Contactos
hogar

Los datos están protegidos según el estándar pci dss. Preparación para la certificación PCI DSS. ¿Qué es mPOS?

Amigos, estamos ampliando la gama de servicios proporcionados y pronto agregaremos a nuestro sitio web la capacidad de solicitar servicios para escanear sitios web en busca de código malicioso (escaneo ASV), que es requerido por la certificación PCI DSS. En este sentido, damos inicio a una nueva sección de publicaciones relacionadas con los estándares y requisitos de seguridad de datos. Y antes que nada, queremos hablar sobre la certificación PCI DSS. El uso de pagos con tarjeta de crédito y débito implica la posible transferencia, almacenamiento y procesamiento de los datos de la tarjeta de pago, lo que aumenta el riesgo de ciberdelincuencia. En este sentido, MasterCard, Visa, American Express y otros sistemas de pago plantean ciertos requisitos de seguridad para los comerciantes y proveedores de servicios que trabajan con datos de tarjetas de pago. Estos requisitos se describen en el estándar PCI DSS. Comprendamos qué es la certificación PCI DSS y cuáles son los puntos principales que necesita saber.

¿Qué es PCI DSS?

PCI DSS es una abreviatura de Estándar de seguridad de datos de la industria de tarjetas de pago, lo que significa el estándar de seguridad de datos de la industria de tarjetas de pago. PCI DSS fue desarrollado por PCI SSC (Payment Card Industry Security Standards Council). Los miembros fundadores del PCI SSC Council (Visa, MasterCard, American Express, JCB International y Discover Financial Services) acordaron adoptar un estándar de seguridad común como parte de los requisitos técnicos para cada uno de sus programas de cumplimiento de seguridad de datos. Además, cada miembro fundador reconoce Auditores de seguridad calificados PCI SSC(Asesores de seguridad calificados, QSA) y proveedores de escaneo aprobados(Proveedores de escaneo aprobados, ASV). Este último incluye a nuestro socio Comodo, cuyo servicio de escaneo autorizado Servicio de escaneo PCI HackerGuardian pronto estará disponible para ordenar en nuestro sitio web.

¿Quién necesita la certificación PCI DSS?

Toda persona que trabaje con tarjetas de pago o de cualquier forma influya en su seguridad debe cuidar la seguridad de los datos de las tarjetas de pago, y estos pueden ser:
  • Empresas comerciales y de servicios de cualquier tamaño.
  • Instituciones financieras
  • Proveedores de terminales de punto de venta
  • Fabricantes de hardware y software, en una palabra, todos aquellos que crean y utilizan la infraestructura internacional para procesar pagos.

Por lo tanto, los requisitos de los estándares PCI DSS se aplican a todas las organizaciones, independientemente de su tamaño o la cantidad de transacciones que reciben, transfieren, procesan o almacenan cualquier información de los titulares de tarjetas de crédito, o si los procesos comerciales en estas organizaciones pueden afectar la seguridad de tarjetas de pago. .

Requisitos de PCI DSS

La certificación PCI DSS implica el cumplimiento del estándar, que consta de 12 secciones de requisitos integrales para garantizar la seguridad de la información sobre los propietarios de las tarjetas de pago con las que trabajan los comerciantes y proveedores de servicios. El cumplimiento de los requisitos del estándar PCI implica una implementación integral de medidas para garantizar la seguridad en cada paso del trabajo con tarjetas de pago, desde la transferencia de datos hasta su almacenamiento en las bases de datos de la empresa.
Objetos de control Requisitos de PCI DSS
Creación y mantenimiento de una red segura 1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas de pago
2. Cancelar la configuración predeterminada para sistemas de contraseñas y otras configuraciones de seguridad
Protección de datos de los titulares de tarjetas de pago 3. Protección de los datos recibidos de los titulares de tarjetas de pago
4. Cifrado de la transmisión de datos de titulares de tarjetas de pago a través de redes públicas abiertas
Apoyo al programa de gestión de vulnerabilidades 5. Use y actualice regularmente el software antivirus en todos los sistemas que comúnmente se ven afectados por el malware
6. Desarrollo y soporte de sistemas y aplicaciones seguras
Implemente un fuerte control de acceso 7. Restricción del acceso a los datos de los titulares de tarjetas de pago en función de la necesidad de conocerlos
8. Asignar un número de identificación único a cada persona con acceso a una computadora
9. Restricción del acceso físico a los datos de los titulares de tarjetas de pago
Monitoreo y verificación regular de las redes 10. Seguimiento y monitoreo de acceso a recursos de red y datos de titulares de tarjetas de pago
11. Revisión periódica de los sistemas y procesos de seguridad
Soporte de políticas de seguridad de la información 12. Apoyo a políticas destinadas a garantizar la seguridad de los datos
Puede leer los estándares PCI DSS más actualizados y completos en el sitio web oficial del Consejo de Estándares de Seguridad en el enlace: https://en.pcisecuritystandards.org

Niveles de certificación PCI DSS

La certificación PCI DSS define cuatro niveles de comercio y empresas de servicios Y dos niveles de proveedores de servicios dependiendo del número de transacciones con tarjetas de pago Visa (incluyendo tarjetas de crédito, débito y prepago) dentro de 12 meses.

Visa define los siguientes niveles de comerciantes:

Nivel Descripción La certificación PCI DSS incluye:
4 Comerciantes que procesan menos de 20,000 transacciones de comercio electrónico por año, y Todos los demás comerciantes que no figuran en los otros niveles que procesan hasta 1 millón de transacciones por año, independientemente del canal de recepción. Anualmente: se recomienda completar el Cuestionario de autoevaluación de seguridad (SAQ); Trimestral: se recomienda exploración ASV; El banco adquirente determina los requisitos de cumplimiento.
3 Comerciantes que procesan entre 20 000 y 1 millón de transacciones de comercio electrónico al año.
2 Comerciantes que procesan de 1 a 6 millones de transacciones por año, independientemente del canal de recepción. Anualmente: Completar el Cuestionario de Autoevaluación de Seguridad (SAQ); Trimestral: se recomienda escanear ASV.
1 Comerciantes que procesan más de 6 millones de transacciones al año, independientemente del canal para recibirlas. Anualmente: una auditoría por parte de un auditor de seguridad aprobado (QSA); Trimestral: análisis de vulnerabilidades ASV.

