El PCI Security Standards Council, un organismo abierto de normas que suministra gestión de la norma global para seguridad de datos PCI Data Security Standard (PCI DSS) y requisitos de seguridad para dispositivos de entrada de PIN, PCI PIN Entry Device (PED) Security Requirements, anunció que está añadiendo una nueva norma para el software de aplicación de pagos. La nueva norma, denominada Payment Application Data Security Standard (PA-DSS), se basa en las Mejores Prácticas para Aplicaciones de Pagos (PABP) de Visa.

Se ha distribuido un borrador preliminar de dicha norma a la Junta de Asesores del Council, organizaciones participantes, asesores calificados de seguridad (QSA) y proveedores aprobados de escaneo (ASV) a fin de que aporten su opinión. El Council incorporará estas opiniones y publicará una versión final de la PA-DSS en el primer trimestre de 2008.

Visa creó las PABP para ayudar a los proveedores a desarrollar aplicaciones de pago seguro que no almacenen datos prohibidos, tales como la banda magnética completa, datos de CVV2 y PIN, y que admitan el cumplimiento con la PCI DSS. Las aplicaciones desarrolladas internamente por comerciantes y otros no están sujetas a la norma PCI PA-DSS, pero sí lo están al PCI DSS. Aproximadamente 200 productos utilizados por una gran cantidad de comerciantes de todo el mundo ya han sido validados contra las PABP de Visa, y se espera que esta cifra siga creciendo con la adopción por parte del Council de la PA-DSS. Las aplicaciones de pago que adhieran a la PA-DSS minimizarán el potencial de violaciones de seguridad y el consiguiente fraude.

"Con la PA-DSS gestionada por el Council, garantizaremos que los proveedores de aplicaciones de pago y sus productos estén sujetos a requisitos de seguridad de datos en línea con la actual norma PCI Data Security Standard", declaró Bob Russo, gerente general del PCI Security Standards Council. "A medida que los criminales se hacen más sofisticados, y nuestros miembros advierten la vulnerabilidades de las aplicaciones de pago, debemos garantizar que todos los componentes del proceso de pagos estén sujetos a normas rigurosas que sean respaldadas por todas las marcas globales de tarjetas de pago, con una meta simple en mente: proteger los datos del titular de la tarjeta y combatir el fraude.”

El organismo alienta a los proveedores de aplicaciones de pago a incorporarse al PCI Security Standards Council en carácter de organizaciones participantes, y a aportar su opinión sobre la PA-DSS. Otros componentes del programa PA-DSS se implementarán tras la publicación de la norma, incluidos los requisitos y el programa de capacitación para asesores calificados de seguridad, y en última instancia, la publicación de una lista de aplicaciones de pago validadas.

La PA-DSS cuenta con el aval de cinco marcas globales de tarjetas de pago: American Express, Discover Financial Services, JCB, MasterCard y Visa. Con la PA-DSS, el PCI Security Standards Council cumple con su misión estratégica de desarrollar y mantener normas de seguridad globales para toda la industria, para la protección de la información de las cuentas de pago durante toda la vida útil de la transacción de pago.

Con la adopción de la PA-DSS por parte del Council, ahora habrá una única entidad que gestione las normas globales y agilice los requisitos relacionados con la seguridad de las tarjetas de pago, lo que incluye la PCI DSS y los requisitos de seguridad PCI PED. Mediante la adopción de la norma PA-DSS, el Council establece un fundamento común para una amplia adopción de aplicaciones de pago seguras.

El PCI Security Standards Council cuenta con aproximadamente 300 organizaciones participantes.

Enlace relacionado: www.pcisecuritystandards.org/about/faqs.htm#pa-dss