PA DSS vs. PCI DSS: Comprendiendo las diferencias clave
En el mundo de hoy, donde más personas compran en línea, asegurar que cada transacción (y la aplicación de pago utilizada) sea segura y cumpla con los requisitos del Consejo de Normas de Seguridad PCI es una prioridad máxima para cualquier negocio.
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y el Estándar de Seguridad de Datos de Aplicaciones de Pago (PA DSS) ayudan a las empresas a lograrlo: PCI DSS para asegurar el manejo de los datos del titular de la tarjeta y PA DSS para garantizar que las aplicaciones de pago se construyan e implementen siguiendo estándares específicos de seguridad PCI.
Cuando se trata de comprender las diferencias entre PA DSS y PCI DSS, esto es lo que debes recordar:
- PCI DSS se aplica a todos los negocios que almacenan, transmiten y procesan datos del titular de la tarjeta o aquellos negocios que pueden afectar la seguridad de los datos del titular de la tarjeta.
- PA DSS se aplica solo a los proveedores de software y aquellos que desarrollan aplicaciones de pago.
Parece bastante simple, ¿verdad?
Como la mayoría de los temas relacionados con PCI, comprender completamente las diferencias entre PA DSS y PCI DSS implica un poco más de matices, que explicaremos a continuación.
¿Qué es PCI DSS?
PCI DSS asegura que las empresas que almacenen, procesen o transmitan datos del titular de la tarjeta o que puedan afectar la seguridad de dichos datos sigan requisitos específicos de PCI DSS para proteger los datos del titular de la tarjeta.
Gobernado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), el estándar consta de 12 requisitos para hacerse compatible con PCI.
¿A quién se aplica PCI DSS?
PCI DSS se aplica a dos tipos de negocios: comerciantes y proveedores de servicios.
Los comerciantes son empresas que aceptan pagos por bienes o servicios de cualquiera de las 5 marcas de tarjetas PCI SSC. Los proveedores de servicios son empresas que tienen acceso directo a un entorno de datos de titulares de tarjetas o que pueden afectar la seguridad del entorno de datos de titulares de tarjetas de una entidad.
Bajo PCI DSS, las empresas pueden obtener una mejor comprensión de su nivel de riesgo PCI DSS revisando las categorías definidas según la cantidad de transacciones que procesan en un año.
Hay cuatro niveles de cumplimiento PCI para los comerciantes, con el Nivel 1 requiriendo los requisitos de informes más estrictos y una evaluación completa por una firma QSA. Los proveedores de servicios tienen dos niveles de cumplimiento siguiendo el mismo formato que los comerciantes, con el Nivel 1 requiriendo una auditoría externa por una firma QSA.
La guía definitiva de PCI DSS
Aprende todo lo que necesitas saber sobre los requisitos, el proceso y los costos de obtener la certificación PCI.
¿Qué es PA DSS?
PA DSS es el estándar para los proveedores de software que garantiza que las aplicaciones de pago se prueben, evalúen y validen. El objetivo de PA DSS es exigir que los proveedores de software que desarrollan aplicaciones de pago cumplan con los estándares de seguridad PCI y protejan los datos del titular de la tarjeta en la mayor medida posible.
Cuando las aplicaciones de pago son compatibles con PA DSS y se implementan en un entorno compatible con PCI DSS, pueden ayudar a minimizar el riesgo de una violación de datos que pueda comprometer la información del titular de la tarjeta. Elementos como los datos de autenticación sensibles nunca deben almacenarse dentro de la aplicación de pago después de la autorización, incluyendo:
- Número de cuenta principal (PAN)
- Datos completos de la pista
- Códigos y valores de verificación de la tarjeta
- PINs y bloques de PINs
Para que una aplicación de pago sea considerada compatible con PA DSS, debe ser evaluada por un Asesor de Seguridad Calificado para Aplicaciones de Pago (PA-QSA) certificado.
Si la aplicación es compatible, el PA-QSA enviará un Informe de Validación (ROV) detallando sus resultados y una Certificación de Validación (AOV). Un ROV describe el alcance de la evaluación y cada requisito, incluidos los detalles de las pruebas del auditor. La AOV indicará si la aplicación de pago ha sido validada como compatible con PA DSS, demostrando que el proveedor de software cumple con los requisitos de PA DSS para gestionar de manera segura los datos del titular de la tarjeta a través de su aplicación de pago.
¿A quién se aplica PA DSS?
PA DSS se aplica a los proveedores de software y empresas que desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos del titular de la tarjeta.
El estándar es obligatorio cuando las aplicaciones de pago se venden, distribuyen y/o licencian a terceros. Estas aplicaciones de pago se instalan con frecuencia
de inmediato
PA DSS vs. PCI DSS: Las principales diferencias
Antes de profundizar en las diferencias entre PA DSS y PCI DSS, es importante comprender cómo se superponen los dos estándares.
PA DSS es una rama de los Estándares de Seguridad PCI. Una empresa que utiliza una aplicación de pago compatible con PA DSS no es compatible con PCI DSS en su totalidad y aún necesitaría cumplir con los 12 requisitos de PCI DSS.
Todas las empresas que almacenan, transmiten o procesan datos del titular de la tarjeta se consideran en el alcance de PCI DSS, incluyendo las empresas que usan una aplicación de pago compatible con PA DSS. PA DSS requiere que los proveedores de software desarrollen una guía de implementación que las empresas deben seguir al implementar la aplicación de pago.
