Cumplimiento de PCI

Demuestre el Cumplimiento hasta de los más confusos requisitos de PCI DSS, gracias a soluciones que lo ayudan a ahorrar tiempo, proteger a sus clientes y evitar multas.

¿Qué es PCI DSS?

Media
Image
Tablet with security check
Text

El Estándar de Seguridad de la Información para la Industria de las Tarjetas de Pago (PCI DSS por sus siglas en inglés) es el conjunto de requisitos diseñado para asegurar que toda empresa que procese, almacene o transmita información de tarjetas de crédito lo haga en un entorno seguro. Los requisitos se establecieron para ayudar a prevenir las filtraciones de datos de pago y el fraude con tarjetas de pago.

Los estándares PCI abarcan tanto las soluciones técnicas como las prácticas y los procesos operativos incluidos o relacionados con los sistemas que procesen datos de titulares de tarjetas de pago.

El Consejo de Estándares de Seguridad de PCI (PCI SSC, por sus siglas en inglés) es un organismo independiente que administra y gestiona este estándar. Está formado por las principales empresas de pago, como Visa, MasterCard, American Express, Discover y JCB. Sin embargo, exigir el Cumplimiento de PCI DSS es responsabilidad de las marcas de pago individualmente.

El Consejo proporciona estándares exhaustivos y presta asistencia para ayudar a proteger la información sensible de los titulares de tarjetas. PCI DSS es el marco que las organizaciones de la industria de los pagos pueden utilizar para desarrollar y mantener un proceso de Seguridad de la Información que incluya la prevención, detección y respuesta adecuada a posibles incidentes de Seguridad.

Text

¿Qué incluyen los estándares de Seguridad PCI DSS?

PCI DSS incluye 12 requisitos de Cumplimiento diseñados para proteger y asegurar los datos de los titulares de tarjetas. Los equipos de IT tienen el reto de abordar cada uno de ellos en su entorno único, para lo cual recurren a soluciones de Seguridad en capas o a una suite de soluciones de Seguridad de datos.

Los 12 requisitos de PCI DSS son:

  1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas.
  2. No utilizar los valores predeterminados suministrados por el proveedor en las contraseñas del sistema y otros parámetros de Seguridad.
  3. Proteger los datos almacenados de los titulares de las tarjetas.
  4. Encriptar la transmisión de los datos de los titulares de las tarjetas por redes públicas abiertas.
  5. Utilizar software o programas antivirus y actualizarlos regularmente.
  6. Desarrollar y mantener sistemas y aplicaciones seguros.
  7. Restringir el acceso a los datos de los titulares de las tarjetas según la necesidad de conocimiento que tenga el Negocio.
  8. Asignar un ID único a cada persona que tenga acceso a una computadora.
  9. Restringir el acceso físico a los datos de los titulares de las tarjetas.
  10. Rastrear y monitorear todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas.
  11. Testear regularmente los sistemas y procesos de Seguridad.
  12. Mantener una política que aborde la Seguridad de la Información de todo el personal.

 

¿Quién tiene que cumplir con PCI DSS?

Text

Cualquier organización (desde un restaurante familiar hasta empresas globales) que acepte, transmita, procese o almacene tarjetas de pago o datos de los titulares de las tarjetas tiene que cumplir con PCI DSS. Sin embargo, hay diferencias en el grado de Cumplimiento de PCI necesario, en función del volumen de transacciones de una organización en un año determinado.

¿Cuáles son los diferentes niveles de Cumplimiento de PCI?

Aunque TODAS las organizaciones que aceptan, transmiten, procesan o almacenan datos de los titulares de las tarjetas están sujetas a los requisitos de PCI DSS, las organizaciones individuales están sujetas a cuatro niveles de Cumplimiento distintos. Estos niveles se basan en el volumen de transacciones en un periodo de 12 meses:

Nivel 1:

Comerciantes que procesan más de 6 millones de transacciones de tarjetas al año

Nivel 2:

Comerciantes que procesan de 1 a 6 millones de transacciones de tarjetas al año

Nivel 3:

Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año

Nivel 4:

Comerciantes que procesan menos de 20.000 transacciones al año

En el nivel más alto de Cumplimiento (Nivel 1), las organizaciones necesitan que un Asesor de Seguridad Cualificado (QSA) o un Asesor de Seguridad Interno (ISA) lleven a cabo una auditoría externa. En esta evaluación, se validará el alcance del consentimiento, se revisará la documentación, se determinará si se cumplen los requisitos de PCI DSS y proporcionará orientación para su Cumplimiento. Después, se envía un Reporte de Cumplimiento (RoC) para demostrar el Cumplimiento.

Las organizaciones sujetas a un menor nivel de Cumplimiento (niveles 2 a 4) no necesitan la auditoría externa y pueden rellenar un cuestionario de autoevaluación. La organización de nivel 2 también tendrá que completar un Reporte de Cumplimiento.