Las soluciones de pago móvil aún no están ampliamente representadas en el mercado mundial y en nuestro país en particular. Sin embargo, el interés en tales soluciones por parte de los desarrolladores de fintech, las empresas y las empresas comerciales y de servicios crece cada año.

Andrey Gaiko
Auditor de seguridad digital certificado por QSA

¿Qué es mPOS?

La solución de pago móvil (mPOS) consta de los siguientes componentes principales:

  • dispositivo móvil: un teléfono inteligente o tableta al que está conectado el lector;
  • aplicación de pago para un dispositivo móvil: software a través del cual el vendedor ingresa datos para el pago e intercambia datos con el procesamiento. Asimismo, a través de este software, es posible verificar al titular de la tarjeta mediante una firma;
  • lector - se distinguen dos tipos de lectores: dispositivo de entrada de PIN (PED), un lector de tarjetas y un dispositivo de entrada de código PIN. Se conecta a un dispositivo móvil a través de Bluetooth, conector de audio o mini-USB; Lector de tarjetas seguras (SCR), un lector de tarjetas. Por lo general, se conecta a un dispositivo móvil a través de un conector de audio.

Por una solución de pago móvil nos referimos a una plataforma de software y hardware para comerciantes (en adelante, comerciantes), que permite aceptar pagos de personas que utilizan un teléfono inteligente/tableta y un lector conectado a él. A través de mPOS, es posible aceptar pagos tanto de forma sin contacto (con una tarjeta bancaria cargada en el teléfono móvil del cliente con soporte NFC (en adelante, la tarjeta NFC), o una tarjeta bancaria sin contacto), como con tarjetas de plástico ordinarias (con banda magnética y/o chip EMV).

Además de las funciones de lectura segura de tarjetas y entrada de código PIN, mPOS debe admitir todos los métodos principales de verificación del titular de la tarjeta, cifrado de datos durante la transmisión entre componentes y la parte de procesamiento del sistema, así como la capacidad de imprimir cheques o enviarlos. a través de SMS y correo electrónico.

Del lado del proveedor de servicios o del banco adquirente, que se dedican a recibir y procesar datos para pagos de mPOS, se utiliza un sistema de back-end (pasarela de pago), similar a los que se usan en Internet o en la adquisición de POS regular.

Para comprender cuáles deben ser los requisitos de seguridad, a nivel técnico, es necesario determinar los componentes principales del ecosistema mPOS y los flujos de información existentes. Para comprender la responsabilidad de las entidades del ecosistema mPOS por la seguridad de los pagos a nivel empresarial, es necesario determinar los modelos de negocio existentes de los participantes en el proceso de pago.

El esquema de flujos de información contiene 8 etapas principales (ver Fig. 1):

  • etapa 1. El empleado comerciante conecta el lector a un dispositivo móvil (smartphone o tablet) con conexión a Internet. Inicia una aplicación móvil especial e ingresa información sobre la compra y el monto del pago en ella;
  • etapa 2. El cliente inserta, enrolla o acerca una tarjeta bancaria al lector. En el caso de una tarjeta NFC, el cliente abre la aplicación Wallet en su smartphone, selecciona una tarjeta bancaria válida y acerca el smartphone al lector. Dependiendo de la configuración de la tarjeta, se le pedirá que ingrese un código PIN. En este caso, el cliente ingresa el PIN utilizando el PIN-pad, que puede estar integrado en el lector;
  • etapa 3. El lector lee los datos de la tarjeta, los cifra y los transfiere al dispositivo móvil del empleado del comerciante;
  • etapa 4. El dispositivo móvil del empleado envía datos encriptados a la pasarela de pago, y los datos se transfieren desde la pasarela de pago al sistema de adquisición. Además de los datos de la tarjeta, según la configuración, también se puede transmitir información sobre mPOS, transacciones, productos o servicios comprados;
  • etapa 5. La solicitud de autorización del sistema adquirente se transmite al MPS. Después de procesar la solicitud, el resultado (aceptado o rechazado) se devuelve al sistema adquirente. Si la tarjeta con la que se realiza el pago es emitida por el mismo banco a través del cual se realiza la adquisición, entonces la solicitud no se transmite a la IPS;
  • paso 6. El resultado de la solicitud de autorización se transmite al dispositivo móvil;
  • paso 7. Si la tarjeta requiere la firma de su propietario, se muestra el formulario correspondiente en la aplicación móvil y el cliente firma (con un lápiz óptico o un dedo);
  • paso 8. El empleado del comerciante en la aplicación de pago móvil selecciona el método para enviar un cheque al cliente. Es posible enviar por SMS, correo electrónico o imprimir a una caja registradora local.

Las siguientes empresas pueden participar en la implementación del proceso descrito anteriormente:

  • Desarrolladores de dispositivos mPOS: desarrollen y produzcan hardware que lea de forma segura los datos de la tarjeta y el código PIN;
  • desarrolladores de software de pago para un dispositivo móvil y/o pasarela de pago: desarrollar software de cliente para un comerciante y, posiblemente, software para una pasarela de pago;
  • desarrolladores de plataformas: empresas de desarrollo que crean una única parte de hardware y software de una solución mPOS para su posterior venta a proveedores o adquirentes de servicios de soluciones mPOS;
  • Proveedores de servicios de soluciones mPOS: empresas que producen el producto final para los comerciantes. Las empresas de este tipo son bancos adquirentes o los llamados intermediarios de pago (facilitadores de pago). Estas empresas pueden desarrollar de forma independiente todos los componentes de la solución de pago móvil o licenciar componentes individuales de diferentes fabricantes e integrarlos entre sí. Los intermediarios de pago, con la excepción de los bancos adquirientes, son un cruce entre un proveedor de servicios y un comerciante. Sus clientes son comerciantes, para quienes la interacción con el banco adquirente se convierte en un proceso transparente, ya que el intermediario de pago es responsable de las liquidaciones con el comerciante;
  • distribuidores: empresas que promocionan ciertas soluciones mPOS de varios fabricantes en el mercado y realizan la función de revender la solución mPOS del comerciante;
  • proveedor de servicios de pago (empresa de procesamiento, pasarela de pago): una empresa que es un intermediario entre el proveedor de servicios de soluciones mPOS y el banco adquirente. Proporciona interacción de información entre el dispositivo móvil del comerciante y el adquirente;
  • adquirente – un banco adquirente o un centro de procesamiento conectado al IPS, que proporciona la autorización de pago. Los bancos adquirentes con los que cooperan los proveedores de servicios de soluciones mPOS se pueden utilizar para liquidaciones con comerciantes.

