Nota: Si sospechas o confirmas que ha ocurrido un Incidente de Seguridad, es importante que notifiques inmediatamente a Popular Merchant por correo electrónico a merchantclaims@popularmerchant.com. Popular Merchant te orientará y ayudará con los Requisitos para Incidentes de Seguridad de Visa y Mastercard.
1 Notificar inmediatamente a Visa y Mastercard
Si una entidad sospecha o confirma que ha ocurrido un acceso no autorizado a la información de cualquier cuenta de pago o a cualquier sistema de pago que almacene, procese o transmita información de cuentas de pago, esta deberá reportar el Incidente de Seguridad a Visa (dentro de 3 días calendario) y a Mastercard (inmediatamente), e informarles lo siguiente:
- El hallazgo de pruebas suficientes para suscitar sospechas razonables de que ha ocurrido un Incidente de Seguridad,
- o el hallazgo de pruebas suficientes para confirmar que ha ocurrido un Incidente de Seguridad.
Popular Merchant debe asegurar que sus afiliados, agentes y clientes cumplan con este requisito.
2 Realizar una investigación inicial y presentar un informe de incidente
Debes presentar un informe que describa el incidente (el “Informe de incidente”) a Visa, Mastercard y Popular Merchant dentro de tres (3) días calendario tras la notificación a Visa y Mastercard.
3 Notificar a otras partes implicadas
Notifica inmediatamente a todas las partes pertinentes, incluido Popular Merchant, entre otras. Recomendamos en especial que notifiques a:
- Tus equipos internos de gestión de incidentes y de seguridad de información.
- El fabricante de tu dispositivo de entrada de PIN (PED, por sus siglas en inglés), el fabricante o el distribuidor/integrador de su punto de venta (POS, por sus siglas en inglés), o al fabricante de tu carrito de compras si se determina que el incidente involucra una vulnerabilidad en tu sistema de procesamiento de pagos. Los proveedores de aplicaciones certificadas conforme al Marco de Seguridad del Software del Consejo de Estándares de Seguridad (SSC, por sus siglas en inglés) de la Industria de Tarjetas de Pago (PCI, por sus siglas en inglés) deben notificar cualquier vulnerabilidad en sus aplicaciones al SSC.
- Tu departamento de asesoría legal, sobre todo si la legislación aplicable obliga a notificar al cliente.
- Las agencias de orden público locales o federales pertinentes.
- La Unidad contra Delitos Cibernéticos (ECTF, por sus siglas en inglés) del Servicio Secreto de Estados Unidos, si el incidente ha ocurrido en Estados Unidos. La ECTF se dedica a investigar delitos financieros y puede ofrecer asistencia en la gestión y mitigación de Incidentes de Seguridad.
- Visite www.secretservice.gov/investigation/ para obtener la información de contacto de las oficinas locales de ECTF.
- Notificar al Departamento de Asuntos del Consumidor (DACO) para comercios haciendo negocios en Puerto Rico y notificar a las autoridades locales según requiera las leyes aplicables
4 Proporcionar a Visa y Mastercard los datos de cuentas de pago que quedaron expuestos
Dentro de tres (3) días calendario luego de cualquiera de los siguientes casos: (a) se observa que la información de la cuenta estuvo en riesgo; (b) tras la fecha en que se comprometieron los números de cuenta en riesgo; o (c) se determina una ventana de riesgo (WOE, por sus siglas en inglés), las entidades deberán asegurarse de facilitar todos los números de cuenta expuestos (conocidos o sospechados) a Visa y Mastercard.
5 Realizar una investigación forense de PCI
Tanto Visa como Mastercard pueden, a su discreción, exigir que una entidad potencialmente en riesgo contrate a un investigador forense de PCI (PFI, por sus siglas en inglés) para realizar una investigación. De ser este el caso, los miembros o las partes responsables recibirán una notificación formal.
- La lista de organizaciones PFI autorizadas está disponible en: pcisecuritystandards.org/assessors_and_solutions/pci_forensic_investigators.
6 Realizar una investigación independiente
No todos los Incidentes de Seguridad requieren una investigación forense de PCI. Visa y Mastercard pueden exigir a una entidad potencialmente en riesgo que realice una investigación independiente en lugar de, o antes de, una investigación forense de PCI. Los investigadores independientes deben presentar los informes y demás resultados de la investigación directamente a Visa y Mastercard. La compañía de investigación no puede ser una organización afiliada o que le haya prestado servicios en los últimos 3 años a la entidad afectada, tales como investigaciones PFI previas, como evaluadores de seguridad cualificados, asesoría, consultoría, monitoreo o apoyo a la seguridad de la red, etc. Visa se reserva el derecho de rechazar los informes que no cumplan los requisitos y exigir una investigación PFI de ser este el caso.
7 Conservar la evidencia
Para identificar la raíz de un posible Incidente de Seguridad, agilizar las investigaciones y garantizar la integridad de los componentes y el entorno del sistema, es fundamental conservar toda la evidencia.
Fuentes: SPME Manual, What to do if compromised