PCI DSS
En Mercado Pago aseguramos la confidencialidad, disponibilidad e integridad de todos nuestros procesos siguiendo las mejores prĂĄcticas del mercado para que puedas utilizar todos nuestros productos de forma segura.
Ademås, para que Mercado Pago pueda operar con tarjetas de crédito y débito debemos cumplir con uno de los eståndares de seguridad mås exigentes de la industria de pagos: Payment Card Industry Data Security Standard.
DefiniciĂłn y contexto
Si alguna vez almacenaste, procesaste o transmitiste datos de tarjeta en tu compañĂa, seguramente escuchaste hablar de PCI. Desde Mercado Pago queremos ayudarte y simplificar la tarea de entender esta normativa y las distintas responsabilidades asociadas.
Como Proveedor de Servicios debemos cumplir responsabilidades normativas y de seguridad frente a las marcas de tarjetas y adquirentes, pero aĂșn asĂ, la seguridad en todo el proceso de pago es obligaciĂłn de ambas partes. Comercios y/o plataformas de e-commerce que se integren con procesadores de pago como Mercado Pago deben cumplir requerimientos mĂnimos de seguridad para mitigar riesgos de fraude y fuga de informaciĂłn asegurando los datos de los usuarios.
PCI DSS (Payment Card Industry Data Security Standard) es una normativa internacional de seguridad que deben cumplir todas las entidades que almacenan, procesan o transmiten datos de tarjeta.
La normativa PCI establece un nivel båsico de protección para los dueños de tarjetas (tarjetahabientes) y ayuda a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos.
El cumplimiento de la normativa PCI implica tres aspectos importantes:
- Transmitir de forma segura la informaciĂłn correspondiente a los datos de tarjetahabientes.
- Almacenar los datos acorde a las mejores prĂĄcticas de seguridad de la industria, bajo 12 requisitos normativos que se incluyen en el EstĂĄndar PCI.
- ValidaciĂłn anual del cumplimiento de los controles de seguridad y formularios de evaluaciĂłn propuestos por el Council de PCI.
Te recomendamos que puedas visitar el sitio oficial de PCI para mĂĄs informaciĂłn. A continuaciĂłn proporcionamos un resumen de los objetivos que tienen los controles de seguridad PCI.
| Objetivo | Requerimiento |
| CREAR Y MANTENER SISTEMAS Y UNA RED SEGUROS | Instalar y mantener un firewall configurado para proteger los datos de los titulares de tarjeta. No usar los valores predeterminados suministrados por el proveedor para las contraseñas de los sistemas y otros paråmetros de seguridad. |
| PROTEGER LOS DATOS DE LOS TITULARES DE TARJETA | Proteger los datos del titular almacenados. Cifrar la transmisiĂłn de los datos de titulares de tarjeta en las redes abiertas o pĂșblicas. |
| MANTENER UN PROGRAMA DE GESTIĂN DE VULNERABILIDADES | Proteger todos los sistemas contra software maliciosos y actualizar periĂłdicamente el software antivirus. Desarrollar y mantener sistemas y aplicaciones seguros. |
| APLICAR MEDIDAS SĂLIDAS DE CONTROL DE ACCESO | Restringir el acceso a los datos conforme a la necesidad de saber que tenga la organizaciĂłn. Identificar y autenticar el acceso a los componentes del sistema. Restringir el acceso fĂsico a los datos de titulares de tarjeta. |
| VIGILAR Y VERIFICAR PERIĂDICAMENTE LAS REDES | Rastrear y monitorizar todo el acceso a los recursos de la red y los datos de titulares de tarjeta. Verificar periĂłdicamente los sistemas y procesos de seguridad. |
| TENER UNA POLĂTICA DE SEGURIDAD DE LA INFORMACIĂN | Tener una polĂtica que contemple la seguridad de la informaciĂłn para todo el personal. |
Para cada uno de los 12 requisitos de PCI, existen bĂĄsicamente cuatro niveles diferentes de cumplimiento que, por lo general, se basan en el volumen de transacciones con tarjeta que procese tu organizaciĂłn en forma anual y cada nivel tiene un conjunto de obligaciones.
- Nivel 1: (i) Organizaciones que procesan mås de 6 millones de transacciones al año de Visa o MasterCard, o mås de 2,5 millones para American Express; (ii) organizaciones en que ha habido una filtración de datos; (iii) organizaciones consideradas de nivel 1 por cualquier asociación de tarjetas.
- Informe anual sobre cumplimiento (ROC) a cargo de un evaluador de seguridad cualificado (QSA) o un auditor interno.
- Escaneo trimestral de red a cargo de proveedor aprobado (ASV).
- CertificaciĂłn de cumplimiento (AOC).
- Nivel 2: organizaciones que procesan entre 1 y 6 millones de transacciones por año.