Cabe señalar que la empresa puede realizar no solo uno de los roles especificados. Es posible que una empresa pueda desarrollar completamente todos los componentes de software y hardware de una solución mPOS. Dependiendo de qué funciones realizará la empresa, depende de qué requisitos de seguridad debe cumplir.

Las listas de los principales componentes y tipos de modelos comerciales se proporcionan para comprender cómo se debe delimitar la responsabilidad de cumplir con los requisitos de seguridad entre todos los participantes en el ecosistema mPOS.

Tipos de certificación

Visa emitió las primeras Pautas de seguridad de pagos móviles en 2011. Proporcionaron recomendaciones generales para desarrolladores y comerciantes con respecto a la seguridad del uso de soluciones de pago móvil. En 2012, el PCI SSC emitió pautas más detalladas para los desarrolladores. En la actualidad, la IPU y el PCI SSC emiten avisos de seguridad de mPOS actualizados casi todos los años.

Además de las recomendaciones, Visa y MasterCard han desarrollado programas de certificación para proveedores de soluciones de pago móvil. De hecho, ambos programas son bastante similares, y con una alta probabilidad se puede argumentar que el desarrollo de una solución de acuerdo con los requisitos de uno de los MEA puede ser certificado por el otro. Ambos MPS mantienen registros de empresas certificadas y soluciones mPOS.

Estándares PCI SSC

PCI DSS
En la nueva versión del estándar, han aparecido nuevos requisitos, que son muy bienvenidos en lo que respecta a la seguridad de mPOS. En particular, se agregó la cláusula 9.9 en la sección 9, según la cual es necesario llevar un registro de los lectores de tarjetas, así como realizar capacitaciones periódicas a los empleados/usuarios que dan servicio a los dispositivos para poder detectar mPOS spoofing u otras señales. de desnatado. En el caso de los proveedores de servicios de soluciones de mPOS o las empresas adquirentes, al proporcionar lectores con lectores, deberán desarrollar recomendaciones e instrucciones para protegerse contra el robo y llamar la atención de los empleados comerciales. Como parte del Requisito 12.8, los proveedores de servicios y los adquirentes a nivel contractual pueden exigir a los comerciantes que cumplan con los requisitos de seguridad de mPOS relevantes.

A pesar de que el cumplimiento de la mayoría de los requisitos de seguridad recae en diversos prestadores de servicios y bancos, los bancos adquirentes tienen derecho a exigir al Comercio el llenado de hojas de autoliquidación (SAQ) del tipo correspondiente (SAQ P2PE-HW en el caso de un Comerciante que usa una solución P2PE, SAQ B-IP cuando usa mPOS con un lector certificado PCI PTS). La tabla enumera los componentes de las soluciones mPOS, el estándar relevante que debe cumplir el componente y la empresa responsable de implementar los requisitos.

El requisito 12.8 también es relevante cuando el software de la solución mPOS para el proveedor de servicios es desarrollado por un tercero. En este caso, el cumplimiento del requisito 6.5 recae íntegramente sobre los hombros de la empresa promotora. Al mismo tiempo, si la empresa desarrolladora no cumple con los requisitos, el proveedor de servicios no podrá pasar la auditoría de cumplimiento de PCI DSS. Los contratos entre los proveedores de servicios (adquirentes) y los desarrolladores deben contemplar el tema de la auditoría de ciertos procesos comerciales de la empresa desarrolladora en caso de que el proveedor de servicios apruebe la certificación PCI DSS anual; el proceso de desarrollo se incluirá en el alcance de la auditoría del proveedor de servicios. Lo mismo ocurre en el caso de la externalización de otros servicios. En general, la confirmación de un tercero del cumplimiento de los requisitos de PCI DSS en la parte relacionada con ella se puede proporcionar mediante la autocertificación de los procesos comerciales necesarios de acuerdo con PCI DSS, seguida de la provisión de certificados de verificación aprobada con éxito, o proporcionando la oportunidad de auditar el proceso comercial como parte de una auditoría de servicios proveedor (adquiriente).

Cabe señalar que en nuestro país, la auditoría de desarrolladores como parte de la auditoría de la empresa cliente es bastante rara. Los desarrolladores pueden garantizar verbalmente el conocimiento y la aplicación de métodos de desarrollo seguro, pero en realidad no tienen los conocimientos necesarios y no siguen los procedimientos adecuados. Con el lanzamiento de la nueva versión de PCI DSS, las cosas deberían cambiar, ya que los requisitos se han detallado y los procedimientos de verificación especificados en el texto de la norma obligan al auditor de QSA a realizar verificaciones más profundas.

PTS PCI
El estándar PCI PTS regula los requisitos de seguridad para los dispositivos de punto de interacción (POI) y los módulos de seguridad de hardware (HSM). El lector conectado al dispositivo móvil es el POI. Como se mencionó anteriormente, las soluciones mPOS utilizan dos clases de puntos de interés: dispositivo de entrada de PIN (PED) y lector de tarjetas seguro (SCR). En función del tipo de PDI al que pertenezca el lector, se determinan los grupos de requisitos PCI PTS que debe cumplir el dispositivo.


Actualmente, algunas soluciones mPOS que se ofrecen en el mercado nacional utilizan lectores de fabricantes sin nombre. El uso de tales lectores no garantiza la transferencia segura de datos entre dispositivos y permite transferir el número de tarjeta al dispositivo móvil en texto claro. Por lo tanto, al elegir una solución mPOS, debe asegurarse de que el proveedor de servicios ofrezca un lector certificado PCI PTS.

Existen dos modelos de negocio de desarrollo de software cliente: desarrollo para proyecto propio, cuando el desarrollador crea una solución mPOS y la lleva al mercado bajo su propia marca: en este caso, el desarrollador será el proveedor de servicios de la solución mPOS; - y el desarrollo de una solución final para su posterior licenciamiento por parte de empresas que integran componentes de diferentes fabricantes entre sí y crean sus propias soluciones mPOS basadas en ellos.

