PCI DSS
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de titulares de tarjetas, a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.
Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas[1] Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento del estándar de forma periódica.
Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).
Requisitos
editarLa versión actual de la normativa (3.2)[2] especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas "objetivos de control."
Los objetivos de control y sus requisitos son los siguientes:
- Desarrollar y mantener una red segura
- Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
- Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
- Proteger los datos de los propietarios de tarjetas.
- Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
- Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
- Mantener un Programa de Gestión de Vulnerabilidades
- Requisito 5: Usar y actualizar regularmente un software antivirus.
- Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
- Implementar Medidas sólidas de control de acceso
- Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
- Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.
- Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.
- Monitorizar y probar regularmente las redes
- Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
- Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
- Mantener una Política de Seguridad de la Información
- Requisito 12: Mantener una política que contemple la seguridad de la información
Referencias
editarEnlaces externos
editar- ¿Qué es PCI DSS?
- PCI DSS Norma en español v2 (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).
- PCI DSS Norma en español v3 Archivado el 8 de marzo de 2014 en Wayback Machine.
- PCI DSS Norma en español v3.2 Archivado el 21 de enero de 2021 en Wayback Machine.
- Documentos de Soporte
- Información de los estándares del PCI SSC en Español
- Introducción a PCI DSS