PCI-DSS

Compliance

Payment Card Industry Data Security Standard es el estándar que aglutina las normativas de seguridad del PCI Council, consejo que aglutina a los principales operadores de tarjetas de crédito y que se constituye como una guía para ayudar a las empresas que procesan, custodian o transmiten datos de tarjetas de crédito, para garantizar la seguridad en el tratamiento de dichos datos. El cumplimiento del PCI-DSS es obligatorio para las empresas que realizan este tipo de operaciones con datos de tarjeta de crédito y están sujetos a auditorías continuas y severas sanciones en caso de incumplimiento.

PCI-DSS establece 4 niveles de cumplimiento en función del número de transacciones anuales realizadas con tarjetas de crédito. Estos niveles establecen el nivel de auditoría necesario, pasando por la intervención de un ASV (Approved Scanning Vendors), certificado para el análisis de vulnerabilidades y por un PCI-QSA (Qualified Security Assessors) certificado para la auditoría anual.

Además, PCI-DSS requiere el cumplimiento de 12 requisitos de seguridad, divididos en 6 objetivos de control:

& Desarrollar y mantener una red segura.

& Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
& Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad suministrados por proveedores

& Proteger los datos del titular de la tarjeta.

& Requisito 3: Proteger los datos del titular de la tarjeta que fueron almacenados.
& Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.

& Mantener un programa de administración de vulnerabilidad.

& Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus.
& Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

& Implementar medidas sólidas de control de acceso.

& Requisito 7: Restringir el acceso a los datos de titulares de tarjetas según la necesidad del negocio.
& Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora.
& Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.

& Supervisar y evaluar las redes con regularidad.

& Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titulares de tarjetas.
& Requisito 11: Probar periódicamente los sistemas y procesos de seguridad.

& Mantener una política de seguridad de información.

& Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal.

Secure&IT lleva a cabo los servicios de implantación, auditoría y verificación PCI-DSS. Disponemos de un manual completo para la adecuación a PCI-DSS que recoge requerimientos y soluciones técnicas de procesos y procedimientos y de sistemas de gestión y auditoría. Contacta con nosotros para recibir una copia de este manual.