PA-DSS
Para soluciones mPOS, PA-DSS es obligatorio aplicable al firmware de dispositivos que leen datos de tarjetas. Para el software instalado en un dispositivo móvil de un empleado comercial, este estándar es una recomendación. Esto se debe a que el dispositivo móvil es un entorno no confiable y mal controlado. Por ejemplo, un dispositivo puede tener jailbreak, lo que reduce la seguridad del dispositivo en un orden de magnitud y no garantiza la seguridad de la aplicación de pago instalada. Es por eso que el Ministerio de Ferrocarriles prohíbe el uso de dispositivos móviles para ingresar un código PIN y exige que los datos del lector lleguen al software móvil en forma encriptada y luego se transmitan al adquirente de la misma forma. En este caso, los datos de la tarjeta de pago no se procesarán ni almacenarán de forma abierta en un dispositivo móvil, lo que significa que no se aplican los requisitos de las PA-DSS.

La versión 3.0 del estándar introdujo nuevos requisitos a los que los desarrolladores de firmware para lectores y aplicaciones de pago en caja deben prestar atención en primer lugar. En primer lugar, cada actualización que se publica debe someterse a una certificación independiente. En segundo lugar, ahora los clientes deben usar solo aquellas versiones (actualizaciones) de software que están certificadas y enumeradas en el sitio web del PCI Council.


PCI P2PE
Hace relativamente poco tiempo, se lanzó un nuevo estándar de seguridad PCI P2PE. El estándar está destinado a soluciones que brindan protección criptográfica de datos durante su transferencia entre todos los componentes de la solución de pago. En el caso del cifrado, el alcance del estándar en el comercio se reduce a un nivel mínimo, ya que el comercio no tiene la capacidad de obtener datos sobre los tarjetahabientes en texto claro.

La lista de todos los componentes principales del ecosistema mPOS incluye:

  • dispositivo de lectura;
  • aplicación de pago para un dispositivo móvil;
  • pasarela de pago;
  • sistema de adquisición conectado al MPS.

A diferencia de PCI DSS, que se aplica solo a la infraestructura de la información, PCI P2PE es más completo y se aplica no solo a la infraestructura, sino también a los lectores y el software de los terminales POI (en el apéndice de mPOS, estos son lectores). El estándar consta de 6 dominios, cuyos requisitos se basan en los estándares PCI actuales: los lectores deben cumplir con los requisitos PCI PTS SRED; software de lectura - PA-DSS; gestión de claves de cifrado: requisitos de seguridad del PIN PCI; infraestructura de información de pago del comerciante - PCI DSS. Si la solución cuenta con la certificación PCI P2PE, significa que los datos entre todos los subsistemas (desde el lector hasta el dispositivo móvil en el software, desde el software hasta el procesamiento y más allá) se transmiten en forma encriptada, y todos los subsistemas cumplen con los requisitos de los estándares PCI relevantes.

De acuerdo con los requisitos de P2PE, se pueden certificar tanto los componentes individuales como las soluciones listas para usar.

El MPS recomienda utilizar soluciones P2PE para aceptar pagos mPOS. Sin embargo, la dificultad radica en que actualmente existen pocas soluciones de este tipo en el mercado, por lo que MPS no exige, pero sí recomienda utilizar soluciones PCI P2PE y guiarse por ellas a la hora de desarrollar. Sin embargo, los proveedores de servicios de soluciones de pago mPOS deben estar preparados para el hecho de que MPS pronto requerirá la certificación PCI P2PE obligatoria de sus soluciones mPOS.

Sobre el estándar

PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) es un estándar de seguridad de datos de la industria de tarjetas de pago desarrollado por el Consejo de estándares de seguridad de la industria de tarjetas de pago (PCI SSC), que fue establecido por Visa, MasterCard, American Express, JCB y Discover.

Los requisitos de la norma se aplican a todas las empresas que trabajan con sistemas de pago internacionales: bancos, empresas comerciales y de servicios, proveedores de servicios tecnológicos y otras organizaciones cuyas actividades están relacionadas con el procesamiento, transmisión y almacenamiento de datos sobre titulares de tarjetas de pago.

PCI DSS - Guía de seguridad completa

El estándar PCI DSS establece requisitos para la seguridad de los componentes de la infraestructura en los que se transmite, procesa o almacena información sobre tarjetas de pago. La verificación de la infraestructura de pago para el cumplimiento de estos requisitos revela las razones que reducen significativamente el nivel de su seguridad. Las pruebas de penetración, que se incluyen en la lista de medidas obligatorias reguladas por el estándar PCI DSS, muestran el nivel real de seguridad de los recursos de información de la empresa tanto desde la posición de un atacante que se encuentra fuera del perímetro investigado, como desde la posición de un empleado de la empresa que tiene acceso "desde el interior".

El PCI DSS Council ha formulado requisitos clave de protección de datos en el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Requisitos y procedimientos para la evaluación de la seguridad. Versión 3.0". Estos requisitos se agrupan de forma que se simplifica el procedimiento de auditoría de seguridad.

Descargar PCI DSS en ruso.

Procedimientos y requisitos de evaluación de seguridad de PCI DSS

Construir y mantener redes y sistemas seguros.

  • Requisito 1: "Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta".
  • Requisito 2. "No utilizar contraseñas para sistemas y otras configuraciones de seguridad establecidas por el fabricante por defecto".

Proteja los datos del titular de la tarjeta

  • Requisito 3: "Proteger los datos almacenados del titular de la tarjeta".
  • Requisito 4: cifrar los datos del titular de la tarjeta en tránsito a través de redes públicas.

Mantener un programa de gestión de vulnerabilidades.

  • Requisito 5: "Proteja todos los sistemas contra malware y actualice regularmente el software antivirus".
  • Requisito 6: “Desarrollar y mantener sistemas y aplicaciones seguros”.

Implementar fuertes medidas de control de acceso

  • Requisito 7: "Restringir el acceso a los datos del titular de la tarjeta según sea necesario".
  • Requisito 8: “Identificar y autenticar el acceso a los componentes del sistema”.
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.

Realizar monitoreo y pruebas regulares de las redes.

  • Requisito 10: "Rastrear y monitorear todos los accesos a los recursos de la red y los datos del titular de la tarjeta".
  • Requisito 11: “Probar regularmente los sistemas y procesos de seguridad”

Mantener la política de seguridad de la información.

  • Requisito 12: “Mantener una política de seguridad de la información para todos los empleados”.

