Recursos PCI-PA-DSS
Detalles... plazos... normativas de seguridad de datos... La Industria de Tarjetas de Pago (PCI, por sus siglas en inglés) puede complicarles la vida hasta a aquellas universidades más conscientes del cumplimiento con la normativa. Relájese. TouchNet cuenta con los recursos necesarios para devolver el orden y la cordura al ámbito de la protección de datos de pago.
¿Qué es PA-DSS?
La normativa de seguridad de datos para aplicaciones de pago (PA-DSS, por sus siglas en inglés) es la certificación que debe tener toda aplicación que acepte, procese o almacene información de tarjetas de pago. A diferencia de la normativa de seguridad de datos de la industria de pagos con tarjeta (PCI DSS, por sus siglas en inglés), PA-DSS es un estándar para los desarrolladores de software.
Como comerciante, usted tiene que usar aplicaciones que cuenten con el certificado de PA-DSS para todas sus soluciones de pago. Todas las aplicaciones que estén en contacto con datos de tarjeta confidenciales deberán estar certificadas a más tardar el 1 de julio de 2010, o antes, según el calendario que encontrará más abajo, o de lo contrario su universidad podría perder los privilegios de aprobación de tarjetas.
Enlace a la normativa actual de seguridad PA-DSS: www.pcisecuritystandards.org/security_standards/pa_dss.shtml
Fechas Importantes
| Fase | Mandatos de cumplimiento | Fecha de entrada en vigor |
|---|---|---|
| 1 | Los nuevos comerciantes no deberán usar aquellas aplicaciones de pago que se sabe que son vulnerables; tanto los procesadores VisaNet (VNPs, por sus siglas en inglés) como los agentes no deberán certificar nuevas aplicaciones de pago si se sabe que son aplicaciones de pago vulnerables. | 1/1/08 |
| 2 | Los VNPs y los agentes deberán certificar solamente aquellas aplicaciones de pago que cumplen con la normativa de seguridad PA-DSS. | 1/7/08 |
| 3 | Los nuevos comerciantes de Nivel 3 y 4 deberán cumplir con la normativa de seguridad PCI DSS o usar aplicaciones que cumplan con la normativa de seguridad PA-DSS. | 1/10/08 |
| 4 | Los VNPs y los agentes deberán retirar la certificación a todas aquellas aplicaciones de pago que son vulnerables. | 1/10/09 |
| 5 | Todo adquiriente deberá asegurarse de que sus comerciantes, VNPs y agentes usan solamente aplicaciones que cumplen con la normativa de seguridad PA-DSS. | 1/7/10 |
Fuente: http://usa.visa.com/merchants/risk_management/cisp_payment_applications.html
¿Qué es PCI DSS?
Las normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS, por sus siglas en inglés) son un conjunto detallado de requisitos de seguridad que aplica a todos los comerciantes con respecto a la aceptación de tarjetas de pago. Si usted recibe pagos con tarjeta de crédito en algún lugar de su institución, se le considera comerciante. Todo comerciante tiene la obligación de cumplir con las normas PCI DSS.
Haga clic en el siguiente enlace y podrá ver las normas PCI DSS que TODO comerciante debe cumplir: https://www.pcisecuritystandards.org/security_standards/download.html?id=pci_dss_v1-2.pdf
¿Están certificados sus vendedores?
Piense en todas las aplicaciones que aceptan pagos con tarjeta de crédito en su institución. Cada lugar en el que se ingresa, procesa o almacena un número de tarjeta de crédito se considera una aplicación de pago. TouchNet ha recibido todas las certificaciones por cumplir con las normas PA-DSS y con las PCI DSS. Si usted cuenta con aplicaciones de pago de otros vendedores, haga clic en el siguiente enlace al sitio web oficial para verificar que cumplen con todas las normas.
Podrá encontrar una lista completa de las Aplicaciones de Pago Validadas en la página web del Consejo PCI: https://www.pcisecuritystandards.org/security_standards/vpa/
¿Quién está a cargo de las normas PCI DSS y PA-DSS?
El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC, por sus siglas en inglés) se encarga de mantener los dos tipos de normas. El Consejo fue fundado por las principales marcas de tarjetas de pago (American Express, Discover Financial Services, JCB, MasterCard WorldWide y Visa Inc.) para conseguir un fórum transparente en el que todas las partes interesadas pudieran contribuir al desarrollo, la mejora y la difusión continua de la Norma de Seguridad de Datos.
Enlace a https://www.pcisecuritystandards.org