Payment Card Industry – Data Security Standard  PCI DSS

El PCI Security Standards Council es un foro mundial abierto destinado a la formulación, la mejora, el almacenamiento, la difusión y la aplicación permanentes de las normas de seguridad para la protección de datos de cuentas.

Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. La PCI DSS proporciona una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de cuentas

Regístrate aquí

Déjanos tus datos y nos contactaremos
contigo para darte más información

Su organización debe implementar PCI DSS cuando desee controlar los siguientes riesgos:

01 Pérdida de confianza, generando que los clientes recurran a otros comerciantes.

02 Ventas disminuidas por percepción de inseguridad

03 Asumir costos de reemisión de nuevas tarjetas de pago

04 Pérdidas por fraude

05 Costos legales, acuerdos, juicios, multas y sanciones

¿Qué buscan los ladrones de datos de tarjetas de crédito?

Los piratas informáticos quieren los datos del titular de su tarjeta. Al obtener el Número de cuenta principal (PAN) y datos de autenticación confidenciales, un ladrón puede hacerse pasar por el titular de la tarjeta, usar la tarjeta y robar la identidad del titular de la tarjeta. 

Eche un vistazo al diagrama de la tarjeta de pago. Todo lo que aparece al final de una flecha roja son datos confidenciales del titular de la tarjeta. Nunca se debe almacenar nada en la parte posterior y el CID. Debe tener una buena razón comercial para almacenar cualquier otra cosa y esos datos deben estar protegidos.

¿Dónde roban la información?

Los datos confidenciales del titular de la tarjeta se pueden robar de muchos lugares:

  • Lector de tarjetas comprometido
  • Papel almacenado en un archivador
  • Datos en una base de datos de un sistema de pago
  • Entrada de grabación de cámara oculta de datos de autenticación
  • Acceso secreto a la red inalámbrica o cableada de su tienda

¿Qué se necesita asegurar?

El objetivo es asegurar los datos del titular de la tarjeta donde se capturan en el punto de venta y a medida que fluyen hacia el sistema de pago. El mejor paso que se puede tomar es no almacenar ningún dato del titular de la tarjeta. Esto incluye proteger:

  • Lectores de tarjetas
  • Sistemas de punto de venta
  • Almacenar redes y enrutadores de acceso inalámbrico
  • Almacenamiento y transmisión de datos de tarjetas de pago
  • Datos de tarjetas de pago almacenados en registros en papel
  • Aplicaciones de pago en línea y carritos de compras

Estructura de la norma

La norma tiene la siguiente estructura

  1. Introducción y descripción general de las normas de seguridad de datos de la PCI
    • Recursos de las PCI DSS
  2. Información sobre la aplicabilidad de las PCI DSS
  3. Relación entre PCI DSS y PA-DSS
    • Aplicabilidad de las PCI DSS a las aplicaciones de las PA-DSS
    • Aplicabilidad de las PCI DSS a los proveedores de aplicaciones de pago
  4. Alcance de los requisitos de las PCI DSS
    • Segmentación de red
    • Medios inalámbricos
    • Uso de proveedores de servicios externos/tercerización
  5. Mejores prácticas para implementar las PCI DSS en los procesos habituales
  6. Para los asesores: Muestreo de instalaciones de la empresa/componentes del sistema
  7. Controles de compensación
  8. Instrucciones y contenido del informe sobre cumplimiento
  9. Proceso de evaluación de las PCI DSS
  10. Versiones de la PCI DSS
  11. Requisitos de las PCI DSS y procedimientos de evaluación de seguridad detallados
    • Desarrolle y mantenga redes y sistemas seguros
        • Requisito 1: Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta
        • Requisito 2: No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad 28
    • Proteger los datos del titular de la tarjeta
        • Requisito 3: Proteger los datos almacenados del titular de la tarjeta
        • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
    • Mantener un programa de administración de vulnerabilidad
        • Requisito 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente
        • Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros
    • Implementar medidas sólidas de control de acceso
        • Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa
        • Requisito 8: Identificar y autenticar el acceso a los componentes del sistema
        • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta
    • Supervisar y evaluar las redes con regularidad
        • Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta
        • Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad
    • Mantener una política de seguridad de información
        • Requisito 12: Mantenga una política que aborde la seguridad de la información para todo el personal
    • Anexo A: Requisitos adicionales de las PCI DSS
        • Anexo A1: Requisitos de la PCI DSS adicionales para proveedores de hosting compartido
        • Anexo A2: Requisitos de PCI DSS adicionales para las entidades que utilizan SSL/TLS temprana para conexiones de terminal de POS POI de la tarjeta presente
        • Anexo A3: Validación suplementaria de las entidades designadas (DES)
    • Anexo B: Controles de compensación
    • Anexo C: Hoja de trabajo de controles de compensación
    • Anexo D: Segmentación y muestreo de instalaciones de negocios/Componentes de sistemas
  •