Prospective Monitoring ayuda a los bancos, comerciantes y desarrolladores de servicios financieros a prepararse para una auditoría de cumplimiento de PCI DSS y brinda soporte experto para cumplir con los requisitos del estándar.

№ 4 (180) ’2012

Los años de implementación del estándar PCI DSS en Rusia ya han dado sus frutos en forma de infraestructuras certificadas de empresas que participan en el proceso de pago. Sin embargo, como cualquier otra área temática, en los últimos años, el tema PCI DSS ha adquirido una gran cantidad de preguntas no triviales. Me gustaría presentar a su atención el primer artículo de la serie dedicada a la descripción general de la industria de tarjetas de pago y el sistema de certificación PCI DSS. Para los profesionales de la industria, algunos puntos parecerán obvios, pero mi objetivo es brindarle al lector una descripción coherente.

Industria de tarjetas de pago

Para traer a un denominador común la terminología y los conceptos básicos que se discutirán en una serie de artículos sobre la gestión del cumplimiento de PCI DSS, ofrezco una breve descripción general de la industria de pagos. Mucha de la información en esta revisión es sin duda obvia para muchos lectores. Se sabe que los sistemas de pago internacionales Visa y MasterCard son comunidades de bancos emisores que emiten tarjetas de pago y bancos adquirentes que aceptan transacciones de pago utilizando estas tarjetas. Los bancos tienen diferentes niveles de participación en los sistemas de pago y se dividen en miembros principales y miembros afiliados. Las transacciones de pago de las tiendas y otros puntos de venta minorista pueden ir a los bancos adquirientes directamente oa través de pasarelas de pago. Todos los participantes en la industria de tarjetas de pago desde el punto de vista de los sistemas de pago internacionales se dividen en dos categorías: empresas comerciales y de servicios, también son comerciantes (del comerciante inglés - comerciante) y proveedores de servicios. Los comerciantes son todas las empresas que aceptan tarjetas de pago como forma de pago de sus bienes o servicios. Ejemplos de tales empresas son las tiendas minoristas y en línea, los restaurantes, las peluquerías, las gasolineras, etc. Los proveedores de servicios son empresas que brindan un servicio, con mayor frecuencia en el campo de la tecnología de la información, que facilita las transacciones de pago. Estos son bancos, pasarelas de pago, centros de datos, proveedores de servicios de emisión de tarjetas y otras organizaciones que se ocupan del proceso de pago. La estructura de la industria se muestra claramente en la Figura 1.

Cabe recordar que los sistemas de pago internacionales asignan toda la responsabilidad de garantizar la seguridad de los datos en la industria de las tarjetas de pago a los bancos adquirentes. Son responsables de la seguridad de los datos de la tarjeta que les llegan de organizaciones posteriores: comerciantes y proveedores de servicios. Es decir, por la filtración de la lista de números de tarjetas en la infraestructura de información de la tienda, el banco adquirente será responsable ante los sistemas de pago internacionales. Existen mecanismos para cambiar la responsabilidad en la industria de las tarjetas de pago, como el uso de la tecnología 3-D Secure, pero aquí se debe distinguir entre la responsabilidad por transacciones fraudulentas y la responsabilidad por la fuga de datos de la tarjeta.

Arroz. 1. Comerciantes y proveedores de servicios

Estándares PCI DSS y PCI PA-DSS

Después de unir esfuerzos en la lucha contra las violaciones de la seguridad de las transacciones de pago, los sistemas de pago internacionales crearon en 2006 un organismo regulador internacional común en el campo de la seguridad de las tarjetas de pago: el Consejo PCI SSC. Esta organización tiene encomendada la tarea de desarrollar los estándares PCI DSS, PCI PA-DSS y PCI PTS, así como la capacitación, certificación y control de calidad del trabajo de los auditores de seguridad - auditores QSA.

A lo largo de los años de existencia de los estándares, se ha discutido si la estandarización de las reglas de seguridad de la información basadas en el principio de una tarjeta de control, es decir, una lista de medidas específicas, es la mejor manera de proteger los datos de la tarjeta, o ¿Es una formalidad innecesaria? Después de todo, existe un enfoque basado en riesgos positivamente probado, en el que no existe una lista preestablecida de medidas, pero existe una regla para evaluar regularmente las amenazas actuales e identificar las vulnerabilidades del sistema protegido. La solución a este dilema es que estandarizar la lista de medidas específicas siguiendo el ejemplo de PCI DSS es útil en el nivel de madurez del sistema de seguridad de la información, cuando el sistema de gestión basado en riesgos aún no ha completado un número suficiente de iteraciones del sistema. ciclo "análisis de riesgos - implementación de contramedidas - evaluación - ajuste" para formar una defensa eficaz. Un ejemplo es cómo una madre le enseña a su bebé a no tocar la superficie caliente de la plancha. Hasta que el niño no haya estudiado suficientemente el hierro, o no haya recibido la dolorosa experiencia del tacto, la única forma de tratar de evitar una quemadura solo puede ser las palabras de una madre adulta, diciendo: “no toques el hierro, ¡dolerá!".

PCI DSS es aplicable a organizaciones que procesan, almacenan y transmiten datos de titulares de tarjetas. De cara al futuro, es necesario aclarar que las tiendas en línea que no procesan números de tarjeta en su sitio, sino que reenvían al cliente al sitio de una pasarela de pago subcontratada para realizar un pago, también se encuentran bajo la certificación PCI DSS. Sin embargo, desde el punto de vista del método de confirmación del cumplimiento, les es aplicable el cuestionario más simple (SAQ) de tipo “A”, que contiene solo trece procedimientos de verificación de doscientos ochenta y ocho disponibles en el PCI DSS versión 2.0 estándar.

El objeto de aplicación del estándar PA-DSS relacionado, a diferencia de PCI DSS, es una aplicación de pago específica desarrollada para la venta a un círculo ilimitado de usuarios finales, participantes en la industria de tarjetas de pago. Ejemplos de tales aplicaciones son módulos de software de terminales POS, aplicaciones de autorización, así como otras soluciones en caja para procesar transacciones con tarjeta. Desde julio de 2012, de acuerdo con los requisitos de los sistemas de pago internacionales Visa y MasterCard, los comerciantes deben utilizar solo aplicaciones de pago certificadas según el estándar PA-DSS. El control sobre el cumplimiento de este requisito se asigna a los bancos adquirentes. Hay una lista de trece preguntas que le permite decir con mayor precisión si la solicitud está incluida en el programa de certificación PA-DSS o no. Este documento está disponible en el sitio web oficial del PCI SSC Council.

