Payment Card Industry PIN Security (PCI PIN) es un estándar de seguridad que define el conjunto de requerimientos para gestión segura, el procesamiento y la transmisión de datos del número de identificación personal (PIN) durante el procesamiento de transacciones con tarjeta de pago en línea y fuera de línea en cajeros automáticos y terminales de puntos de venta (POS) atendidos y no atendidos.
Su finalidad es la reducción del fraude, la protección de la información sensible de pagos e incrementar la seguridad de estos datos.
PCI PIN, junto con el resto de programas de la familia PCI, es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de pago (VISA, MASTERCARD, AMERICAN EXPRESS, JCB, DISCOVER), y está destinado a ser utilizado por todas las instituciones y agentes adquirentes como instalaciones de inyección de claves y procesadores de certificados responsables del procesamiento de transacciones de PIN en las cuentas denominadas de los participantes de la industria de tarjetas de pago y deben utilizarse junto con otros estándares aplicables de la industria.
El programa PCI PIN, que venía siendo gestionado por VISA desde su primera versión el año 2011, pasó un proceso de transición para ser responsabilidad del PCI SSC tras la publicación de la versión 3.0 en agosto de 2018. Internet Security Auditors fue una de las 5 primeras empresas en todo el mundo en superar el proceso de homologación definido por el PCI SSC en el programa QPA (Qualified PIN Assessor) iniciado el año 2019.
Internet Security Auditors, con su experiencia en consultoría y auditoría en seguridad de la información, está en disposición de ayudar a todas aquellas organizaciones que están obligadas a definir y mantener un programa de cumplimiento de los requerimientos exigidos tanto por PCI PIN, siendo la única empresa iberoamericana con la acreditación de QPA.
El proceso seguido en la implementación, certificación y mantenimiento de PCI PIN es el siguiente:
Análisis del Cumplimiento y Plan de Acción
El primer paso para cumplir con los requerimientos de PCI PIN es realizar un análisis de los procesos de la empresa en los que se implica el PIN, procesos de inyección y gestión de claves de cifrado, etc.
Una vez identificado claramente estos procesos se deben evaluar los riesgos y definir las actividades de alineamiento que establece y mantiene las medidas de seguridad necesarias para poder cumplir con los requerimientos definidos en el estándar que apliquen a esos procesos. En el caso de KIF (Key Injection Facilitites) el conjunto de requerimientos será una parte de los exigidos por la norma.
Implantación de Requerimientos para la adecuación
La Implantación de Requerimientos para la Adecuación ejecuta el programa de cumplimiento a las NO conformidades detectadas en fases anteriores llevando a cabo aquellas actividades consultoras y de asesoramiento en cualquier tarea que deba desarrollarse para la consecución del objetivo de cumplimiento con PCI PIN.
Auditoría de Certificación del Cumplimiento de PCI PIN
Internet Security Auditors está acreditada por el PCI SSC, a través de su certificado QPA, para realizar las auditorías anuales on-site bienal requerido. En el proceso de auditoría se verifica, mediante revisiones técnicas y procedimientales, que los requerimientos establecidos en PCI PIN se están cumpliendo. Y para todos aquellos puntos que no se cumplen se define el plan de acción para solventar las no conformidades.