¿Qué es el cumplimiento PCI DSS?

pci

PCI se refiere a normas de seguridad para proteger la información de tarjetas de crédito y débito. El término más comúnmente relacionado es PCI DSS, que significa Payment Card Industry Data Security Standard.

¿Cómo funciona el cumplimiento PCI DSS?

Un servicio de análisis de cumplimiento PCI es una prueba automatizada. Esta prueba busca encontrar vulnerabilidades en la infraestructura informática de una empresa. Su objetivo es asegurar que la empresa cumpla con las normas de seguridad establecidas.


La meta es verificar si la empresa cumple con los requisitos de seguridad de la normativa PCI DSS. Esta normativa es para la industria de tarjetas de pago.  Las pruebas las realizan Proveedores de Análisis Aprobados (ASV). Estos son expertos en identificar riesgos.


También se aseguran de que las empresas cumplan con los estándares requeridos. Para garantizar una protección continua, estas pruebas deben realizarse al menos una vez por trimestre.

¿Qué es la normativa PCI DSS?

La normativa PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de estándares de seguridad que las empresas deben cumplir al aceptar, procesar o almacenar pagos con tarjetas de crédito y débito.


Creada por las principales compañías de tarjetas, como Visa y MasterCard, y gestionada por el Consejo de Normas de Seguridad PCI, su objetivo es garantizar la protección de los datos de los titulares de tarjetas a lo largo de todo el proceso de transacción, desde la recolección de la información hasta su almacenamiento, para prevenir fraudes y otros riesgos asociados.

Validación del cumplimiento de la normativa PCI DSS

La validación del cumplimiento de la normativa PCI DSS se realiza de diferentes maneras según el tamaño de la empresa y el volumen de transacciones que maneje. Las empresas con un bajo volumen de transacciones pueden realizar autoevaluaciones, lo que les permite mayor flexibilidad en el proceso de cumplimiento.


En cambio, las empresas más grandes o con un volumen considerable de transacciones deben ser evaluadas por un evaluador externo (QSA) que garantiza que se cumplan todos los requisitos de seguridad establecidos.

Además, las empresas con un gran volumen de transacciones también deben contar con un evaluador interno encargado de realizar auditorías periódicas y presentar informes de cumplimiento regularmente. Estas evaluaciones son esenciales para asegurar la protección de los datos y mantener la confianza en la seguridad de las transacciones financieras.

Casos de uso de PCI DSS

Plataformas de Comercio Electrónico

Las tiendas en línea que aceptan tarjetas de crédito o débito deben seguir ciertas reglas. Estas reglas se llaman PCI DSS. Su objetivo es proteger la información importante de los clientes. Esto incluye los números de tarjeta, las fechas de vencimiento y los códigos de seguridad.


Procesadores de Pagos

Los procesadores de pagos deben cumplir con PCI DSS. Esto protege los datos de tarjetas en sus sistemas y redes. También facilita transacciones entre comerciantes y bancos.


Empresas de Punto de Venta (POS)

Las empresas que utilizan sistemas de punto de venta, como restaurantes y tiendas, deben proteger los datos de las tarjetas. Estas empresas procesan información en sus terminales. Es importante asegurar la seguridad de esos datos.


Almacenamiento de Datos de Tarjetas

Las empresas que guardan información de tarjetas deben cumplir con PCI DSS para proteger los datos almacenados. Ejemplos incluyen compañías de suscripción y servicios en la nube.


Aplicaciones Móviles y Fintech

Las apps de pago y las fintech deben seguir las normas de PCI DSS al procesar transacciones financieras en móviles. Estas normas se aplican cuando se utilizan datos de tarjetas.


Call Centers (Centros de Atención Telefónica)

Los call centers que reciben pagos con tarjetas por teléfono deben cumplir con las reglas de PCI DSS. Esto es para proteger la información sensible recopilada durante las transacciones.


Proveedores de Servicios en la Nube

Las empresas que almacenan datos de pago en la nube deben cumplir con las reglas de PCI DSS. Esto es para proteger la información de sus clientes y garantizar la seguridad de los datos almacenados y procesados.

Los 12 requisitos fundamentales de PCI DSS

Hay seis objetivos principales. Cada uno se centra en un aspecto importante de la seguridad de los datos de las tarjetas de pago. Estos son los requisitos:


Meta 1: Construir y mantener una red segura


  1. Instalar y mantener un firewall es crucial para proteger los datos de los titulares de tarjetas, previniendo accesos no autorizados y resguardando la red de amenazas externas.
  2. Evitar el uso de contraseñas y configuraciones de seguridad predeterminadas proporcionadas por los proveedores. Es crucial modificar las configuraciones de fábrica, incluidas las contraseñas predeterminadas, que vienen con los sistemas y software, para fortalecer la seguridad.

