Visa América Latina y el Caribe - Acerca de la Información de la Seguridad de Cuentas

América Latina y el Caribe

Productos

Usuarios

Educación Financiera

Seguridad

E-commerce

Promociones y Eventos

Corporaciones

Empresas

Sector Público

Soluciones Comerciales

Marcas Compartidas

Seguridad de la Información

Herramientas para Establecimientos

Acerca de Visa

Sala de Prensa

Oportunidades de Empleo

Visa Empresarial Crédito

Visa Empresarial Débito

Visa Corporativa

Visa Compras Institucionales

Visa para Flotas

Casos Desarrollados

Visa Corporativa

Visa Compras Institucionales

Visa Distribución

Visa para Flotas

Information Management

Promociones

Entretenimiento

Proceso de Aceptación

Manejo de Contracargos

Control de Fraude

Glosario

Descripción del programa

Beneficios

Base inicial del programa

Creación de la tarjeta

Preguntas frecuentes

Campañas

Patrocinios

El cumplimiento con las Normas de Seguridad del PCI es una obligación de todas las entidades que participan del sistema Visa, procesando, transmitiendo o almacenando información de Tarjetahabientes o transacciones.

Visa ALC ha establecido criterios dirigidos a la validación del cumplimiento, específicamente del ambiente de aceptación, que incluyen: Adquirentes, Comercios y Proveedores de Servicios.

El criterio establecido por Visa considera el “nivel de riesgo” que representan las entidades y consecuentemente establece uno de los siguientes tipos de validación:

Auditorías “en sitio”
Pruebas de vulnerabilidad de Redes (network scans)
Cuestionarios de Auto-evaluación (SAQ)

Asesores de Seguridad para validación del cumplimiento
La validación del cumplimiento deberán realizarla Asesores de Seguridad independientes (QSA). Visa ALC ha aprobado un grupo de compañías de seguridad independientes para realizar auditorías en sitio. Las entidades en América Latina y el Caribe que califiquen para validación del cumplimiento deben seleccionar únicamente compañías QSA aprobadas por Visa ALC.

Para más información sobre éstas compañías consulte la Lista de Asesores de Seguridad (QSA) aprobados por Visa.

Criterios de Validación de Cumplimiento para Comercios
La cartera de comercios de los Bancos Adquirentes Visa debe segmentarse considerando el riesgo que representan las diferentes entidades afiliadas. Inicialmente, los Adquirentes deberán utilizar el siguiente criterio para crear dos grupos:

Alto Riesgo: Comercios con la capacidad de almacenar información sensitiva (Contenido de la banda magnética, CVV2, etc.). Estos comercios normalmente cuentan con algún tipo de aplicativo o software en el punto de ventas.

Bajo Riesgo: Comercios sin capacidad de almacenar información sensitiva. Estos comercios normalmente cuentan con un Punto de Venta (POS) independiente.

El grupo de “Alto Riesgo” posteriormente deberá dividirse de la siguiente manera:

Nivel 1: Principales comercios que concentran el 80% del volumen de transacciones del grupo de “Alto Riesgo”
Nivel 2: Comercios con el 20% restante del volumen de transacciones del grupo de “Alto Riesgo”

El resultado será una segmentación de 3 niveles que permitirá utilizar diferentes esquemas de validación como se muestra en la tabla Requerimientos de Validación para comercios o gráficamente en el Diagrama de Segmentación.

Criterios de Validación para Proveedores de Servicios
Un proveedor de servicios puede ser cualquier organización que almacena, procesa o transmite información normalmente en nombre de un grupo de entidades. Estos incluyen:

Procesadores
Proveedores de Servicios de Pago por Internet (IPSPs)
Proveedores de Servicio de Internet (ISPs)
Cualquier otra entidad que realiza algún tipo de servicio a un Adquirente que requiera manipulación de información de transacciones

La tabla anexa muestra los Requerimientos de Validación para Proveedores de Servicios.

¿Cómo puede un Comercio reducir los requisitos de validación de cumplimiento?
Los comercios en América Latina y el Caribe pueden reducir los requisitos de validación de cumplimiento mediante las siguientes acciones:

Implementación de aplicaciones certificadas. Mediante el uso de aplicaciones de Punto de Venta certificadas bajo las Normas de Seguridad del PCI, los comercios reducen su nivel de riesgo de compromiso de información y como resultado de esto también se reducen los requisitos de validación de cumplimiento.
Certificación de un proveedor Independiente. Una vez un Asesor de Seguridad independiente (QSA), valida que el ambiente de procesamiento de pagos de un comercio no almacena información sensitiva de acuerdo con las Normas de Seguridad del PCI, se reduce su nivel de riesgo para compromiso de información y como resultado de esto también se reducen los requisitos de validación de cumplimiento.

Los comercios deben trabajar con sus Bancos Adquirentes para cumplir con estos puntos y lograr una reducción en los requisitos de validación de cumplimiento.

En Resumen
Independientemente al nivel que aplique para validar el cumplimiento de una organización, es responsabilidad de cada entidad cumplir con las Normas de Seguridad del PCI.

Visa ha establecido criterios para validar el cumplimiento de las diferentes entidades del ambiente de aceptación considerando el nivel de riesgo que representan. El Diagrama de Segmentación muestra gráficamente cómo debe segmentarse la cartera de comercios y proveedores de servicios de los Bancos Adquirentes y los requisitos de validación correspondientes.

Los Bancos Adquirentes tienen disponible en Visa Online herramientas para ayudarlos con la segmentación del portafolio de comercios de acuerdo a los criterios establecidos por Visa ALC.

política de privacidad | legal | sitios globales de Visa | consejos de seguridad | Búsqueda de trabajo