Implementación de PCI DSS

Un proyecto de implementación de PCI DSS clásico en una organización generalmente consta de los siguientes pasos:

  • Análisis de cumplimiento de línea de base
  • Llevar al nivel requerido de cumplimiento
  • Confirmación de cumplimiento
  • Soporte de cumplimiento

Cualquiera de estas etapas puede ser realizada tanto por la propia organización como por un consultor involucrado. La única acción que no se puede realizar de forma independiente es una auditoría de certificación externa, si la organización lo requiere.
La mejor opción y la más utilizada en la práctica es cuando parte del trabajo lo realiza la propia organización y otra parte se subcontrata a un consultor externo.

El esquema de dicho proyecto se muestra en la Figura 2. El trabajo sobre la evaluación inicial de la conformidad y el desarrollo de recomendaciones para cumplir con los requisitos de la norma los lleva a cabo un consultor involucrado, y se lleva a cabo la implementación directa de cambios en los sistemas de información. por los administradores del sistema de la organización del cliente. Al mismo tiempo, el consultor brinda apoyo y prepara la documentación de acompañamiento necesaria para la certificación. A esto le siguen los controles finales de seguridad de la infraestructura de la información y el procedimiento para confirmar el cumplimiento del estándar.

Arroz. 2. Proyecto típico para la implementación de PCI DSS

Por separado, se debe decir acerca de las opciones para confirmar el cumplimiento del estándar PCI DSS. Para los participantes en la industria de las tarjetas de pago, hay tres formas de confirmar el cumplimiento: una auditoría externa, una auditoría interna y el llenado de una hoja de autoevaluación. Una auditoría externa la realiza un empleado de una organización de auditoría externa (Asesor de seguridad calificado, QSA), certificado por el PCI SSC. Una auditoría interna es realizada por un auditor PCI SSC (Evaluador de Seguridad Interna, ISA) capacitado y certificado. La tercera opción de confirmación la realizan de manera independiente los empleados de la organización mediante el llenado de un cuestionario de autoevaluación (Self-Assessment Questionnaire, SAQ). Las reglas que rigen exactamente cómo se confirma el cumplimiento del estándar están determinadas por los sistemas de pago internacionales individualmente para diferentes tipos de comerciantes y proveedores de servicios, pero pueden ser anuladas por los bancos adquirientes. La versión actual de las reglas en forma general siempre está disponible en los sitios web oficiales de los sistemas de pago internacionales.

Cabe señalar que la forma de la hoja de autoevaluación del SAQ puede ser de varios tipos (A, B, C, C-VT, D), y la elección del tipo de hoja depende de las características específicas del procesamiento de datos de la tarjeta en la organización. El esquema de aplicabilidad de varias opciones para confirmar el cumplimiento se muestra en la tabla.

En el próximo artículo del ciclo de Gestión de cumplimiento de PCI DSS, hablaré sobre cómo determinar el alcance de PCI DSS en la infraestructura de información de una organización, métodos para reducirlo para reducir los costos de implementación del estándar y también responder a la pregunta de si el proceso de emisión de tarjetas de pago está sujeto a auditoría de certificación.

Mesa. Opciones de cumplimiento de PCI DSS

Opción Aplicabilidad Número de procedimientos de verificación
SAQ A Comerciantes que realizan transacciones sin tarjeta presente que han delegado todas las funciones de procesamiento electrónico, almacenamiento y transferencia de datos de tarjeta a un proveedor de servicios que ha confirmado el cumplimiento de PCI DSS. 13
SAQ B Comerciantes que usan terminales POS, usan una línea telefónica, no transmiten datos de tarjetas a través de Internet y no tienen almacenamiento electrónico de datos de tarjetas. 29
SAQ C Comerciantes que utilizan terminales POS o aplicaciones de pago que transfieren datos de tarjetas a través de Internet y no tienen almacenamiento electrónico de datos de tarjetas. 40
SAQ C-VT Comerciantes que utilizan terminales web virtuales a través de Internet de un proveedor de servicios que ha confirmado el cumplimiento de PCI DSS y no tienen almacenamiento de datos de tarjetas electrónicas. 51
SAQD Todos los comerciantes y todos los proveedores de servicios, excepto aquellos que, de acuerdo con los requisitos de la UIP o adquirente, necesiten una auditoría ISA o QSA. 288
auditoría NIA Todos los comerciantes, excepto aquellos que, de acuerdo con los requisitos del MPS o del adquirente, necesiten una auditoría QSA. 288
Auditoría QSA Todos los comerciantes y todos los proveedores de servicios. 288

En varias publicaciones anteriores, ya hemos considerado algunos estándares internacionales en el campo de la seguridad de la información. Sin embargo, eran predominantemente en casa , es decir. infraestructura interna de la empresa. La comprensión más clara de la seguridad de la información surge cuando la seguridad está directamente relacionada con las finanzas, cuando muestra su impacto significativo en los negocios en números. Por ello, hoy hablaremos de la seguridad en entidades financieras como bancos, entidades de crédito, agentes de pago, etc. Todos ellos están involucrados en transferencias de dinero, lo que significa que están dentro del estándar de la industria.PCI DSS(estándar de seguridad de datos de la industria de tarjetas de pago)


Estándar PCI DSS está diseñado para garantizar la seguridad del procesamiento, almacenamiento y transmisión de datos sobre los titulares de tarjetas de pago en los sistemas de información de las empresas que trabajan con sistemas de pago internacionales Visa , tarjeta maestra y otros. El estándar es desarrollado por la comunidad. Consejo de Normas de Seguridad PCI, que incluye líderes mundiales en el mercado de tarjetas de pago, como American Express, Descubra los servicios financieros, JCB, MasterCard en todo el mundo Y visa internacional. Requisitos estándar PCI DSS desparramar para todas las empresas que traten, almacenen o transmitan datos de los titulares de tarjetas de pago (bancos, centros de procesamiento, proveedores de servicios, sistemas de comercio electrónico, etc.). En Rusia, el cumplimiento de la norma. PCI DSS convertirse obligatorio para su uso en organizaciones relevantes desde 2007.

