Los datos del titular de la tarjeta, como el número de cuenta principal (Primary Account Number, PAN), el nombre del titular, la fecha de caducidad, el código CVV, el PIN y los datos de autenticación, son datos del cliente altamente confidenciales que se deben proteger.
La norma del sector de pagos con tarjeta (PCI) y de seguridad de los datos (DSS) define las reglas de cumplimiento para el procesamiento de datos de titulares de tarjetas, a fin de evitar fraudes con tarjetas de crédito. En este informe, MENU describe el papel que desempeña en el contexto de la PCI DSS.
Fig. 1: Modelo de comercio oficial aplicado por MENU
Roles
Cuando se utiliza el sistema de MENU, el cliente de MENU (típicamente un franquiciado) asume el rol de comercio registrado (Merchant of Record, MoR). El MoR es la entidad legal que vende bienes o servicios a un titular de tarjeta, quien debe pagarle por dichos bienes y servicios.
El MoR procesa todos los pagos y asume toda la responsabilidad relacionada con esas transacciones, incluida la recaudación del impuesto sobre las ventas, el cumplimiento de la normativa (PCI) del sector de tarjetas de pago y el pago de reembolsos y contracargos.
El MoR utiliza el sistema de MENU para ejecutar estas operaciones. El sistema de MENU contrata a servicios de terceros para que se encarguen del almacenamiento, el tratamiento y la transmisión de los datos del titular de la tarjeta (pasarelas de pago y procesadores de pagos).
El proveedor de servicios de pago (Payment Service Provider, PSP) se encarga de procesar la transacción: la parte en la que el dinero sale de la cuenta bancaria del cliente y llega a la cuenta bancaria del comercio. Con el PSP, los datos confidenciales se envían directamente del navegador de la persona que realiza el pago al proveedor de pagos, sin pasar por servidores del comercio. El PSP asume la responsabilidad por los pagos, con lo que los comercios quedan exentos de los riesgos de seguridad de las transacciones.
Implementación
El sistema de MENU no almacena, procesa ni transmite ningún dato confidencial del titular de la tarjeta. Según la integración de pago específica, esto se implementa con SDK nativos en dispositivos móviles y páginas alojadas en iFrames en la app web.
Los usuarios introducen la información de la tarjeta de crédito directamente en los formularios proporcionados por el PSP. El PSP devuelve un token al sistema de MENU que identifica de forma única el pago sin exponer los datos del titular de la tarjeta.
Normativa PCI
Dado que el sistema de MENU no almacena, procesa ni transmite ningún dato confidencial del titular de la tarjeta, cumple con la normativa PCI de conformidad con la versión 3 de la PCI DSS y respeta los requisitos de SAQ A. Consulta el cuestionario de autoevaluación (SAQ) con fecha 8/2/2021 como referencia.
Por las mismas razones, la norma de seguridad de los datos de apps de pago de la PCI (PA-DSS) no se aplica a MENU. La PA-DSS se aplica a los proveedores de apps de pago.
MENU subcontrata a un proveedor de pagos para que se encargue de todas las funciones relativas a los datos de los titulares de tarjetas. Este proveedor debe cumplir con la PA-DSS.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.