Meta 2: Proteger los datos de los titulares de tarjetas


  1. Los datos sensibles deben cifrarse y protegerse durante su almacenamiento, siguiendo las mejores prácticas de la industria.
  2. Cifrar la transmisión de los datos del titular de la tarjeta a través de redes abiertas y públicas. Para proteger los datos en tránsito, se deben emplear protocolos de cifrado robustos, como TLS.

Meta 3: Mantener un programa de gestión de vulnerabilidades


  1. Utilizar y actualizar regularmente programas antivirus es esencial para detectar y prevenir ataques de malware en todos los sistemas que manejan datos de tarjetas.
  2. "Desarrollar y mantener sistemas y aplicaciones seguros es fundamental. Mantener el software actualizado y aplicar prácticas de desarrollo seguro ayuda a prevenir vulnerabilidades.

Meta 4: Implementar medidas fuertes de control de acceso


  1. Restringir el acceso a los datos del titular de la tarjeta únicamente al personal que lo requiera. Solo las personas autorizadas deben tener acceso a esta información, y dicho acceso debe limitarse al mínimo indispensable.
  2. Asignar un ID único a cada persona con acceso a los datos es esencial para garantizar la responsabilidad individual. Cada usuario debe tener un identificador exclusivo para acceder a los sistemas.
  3. Restringir el acceso físico a los datos de los titulares de tarjetas es fundamental. Además de las medidas digitales, es crucial proteger los datos físicos contra accesos no autorizados.

Meta 5: Monitorear y probar redes con regularidad


  1. Rastrear y supervisar todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas es crucial. Es necesario mantener registros detallados de todas las actividades para detectar y responder a posibles violaciones de seguridad.
  2. Realizar pruebas periódicas de los sistemas y procesos de seguridad es esencial. Pruebas como la penetración y escaneos de vulnerabilidades son necesarias para asegurar la efectividad de las medidas de seguridad.

Meta 6: Mantener una política de seguridad de la información


  1. Establecer y mantener una política integral de seguridad de la información. Es vital crear y comunicar claramente esta política para que todo el personal que maneja datos la siga estrictamente.

Cumplir con estos 12 requisitos permite a las organizaciones protegerse contra amenazas a la seguridad de los datos y garantizar el cumplimiento de las normativas de la industria de tarjetas de pago.

Niveles de cumplimiento de PCI DSS

Nivel 1: Este nivel incluye a las organizaciones que procesan más de 6 millones de transacciones con tarjetas al año. Estas empresas deben someterse anualmente a una evaluación realizada por un Asesor de Seguridad Calificado (QSA) y llevar a cabo un escaneo trimestral de la visibilidad de su red, gestionado por un Proveedor de Escaneo Aprobado (ASV).


Nivel 2: En este nivel se encuentran las organizaciones que procesan entre 1 millón y 6 millones de transacciones con tarjetas anualmente. Estas empresas deben completar cada año un Cuestionario de Autoevaluación (SAQ) y, en algunos casos, realizar escaneos trimestrales de vulnerabilidad de red a cargo de un ASV.


Nivel 3: Este nivel corresponde a las organizaciones que procesan entre 20,000 y 1 millón de transacciones con tarjetas al año. Al igual que en el nivel 2, estas empresas deben completar un SAQ anual y podrían estar obligadas a realizar un escaneo trimestral de vulnerabilidad de red.


Nivel 4: Este nivel incluye a las organizaciones que procesan menos de 20,000 transacciones con tarjetas al año. Al igual que en los niveles 2 y 3, estas empresas deben completar un SAQ anual y podrían estar sujetas a escaneos trimestrales de vulnerabilidad de red.

Conclusión

El cumplimiento PCI DSS es un conjunto de normas de seguridad diseñadas para proteger la información de las tarjetas de crédito y débito. A través de pruebas automatizadas, se evalúa la seguridad de la infraestructura informática de las empresas, asegurando que cumplan con los requisitos establecidos. 


La normativa se aplica a diversas industrias, desde comercio electrónico hasta procesadores de pagos y almacenamiento en la nube, y abarca 12 requisitos clave para prevenir fraudes y proteger los datos sensibles. La validación del cumplimiento varía según el tamaño de la empresa, desde autoevaluaciones hasta auditorías externas, y es crucial para garantizar la seguridad en las transacciones financieras.

table of contents
¿Cómo funciona el cumplimiento PCI DSS?
¿Qué es la normativa PCI DSS?
Validación del cumplimiento de la normativa PCI DSS
Casos de uso de PCI DSS
Los 12 requisitos fundamentales de PCI DSS
Niveles de cumplimiento de PCI DSS
Conclusión

Enter your text here...

PAGAR SEGURAMENTE CON:

20 aniversario CertSuperior
Sura Aseguradora
Aseguradora Profuturo
Aseguradora GNP
FEMSA
Bimbo

CERTSUPERIOR: CELEBRANDO 20 Años Con LA ConfianZa De Las Mejores Marcas

PARA Comprar Soluciones de seguridad digitales, NO HAY MEJOR.