A continuación, desglosamos las principales diferencias entre los dos estándares.
| PA DSS | PCI DSS | |
|---|---|---|
| Definition | Global security standard created to ensure payment applications meet standards for secure handling of cardholder data and businesses implement payment applications securely | Compliance standard created to ensure cardholder data is secured when it’s stored, processed, and transmitted |
| Main goal | Provide cardholder data security requirements that software vendors need to adhere to when developing payment applications | Require business that store, process, transmit, or impact the security of cardholder data to adhere to specific security controls regarding protection of cardholder data |
| Who it applies to | Third-party software vendors and businesses that develop payment applications which store, process, or transmit cardholder data and are sold to third parties | Organizations that store, process, or transmit cardholder data or could impact the security of card transactions |
| Governed by | Payment Card Industry Security Standards Council (PCI SSC) | Payment Card Industry Security Standards Council (PCI SSC) |
| Validation process | Payment application must be audited and certified by a Payment Application Qualified Security Assessor (PA-QSA) | Businesses that must adhere to level 1 compliance will need an external audit performed by a PCI DSS QSA. Other businesses that do not require an external audit can validate with a self assessment questionnare |
¿Cuáles son los requisitos de PA DSS?
Hay 14 requisitos de PA DSS a los que los desarrolladores de software deben adherirse para crear aplicaciones de pago conformes.
- No retenga datos completos de la pista, el código o valor de verificación de la tarjeta (CAV2, CID, CVC2, CVV2) ni los datos del bloque de PIN
- Proteja los datos almacenados del titular de la tarjeta
- Proporcione funciones seguras de autenticación
- Registre la actividad de la aplicación de pago
- Desarrolle aplicaciones de pago seguras
- Proteja las transmisiones inalámbricas
- Pruebe las aplicaciones de pago para abordar las vulnerabilidades y mantener actualizaciones de la aplicación de pago
- Facilite la implementación segura de la red
- Nunca almacene datos del titular de la tarjeta en un servidor conectado a Internet
- Facilite el acceso remoto seguro a la aplicación de pago
- Cifre el tráfico sensible a través de redes públicas
- Cifre todo el acceso administrativo no consola
- Mantenga una Guía de Implementación de PA DSS para clientes, revendedores e integradores
- Asigne responsabilidades de PA DSS al personal y mantenga programas de capacitación para el personal, clientes, revendedores e integradores
¿Cuáles son los requisitos de PCI DSS?
Hay 12 requisitos de cumplimiento de PCI a los que las empresas deben adherirse para cumplir con PCI DSS.
- Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
- No utilizar los valores predeterminados del proveedor para las contraseñas del sistema y otros parámetros de seguridad
- Proteger los datos almacenados del titular de la tarjeta
- Cifrar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas
- Usar y actualizar regularmente software o programas antivirus
- Desarrollar y mantener sistemas y aplicaciones seguros
- Restringir el acceso a los datos del titular de la tarjeta según la necesidad comercial
- Asignar una identificación única a cada persona con acceso a la computadora
- Restringir el acceso físico a los datos del titular de la tarjeta
- Rastrear y monitorear todo el acceso a los recursos de la red y a los datos del titular de la tarjeta
- Probar regularmente los sistemas y procesos de seguridad
- Mantener una política que aborde la seguridad de la información para todo el personal
Lecturas recomendadas
Lista de verificación de cumplimiento de PCI: Cómo lograr el cumplimiento en 2022
El futuro del cumplimiento de PA DSS y PCI DSS
Hay grandes cambios en el horizonte para el cumplimiento de PA DSS y PCI DSS.
La historia de PCI ha visto una variedad de actualizaciones para mantenerse al día con el cambiante panorama de la industria de tarjetas de pago y abordar nuevas y emergentes amenazas a la seguridad.
A continuación, profundizamos en los cambios que vienen para ambos estándares.
Próximos cambios en PCI DSS
La versión actual de PCI DSS (v3.2.1) será eliminada y reemplazada con PCI DSS v4.0 el 31 de marzo de 2024. Los comerciantes y proveedores de servicios estarán obligados a cumplir con la versión 4.0 para el 31 de marzo de 2025.
Este período de transición permite a las empresas familiarizarse con la nueva versión y hacer los ajustes necesarios.
Próximos cambios en PA DSS
La versión actual de PA DSS (v3.2) será retirada y reemplazada por el Marco de Seguridad de Software de PCI (SSF) en octubre de 2022.
Las presentaciones para nuevas aplicaciones de pago para ser validadas con PA DSS se cerraron el 30 de junio de 2021. A partir de ahora, las nuevas aplicaciones de pago pueden ser validadas por una empresa certificada por SSF listada en el sitio web de PCI SSC.
Cómo Secureframe puede ayudar a agilizar el cumplimiento de PCI
Si tiene problemas para determinar qué estándar cumplir o cómo comenzar con su proceso de cumplimiento, estamos aquí para ayudar.
Nuestro equipo de expertos en PCI DSS puede asistir en cualquier etapa del cumplimiento de PCI en la que se encuentre su empresa.
Solicite una demostración para descubrir cómo Secureframe puede facilitar el cumplimiento para su equipo hoy mismo.