Qué necesitan saber los procesadores terceros y las entidades de almacenamiento de datos

Conoce mejor tu rol en la conformidad PCI

Cómo determinar el nivel del proveedor de servicios y los requisitos de validación

Todos los terceros procesadores (TPP) son considerados proveedores de servicios de nivel 1. Las entidades de almacenamiento de datos (DSE) se clasifican como proveedores de servicios de nivel 1 o nivel 2 en función del volumen anual de transacciones con Mastercard®.

Mastercard exige que todos los proveedores de servicios sean conformes a PCI.

  • Según el nivel, revise los requisitos de validación del proveedor de servicios y utilice un proveedor de análisis autorizado (AVS) o asesor de seguridad cualificado (QSA) según sea necesario.
  • Una vez conforme, presente una declaración de conformidad (OAC) firmada; o en el caso de los SAQ elegibles, presente la SAQ D AOC y el último análisis limpio a Mastercard.

Ten en cuenta lo siguiente: Mastercard solo hará figurar los proveedores de servicios que también estén registrados y autorizados como proveedores de servicios miembros (MSP) en el programa de registro Mastercard (MRP) y que además hayan completado correctamente una evaluación in situ anual.

Niveles de proveedores de servicios de protección de datos en el sitio

Categoría Criterios Requisitos
Nivel 1
  • Todos los terceros procesadores (TPP)
  • Todas las entidades de almacenamiento de datos (DSE) que superen una cifra total combinada de 300.000 transacciones anuales con Mastercard y Maestro.
  • Evaluación in situ anual realizada por un QSA1
  • Análisis trimestral de la red realizado por un ASV2
Nivel 2
  • Todas las DSE que alcancen como máximo una cifra total combinada de 300.000 transacciones anuales con Mastercard y Maestro.
  • Autoevaluación anual
  • Análisis trimestral de la red realizado por un ASV2
  1. Todos los proveedores de servicios de nivel 1 deben completar una evaluación in situ anual realizada por un QSA homologado conforme a PCI SSC.
  2. Deberán realizarse análisis trimestrales de la red por un ASV conforme a la norma PCI SSC.

Cómo registrarse como proveedor de servicios 

Mastercard exige a todos los bancos miembros principales o entidades financieras que realicen un registro como proveedor de servicios en su nombre y en el de sus filiales a través de la base de datos MRP (no es obligatorio si el miembro principal solo presta servicios a sí mismo o a sus filiales). Si un proveedor de servicios tiene una relación directa con uno o más bancos, deberá ponerse en contacto con cada banco para realizar un registro en su nombre. 

Solicitud de acceso a la herramienta de administración de empresas

  1. Contacta con customer_support@mastercard.com
  2. Solicita acceso a la herramienta de administración de empresas (BA). 
  3. Atención al cliente otorgará acceso a la herramienta BA a través de Mastercard Connect™, nuestro portal seguro. 

Proceso de registro

  1. Inicia sesión en Mastercard Connect y seleccione «Herramienta de Administración de Empresas».
  2. Ve a «Administración de Empresas/Registro y Proveer a una Empresa».
  3. Solicita «Proveer a una Empresa».  
  4. Haz clic en «Proveer y Administrar su Proveedor de Servicios». 
  5. Haz clic en «Crear nuevo registro» si la entidad no está ya registrada.
  6. Agrega el nombre y domicilio del proveedor de servicios. 
  7. Haz clic en «Siguiente» y cumplimente los datos de contacto.  
  8. Introduce la información de contacto del (banco) principal y del (SP) primario. 
  9. Selecciona «Servicios de Programas» en «Servicios» y «Almacenar» secciones detalladas (selecciona los servicios que prestará el SP al cliente). 
  10. No hagas clic en «guardar como borrador» en ningún momento del proceso de envío. 
  11. Selecciona «Dato» y elige el número ICA específico del registro y el programa (esto debe hacerse por cada servicio seleccionado). 
  12. Haz clic en «Aceptar» en la sección «Certificación del Cliente». 
  13. El proceso de registro se habrá completado y se asignará un número de registro SPR. 
  14. El registro aparecerá indicado como «Pendiente de Aprobación».  

Nota: El banco cliente debe facilitar el número SPR para que se pueda someter el registro a aprobación. Una vez realizado el registro, lo revisaremos y finalizaremos la aprobación si se ha presentado toda la información requerida. El plazo de aprobación oscila entre cinco y siete días laborables. 

Ten en cuenta que el proceso de registro es independiente de la presentación de la documentación de conformidad PCI y debe ser cumplimentado por un banco miembro antes de que se apruebe el registro del proveedor de servicios. Todos los documentos de conformidad PCI deben enviarse a Mastercard

Para figurar como proveedor de servicios conforme, el proveedor de servicios debe estar registrado y aprobado como MSP y debe haber completado correctamente una evaluación in situ anual realizada por un QSA homologado conforme a PCI SSC. 

Si tienes alguna duda, contacta con el equipo de proveedores de servicios en la dirección member_service_provider@mastercard.com.