Adecuación a PCI-DSS. Quién y cómo debe adecuarse

Adecuación a PCI-DSS. Quién y cómo debe adecuarse

Payment Card Industry Data Security Standard es el estándar que aglutina las normativas de seguridad del PCI Council, consejo que aglutina a los principales operadores de tarjetas de crédito, y que se constituye como una guía para ayudar a las empresas que procesan, custodian o transmiten datos de tarjetas de crédito, para garantizar la seguridad en el tratamiento de dichos datos. El cumplimiento del PCI-DSS es obligatorio para las empresas que realizan este tipo de operaciones con datos de tarjeta de crédito, estando sujetos a auditorías continuas y severas sanciones en caso de incumplimiento.

 PCI-DSS establece 4 niveles de cumplimiento en función del número de transacciones anuales realizadas con tarjetas de crédito. Estos niveles establecen el nivel de auditoría necesario, pasando por la intervención de un ASV (Approved Scanning Vendors) certificado para el análisis de vulnerabilidades y por un QSA (Qualified Security Assessors) certificado para la auditoría anual.

Además, PCI-DSS requiere el cumplimiento de 12 requisitos de seguridad, divididos en 6 objetivos de control:

 Desarrollar y mantener una red segura

  • Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
  • Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores

Proteger los datos del titular de la tarjeta

  • Requisito 3: Proteger los datos del titular de la tarjeta que fueron almacenados
  • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas

Mantener un programa de administración de vulnerabilidad

  • Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus
  • Requisito 6:  Desarrollar y mantener sistemas y aplicaciones seguras

Implementar medidas sólidas de control de acceso

  • Requisito 7: Restringir el acceso a los datos de titulares de tarjetas según la necesidad del negocio
  • Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta

Supervisar y evaluar las redes con regularidad

  • Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titulares de tarjetas
  • Requisito 11: Probar periódicamente los sistemas y procesos de seguridad

Mantener una política de seguridad de información

  • Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal

Secure&IT realiza los servicios de implantación, auditoría y verificación PCI-DSS. Hemos elaborado un manual completo para la adecuación a PCI-DSS. Pídenos información y recibe este manual que seguro te ayudará en el cumplimiento.

Facebooktwittergoogle_pluspinterestlinkedinby feather

Comments

Comentarios desactivados