Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La Payment Application Data Security Standard (PA-DSS) se refiere a un conjunto de requisitos orientados a ayudar a los proveedores de software a desarrollar, implantar y mantener aplicaciones de pago seguras que puedan utilizarse para proteger los datos de las tarjetas de crédito de los consumidores. Además, la PA-DSS también trabaja para garantizar que las empresas y organizaciones no conserven innecesariamente determinadas categorías de datos personales, incluidos los números CVV de las tarjetas de crédito, así como los números PIN de seguridad, entre otra información financiera pertinente. Dicho esto, el Payment Card Industry Security Standards Council (PCI-SSC) creó la PA-DSS en 2008 con el fin de sustituir a las Payment Application Best Practices (PABP) de Visa. Las PABP, al igual que las PA-DSS, pretendían ayudar a los proveedores de software a crear aplicaciones de pago seguras, pero la norma no consiguió finalmente una aceptación o adopción generalizadas.

A día de hoy, el PCI-SSC regula el cumplimiento de la PA-DSS, además del cumplimiento de la PCI-DSS, aunque estas dos normas financieras se aplican a empresas y organizaciones diferentes. Así las cosas, las aplicaciones de software que un determinado comerciante o proveedor de software desarrolla internamente están exentas de los requisitos de la PA-DSS, a diferencia de la PCI-DSS, que se aplica a todas las empresas, comerciantes, proveedores y otros terceros pertinentes que recopilan y procesan datos de titulares de tarjetas con un volumen significativo. Asimismo, al igual que en el caso de la PCI-DSS, los proveedores de software que procesan datos de titulares de tarjetas deben cumplir determinadas responsabilidades para mantener la conformidad con la PA-DSS.

¿Cuál es el alcance y la aplicabilidad de la PA-DSS?

En lo que respecta al alcance y la aplicabilidad de la PA-DSS, las normas se aplican “a los proveedores de software y otros que desarrollen aplicaciones de pago que almacenen, procesen o transmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación”. Si uno o más requisitos de la PA-DSS no pueden ser cumplidos por la aplicación de pago directamente, pueden ser satisfechos indirectamente por controles probados como parte de la validación PCI PTS”. Por otra parte, en lo que respecta al ámbito de aplicación de la PA-DSS, las normas abarcan “toda la funcionalidad de la aplicación de pago”, lo que incluye, entre otras cosas, las condiciones de error, las funciones de pago de extremo a extremo, incluidas la autorización y la liquidación, los mecanismos de cifrado y autenticación, y todos los flujos de datos de los titulares de tarjetas. Además de esto, la PA-DSS también exige que los proveedores de software proporcionen a los clientes la información que necesitan para “implementar la aplicación de pago de forma compatible con la PCI DSS”.

¿Cuáles son los requisitos de cumplimiento de la PA-DSS?

Para que un proveedor de software pueda cumplir con la PA-DSS, debe adherirse a los siguientes requisitos cuando recopile, procese o almacene datos de titulares de tarjetas:

Junto con la PCI-DSS, la PA-DSS es el principal medio por el que los consumidores de todo el mundo pueden estar seguros de que su información financiera estará protegida cuando realicen pagos con sus tarjetas de crédito, débito y prepago. Dado que la funcionalidad de los pagos en línea se ha convertido en una parte fundamental del comercio electrónico a escala mundial, normas como la PA-DSS y la PCI-DSS son muy necesarias, ya que un consumidor residente en Ámsterdam que desee comprar una prenda de vestir a un minorista estadounidense debe tener la tranquilidad de que su información financiera permanecerá confidencial y segura en todo momento.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »
what-is-the-global-privacy-control-gpc
December 13, 2024 | 6 minutes read
¿Qué es el Control Global de la Privacidad (CGP)?

El Control Global de la Privacidad (CGP) permite a los consumidores expresar automáticamente sus preferencias de privacidad en varios sitios web.

Conozca Más »