Según los resultados del estudio mason de analisis, aproximadamente el 42% de los proveedores de servicios en la nube cumplen con los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS, estándar de seguridad de datos de la industria de tarjetas de pago). Operan en todo el mundo y se aplican a todas las organizaciones que procesan tarjetas de crédito y también almacenan o transmiten información sobre sus titulares. Este estándar se introdujo para dar a la industria de las tarjetas de pago un mayor control sobre los datos confidenciales y evitar que se filtren. También tiene como objetivo garantizar que los consumidores estén protegidos contra el fraude o el robo de identidad cuando usan tarjetas de crédito.

Según las clasificaciones de Visa y MasterCard, los sistemas que procesan, almacenan o transmiten más de 6 millones de transacciones por año se clasifican como primer nivel (Nivel 1) y se requieren anualmente ser auditado .

HISTORIA DEL DESARROLLO DEL ESTÁNDAR

1.0 es la versión original del estándar.

1.1 - adoptado en septiembre de 2006.

1.2 - adoptado en octubre de 2008.

2.0 - adoptado en octubre de 2010.

3.0 - adoptado en noviembre de 2013.

3.1 - adoptado en abril de 2015.

PCI DSS versión 3.0

"La nueva versión de PCI-DSS 3.0 hará que el estándar sea una parte integral de las operaciones comerciales normales", dijo a eWeek Bob Russo, director ejecutivo del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). — Queremos intentar que la gente deje de creer que PCI-DSS se puede tratar una vez al año y luego no pensar en ello. En una situación real, a menudo se producen lagunas.

PCI-DSS a menudo se veía como nada más que una base para verificar el cumplimiento de una empresa, donde puede marcar que todo está en orden en este momento y pasar tranquilamente a otros asuntos. Bob Russo enfatizó que en el nuevo estándar PCI-DSS 3.0 hay un énfasis en la educación y la política, haciendo de la seguridad de pago una tarea diaria y un elemento de un orden mantenido constantemente. La conclusión es que el estándar ayudará a lograr un control orientado a procesos más consistente, lo cual es especialmente importante para las grandes organizaciones. Y también fortalece el enfoque en la rendición de cuentas continua, no solo en las auditorías PCI-DSS ocasionales.

Una de las críticas al estándar PCI-DSS es la falta de claridad en sus disposiciones. Por ejemplo, un estándar puede requerir que una organización implemente un firewall de aplicaciones web (WAF) sin detallar la configuración requerida del firewall o incluso explicar por qué es necesario. Estas críticas fueron expresadas de forma clara y aguda por los miembros del PCI SCC, y esto requirió el desarrollo de un estándar nuevo y mejorado.

En versiones anteriores del estándar, siempre había dos columnas que explicaban un requisito de control de seguridad particular. La primera columna indicaba el requisito y la segunda daba detalles del procedimiento de prueba. PCI-DSS 3.0 debería tener una tercera columna, que según Leach contendrá ejemplos de la vida real de los riesgos que este control de seguridad está diseñado para mitigar.

Entonces, en el caso de WAF, el nuevo estándar explicará qué puede hacer esta tecnología y qué tipos de riesgos puede ayudar a mitigar.

Uno de los cambios importantes en el estándar PCI-DSS 3.0 está relacionado con el uso de contraseñas. En los últimos tres años, PCI SCC ha llevado a cabo una serie de estudios de seguridad de contraseñas que han ayudado a formular nuevos requisitos.

Uno de los requisitos de PCI-DSS 3.0 que los minoristas deberán cumplir es la detección oportuna de código malicioso. Se agregó la Regulación 5.1.2 para garantizar que cualquier persona que procese datos de tarjetas de pago tenga un proceso sólido de gestión de riesgos en esta área.

PCI-DSS 3.0 ha enfatizado constantemente la necesidad de flexibilidad en la gestión de la seguridad, que debe lograrse en una variedad de formas que se mejoran constantemente.

PCI DSS versión 2.0

El 28 de octubre de 2010 vio el lanzamiento de una nueva versión del estándar PCI DSS , a saber, la versión 2.0. Es difícil llamar radicales a los cambios introducidos en el documento que regula la industria, son principalmente de carácter aclaratorio y aclaratorio. Además, algunos procedimientos de verificación se han agrupado de una nueva forma para simplificar su percepción e implementación durante la auditoría.

Aunque el estándar de la versión 2.0 entró en vigor el 1 de enero de 2011, los participantes de la industria de tarjetas de pago pueden utilizar la versión anterior hasta finales de 2011. Esta iniciativa del PCI SSC Council permite una migración gradual a la nueva versión. La próxima versión será preparada por el PCI SSC durante un ciclo de vida de tres años.

Requisitos de PCI DSS

PCI DSS define las siguientes seis áreas de control y 12 requisitos básicos de seguridad.


Creación y mantenimiento de una red segura

  • Requisito 1: instalar y mantener firewalls para proteger los datos del titular de la tarjeta.
  • Requisito 2: no uso de contraseñas del sistema predeterminadas por el fabricante y otras configuraciones de seguridad.

Protección de los datos del titular de la tarjeta

  • Requisito 3: Garantizar que los datos del titular de la tarjeta estén protegidos durante el almacenamiento.
  • Requisito 4: Cifrado de datos de titulares de tarjetas en tránsito a través de redes públicas.

Apoyo al Programa de Gestión de Vulnerabilidades

  • Requisito 5: Usar y actualizar periódicamente el software antivirus.
  • Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros.
  • Implementación de medidas estrictas de control de acceso
  • Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según sea necesario.
  • Requisito 8: Asignar un identificador único a cada persona que tenga acceso a la infraestructura de información.
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.

Supervisión y pruebas periódicas de la red

  • Requisito 10: Controlar y realizar un seguimiento de todos los accesos a los recursos de la red y los datos del titular de la tarjeta.
  • Requisito 11: Pruebas periódicas de los sistemas y procesos de seguridad.

Soporte de políticas de seguridad de la información

  • Requisito 12: Desarrollar, mantener y hacer cumplir una política de seguridad de la información.

A pesar de la apertura de los estándares, se acumulan muchas preguntas. Intentaremos responder a algunas de ellas a continuación.

1. ¿Quién está cubierto por PCI DSS?

