs, el número de tarjeta de crédito completo.
  • Y en general… no guardes nada que no sea extrictamente obligatorio (datos de facturación, titular de la tarjeta, etc.)

Por supuesto hay que tener en cuenta SSL, controles de acceso, firewall y el resto me medidas de seguridad habituales a nivel de servidor, de aplicación (cross-site criptpting, sql injection, etc.), solo he querido reiterar dos aspectos importantes relativos a las tarjetas de crédito.

Quiero saber más sobre PCI

Si quieres obtener más información sobre PCI te recomiendo descargarte PCI Compliance for dummies, ofrecido grauitamente por Qualys desde la siguiente URL: https://www.qualys.com/forms/ebook/pcifordummies/