PCI DSS , la enciclopedia libre
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de titulares de tarjetas, a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.
Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas[1] Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento del estándar de forma periódica.
Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).
Requisitos
[editar]La versión actual de la normativa (3.2)[2] especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas "objetivos de control."
Los objetivos de control y sus requisitos son los siguientes:
- Desarrollar y mantener una red segura
- Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
- Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
- Proteger los datos de los propietarios de tarjetas.
- Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
- Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
- Mantener un Programa de Gestión de Vulnerabilidades
- Requisito 5: Usar y actualizar regularmente un software antivirus.
- Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
- Implementar Medidas sólidas de control de acceso
- Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
- Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.
- Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.
- Monitorizar y probar regularmente las redes
- Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
- Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
- Mantener una Política de Seguridad de la Información
- Requisito 12: Mantener una política que contemple la seguridad de la información
Referencias
[editar]Enlaces externos
[editar]- ¿Qué es PCI DSS?
- PCI DSS Norma en español v2 (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).
- PCI DSS Norma en español v3 Archivado el 8 de marzo de 2014 en Wayback Machine.
- PCI DSS Norma en español v3.2 Archivado el 21 de enero de 2021 en Wayback Machine.
- Documentos de Soporte
- Información de los estándares del PCI SSC en Español
- Introducción a PCI DSS