En primer lugar, el estándar define los requisitos para las organizaciones cuya infraestructura de información almacena, procesa o transmite datos de tarjetas de pago, así como para las organizaciones que pueden afectar la seguridad de estos datos. El propósito de la norma es bastante obvio: garantizar la seguridad de la circulación de las tarjetas de pago. Desde mediados de 2012, todas las organizaciones involucradas en el proceso de almacenamiento, procesamiento y transferencia de WPC deben cumplir con los requisitos PCI DSS , y las empresas de la Federación Rusa no son una excepción. Para entender si su organización está sujeta al cumplimiento obligatorio de los requisitos de la norma PCI DSS , sugerimos usar un diagrama de bloques simple.

El primer paso es responder a dos preguntas:

  • ¿Se almacenan, procesan o transmiten datos de tarjetas de pago dentro de su organización?
  • ¿Pueden los procesos comerciales de su organización afectar directamente la seguridad de los datos de las tarjetas de pago?
    •

Si las respuestas a ambas preguntas son negativas, obtenga la certificación de acuerdo con PCI DSS No hay necesidad. En el caso de al menos una respuesta positiva, como se observa en la Figura 1, es necesario el cumplimiento de la norma.

2. ¿Cuáles son los requisitos de PCI DSS?

El cumplimiento de la norma exige el cumplimiento de los requisitos, que se resumen en los doce apartados que se muestran en la siguiente tabla:


Si profundiza un poco más, el estándar requiere pasar alrededor de 440 procedimientos de verificación, lo que debería dar un resultado positivo al verificar el cumplimiento de los requisitos.

3. ¿Cómo puedo verificar el cumplimiento de PCI DSS?

Hay varias formas de confirmar el cumplimiento de los requisitos de la norma PCI DSS que consiste en realizar auditoría externa (QSA) , auditoría interna (ISA) o autoevaluación (SAQ) organizaciones

Las características de cada uno de ellos se ilustran en la tabla.


A pesar de la aparente simplicidad de los métodos presentados, los clientes a menudo enfrentan malentendidos y dificultades para elegir el método apropiado. Un ejemplo de esto son las preguntas emergentes a continuación.

4. ¿En qué situación es necesario realizar una auditoría externa y en cuál, interna? ¿O es suficiente limitarnos a la autoevaluación de la organización?

Las respuestas a estas preguntas dependen del tipo de organización y la cantidad de transacciones procesadas por año. Esta no debe ser una elección aleatoria, ya que existen reglas documentadas que rigen qué forma usará una organización para verificar el cumplimiento de un estándar. Todos estos requisitos están establecidos por los sistemas de pago internacionales, los más populares de los cuales en Rusia son Visa Y tarjeta maestra. Incluso existe una clasificación según la cual se distinguen dos tipos de organizaciones: comercio empresas de servicios (comerciantes) y proveedores de servicios.

Empresa de comercio y servicios es una organización que acepta tarjetas de pago para el pago de bienes y servicios (tiendas, restaurantes, tiendas en línea, gasolineras, etc.). Una empresa de comercio y servicios es una organización que acepta tarjetas de pago para el pago de bienes y servicios (tiendas, restaurantes, tiendas en línea, gasolineras, etc.).

Dependiendo de la cantidad de transacciones procesadas por año, los comerciantes y proveedores de servicios pueden clasificarse en diferentes niveles.

Digamos que una empresa de comercio y servicios procesa hasta 1 millón de transacciones por año utilizando el comercio electrónico. Por clasificación Visa Y tarjeta maestra(Fig. 2) la organización se clasificará como nivel 3. Por lo tanto, para confirmar el cumplimiento PCI DSS es necesario realizar un escaneo de vulnerabilidad externo trimestral de los componentes de la infraestructura de información ASV (proveedor de escaneo aprobado) y una autoevaluación SAQ anual. En este caso, la organización no necesita recolectar evidencia de cumplimiento, ya que esto no es necesario para el nivel actual. La hoja de autoevaluación del SAQ completada será el documento de informe.

Escaneo ASV (proveedor de escaneo aprobado)— verificación automatizada de todos los puntos de conexión de la infraestructura de la información a Internet para identificar vulnerabilidades. PCI DSS requiere que este procedimiento se realice trimestralmente.

O considere el ejemplo de un proveedor de servicios en la nube que procesa más de 300 000 transacciones por año. Según la clasificación establecida Visa o tarjeta maestra, el proveedor de servicios se clasificará como nivel 1. Esto significa que, como se indica en la Figura 2, es necesario realizar un escaneo de vulnerabilidad externo trimestral de los componentes de la infraestructura de información de ASV, así como una auditoría QSA externa anual.

Cabe señalar que el banco participante en el proceso de aceptación de tarjetas de pago para el pago de bienes o servicios, el denominado banco adquirente, así como sistemas de pago internacionales (IPS ) pueden anular el nivel del comerciante conectado a ellos o el proveedor de servicios utilizado de acuerdo con su propia evaluación de riesgos. El nivel asignado prevalecerá sobre la clasificación del sistema de pago internacional indicada en la Figura 2.



¿Te gustó el artículo? Compártelo
Artículos relacionados recomendados
Autenticación de dos factores, cómo funciona y se usa Los investigadores demuestran un ataque simple para evitar la autenticación de dos factoresAutenticación de dos factores, cómo funciona y se usa Los investigadores demuestran un ataque simple para evitar la autenticación de dos factores
Elegimos una tableta económica de alta calidad fabricada en China. ¿Qué tableta es la mejor de los chinos?Elegimos una tableta económica de alta calidad fabricada en China. ¿Qué tableta es la mejor de los chinos?
Un chatbot de Microsoft odiaba a la humanidad en un día y se convirtió en nazi (actualizado) Cómo fue: la evolución de la Un chatbot de Microsoft odiaba a la humanidad en un día y se convirtió en nazi (actualizado) Cómo fue: la evolución de la "conciencia" del bot
Los visitantes ahora están discutiendo
Cómo desinstalar un programa que no se desinstalaCómo desinstalar un programa que no se desinstala Televisores LG
Microsoft lumia 550 instrucciones de usoMicrosoft lumia 550 instrucciones de uso enlace D
Revisión del sistema de altavoces Samsung Level Box Slim!Revisión del sistema de altavoces Samsung Level Box Slim! iPhone/iPad
Xiaomi Mi5 - delgadas y poderosas dimensiones de Xiaomi mi5Xiaomi Mi5 - delgadas y poderosas dimensiones de Xiaomi mi5 Enlace TP