- Cuestionario de autoevaluaciĂłn (SAQ) anual de PCI correspondiente.
- Escaneo trimestral de red a cargo de proveedor aprobado (ASV).
- CertificaciĂłn de cumplimiento (AOC) para cada uno de los SAQ correspondientes.
- Nivel 3: organizaciones que procesan entre 20.000 y 1 millón de transacciones online por año y organizaciones que procesan menos de 1 millón de transacciones en total.
- Cuestionario de autoevaluaciĂłn (SAQ) anual de PCI correspondiente.
- Escaneo trimestral de red a cargo de proveedor aprobado (ASV).
- CertificaciĂłn de cumplimiento (AOC) para cada uno de los SAQ correspondientes.
- Nivel 4: Organizaciones que procesan menos de 20.000 transacciones online por año y organizaciones que procesan por año hasta 1 millón de transacciones en total.
- Cuestionario de autoevaluaciĂłn (SAQ) anual de PCI correspondiente.
- Escaneo trimestral de red a cargo de proveedor aprobado (ASV).
- CertificaciĂłn de cumplimiento (AOC) para cada uno de los SAQ correspondientes.
Cumplimiento
Mercado Pago es responsable de asegurar la informaciĂłn de datos de tarjetahabiente una vez ingresan en su entorno, por lo que es importante que los comercios y/o plataformas de e-commerce cumplan con los controles de seguridad apropiados para transmitirlos de manera correcta. Como Proveedor de servicios, Mercado Pago puede validar el cumplimiento solicitando evidencia de la documentaciĂłn PCI correspondiente de acuerdo al producto utilizado.
Mercado Pago simplifica considerablemente la carga del cumplimiento de esta normativa para las organizaciones que adoptan cualquiera de los productos de Mercado Pago ya que utilizan campos que se originan directamente en nuestros servidores en una zona segura para el ingreso de datos de tarjetas de parte del cliente. De esta manera la mayor parte de los requisitos de PCI DSS recaen sobre Mercado Pago y disminuyen considerablemente tu esfuerzo en controles de seguridad.
Para poder ser PCI DSS compliant, demostrar tu cumplimiento y a su vez, asegurar los datos de tarjeta de tus clientes, es importante que utilices este tipo de integraciones para asegurar que los datos que ingresan los tarjetahabientes no lleguen a tus servidores.
Como vimos en las secciones anteriores, para el nivel 1, es necesario realizar una auditorĂa con un asesor externo. En cambio para los niveles 2 a 4, hay diferentes tipos de SAQ segĂșn quĂ© mĂ©todo de integraciĂłn de pagos uses. Te recomendamos que completes el SAQ que corresponda de acuerdo al tipo de Checkout elegido debido a las obligaciones que impone la normativa PCI.
Aquà te resumimos qué tipo de SAQ debes completar para cada solución de integración que ofrece Mercado Pago.
| SoluciĂłn | SAQ |
| Checkout Bricks | A |
| Checkout Pro | A |
| Checkout API | A |
Ventajas de un SAQ-A
El Self-Assessment Questionnaire A (SAQ A) es aplicable a los productos mencionados previamente, y es importante entender que la mayor ventaja de estas integraciones es que delegan casi en su totalidad los controles de seguridad a Mercado Pago, que se encuentra certificado en PCI-DSS.
El documento posee Ășnicamente 22 requerimientos de seguridad que se deben aplicar y auditar anualmente, tales como polĂticas, controles de accesos, mantenimiento de red y aplicaciones seguras, como tambiĂ©n restricciones de acceso fĂsico a entornos de datos de tarjeta en caso de que aplique.
A diferencia de otro tipo de documentos como los Self-Assessment Questionnaire D(*) (aplicable a nuestras antiguas integraciones vĂa API) o Self-Assessment Questionnaire A-EP(**) estarĂĄ reduciendo considerablemente su carga de trabajo en cuanto a controles de seguridad y delegando la responsabilidad en un tercero certificado.
(**) El Self-Assessment Questionnaire A-EP se compone de 191 requerimientos de seguridad que se deben auditar y cumplir anualmente.
AdemĂĄs, baja considerablemente el riesgo de tu integraciĂłn, dado que el entorno de datos de tarjeta se encuentra en una zona segura alojada por Mercado Pago y no necesitarĂĄs almacenar ningĂșn tipo de informaciĂłn sensible de los tarjetahabientes.
Es importante que consideres migrar a la nueva soluciĂłn de Checkout Transparente con Secure Fields en caso de que te encuentres integrado vĂa API para poder facilitar tu cumplimiento PCI, asegurar el canal de pago, reduciendo el riesgo de cualquier tipo de ataque y afectaciĂłn a los datos de tus clientes y de Mercado Pago.