 

Cuestionario de autoevaluación de PCI

Lista de comprobación del Cumplimiento de PCI DSS

  • ¿Tiene un firewall para proteger los datos de los titulares de las tarjetas en todos los sistemas que se utilicen para almacenar, procesar o transmitir esos datos?
  • ¿Se actualiza y mantiene regularmente? ¿Ha sustituido las contraseñas por defecto por alternativas únicas y seguras?
  • ¿Las contraseñas se protegen y se almacenan de forma segura para minimizar los riesgos de exposición?

 

  • ¿Se han implantado controles de Seguridad para proteger los datos almacenados en sus sistemas internos?
  • ¿Protege los datos de los titulares de las tarjetas cuando están en tránsito?
  • ¿Utiliza encriptación para proteger los datos de los titulares de las tarjetas?
  • ¿Están protegidos los datos cuando viajan por redes abiertas o están en reposo?
  • ¿Cuenta con software o programas antivirus en toda la organización?
  • ¿Los programas o el software están actualizados con la versión más reciente?
  • ¿Revisa regularmente su software?
  • ¿Necesita desarrollar sus sistemas y aplicaciones para cumplir con PCI DSS?
  • ¿Ha restringido el acceso a los datos de los titulares de las tarjetas en sus sistemas internos?
  • ¿Se restringe el acceso solo a lo que es necesario saber o gestionar para hacer el trabajo diario?
  • ¿La necesidad de completar una tarea es mayor que el riesgo de dar acceso a los datos?
  • ¿Ha proporcionado a todos los miembros de su organización un ID de usuario único para acceder a las computadoras?
  • ¿Su administrador del sistema gestiona los permisos o el control de acceso de estos ID únicos?
  • ¿Los controles de acceso y los permisos se conceden en función de la necesidad de saber para hacer el trabajo?
  • ¿Restringe el acceso físico a los servidores, computadoras, centros de datos, etc., donde pueden residir, procesarse o enviarse los datos de los titulares de las tarjetas?
  • ¿Registra y monitorea a todos los visitantes que acceden a áreas de la organización en las que puede haber acceso a los datos de los titulares de las tarjetas?
  • ¿Todos los soportes físicos se almacenan de forma segura para evitar accesos inapropiados?
  • ¿Revisa las redes de su organización periódicamente para evitar su explotación?
  • ¿Sus procesos de revisión se registran para contar con las pistas de auditoría reglamentarias?
  • ¿Prueba sus sistemas con frecuencia para detectar vulnerabilidades y, si se encuentran, se abordan y se mantienen correctamente?
  • ¿Se testea para encontrar vulnerabilidades cuando se instala un nuevo software o se hacen cambios en la configuración?
  • ¿Las pruebas incluyen el escaneo de vulnerabilidades de las redes internas y externas y pruebas de penetración?
  • ¿Monitorea los archivos críticos del sistema para asegurarse de que no se modifiquen ni se acceda a ellos sin autorización?

Mantener una política de Seguridad de Datos:

Establecer el tono de la organización puede ayudar a reforzar el Cumplimiento de PCI DSS y la Seguridad de la Información. Las organizaciones pueden desarrollar programas periódicos de capacitación y educación continua sobre la Seguridad de los datos y, en concreto, sobre el Cumplimiento de PCI DSS.

Política interna de Seguridad de Datos

¿Cuenta con una política interna de Seguridad de Datos?

Requisitos de PCI DSS

¿Su política cubre todos los requisitos de PCI DSS?

Cambios en los sistemas internos

¿La política se revisa periódicamente o cuando se producen cambios en los sistemas internos?

Responsabilidades del Cumplimiento de PCI

¿Su política aborda cómo identificar y monitorear las responsabilidades de Cumplimiento de PCI de los proveedores de servicios?

Filtraciones de datos

¿Hay un plan de respuesta a incidentes que se pueda implementar de inmediato en caso de fugas de datos?

Cumpla con PCI DSSS con una suite de soluciones de Seguridad

Cumplir con PCI DSS requiere un enfoque por capas, que se puede implementar mejor con una suite de soluciones de Seguridad que puedan integrarse fácilmente en toda la empresa, para proteger los datos sensibles. Fortra ofrece una variedad de productos que le ayudarán a cumplir con PCI DSS de forma fácil y sin complicaciones.

Podemos ayudarlo con el Cumplimiento de PCI DSS

Solicite una sesión gratuita de 30 minutos con nuestro equipo para conversar sobre sus necesidades de Seguridad y analizar cuáles son las mejores soluciones para su organización. Lo ayudaremos a determinar cuáles son los siguientes pasos para cumplir con PCI DSS y proteger correctamente sus datos.

AGENDE SU CONSULTA GRATUITA