Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

PCI DSS

892 views

Published on

El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

PCI DSS

  1. 1. Estándar de seguridad PCI DSS El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas. PCI DSS, PA-DSS, PCI PTS Existen varias normas bajo el marco de PCI, de entre las que habría que destacar tres de ellas. El estándar PCI DSS proporciona una referencia de requisitos técnicos y operativos orientado a servicios, desarrollado para proteger los datos de los titulares de tarjetas. PCI DSS se aplica a todas las entidades que participan en los procesos de las tarjetas de pago (comercios, instituciones financieras, entidades adquirentes, entidades emisoras, proveedores de servicios, etc.) y, en general, toda organización que almacene, procese o transmita datos de titulares de tarjetas. PA-DSS se aplica a proveedores de software que desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos de tarjetas, siempre que dichas aplicaciones se vendan, distribuyan u otorguen bajo licencia a terceros. Finalmente, PCI PTS aplica a los dispositivos de pago, definiendo los requisitos para su fabricación. La rápida evolución de las actividades comerciales basadas en transacciones electrónicas está suponiendo un aumento significativo en la necesidad de adecuación a esta norma para comercios, proveedores de servicio y entidades financieras, dada la creciente exigencia de proteger los datos de tarjeta de una manera adecuada y uniforme. CONFORMIDAD CON PCS DSS (Payment card Industry Data Security Standards) Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 ¿Quién debe cumplir? Todas las organizaciones que transmiten, procesan o almacenan datos de tarjeta deben cumplir con la norma independientemente del tamaño o volumen de negocio. En función de criterios como el volumen de transacciones y el rol de la entidad (comercio o proveedor de servicio), existen diferentes categorías de niveles que marcan el modo de realizar la validación y reporte de cumplimiento, bien mediante auditorías in situ o cumplimentando el denominado SAQ o cuestionario de autoevaluación. Beneficios que aporta PCI DSS Dada la cada vez mayor presencia por parte de comercios, proveedores de servicio y entidades involucradas en el floreciente escenario de transacciones electrónicas y medios de pago, la alineación con la norma PCI DSS ofrece las siguientes ventajas: • Un servicio PCI-compliant ofrece un valor añadido y una posición privilegiada de cara a nuevas oportunidades de negocio frente a servicios de medios de pago que no pueden competir con esta garantía ofrecida. • La integración de PCI DSS como marco de procesos de seguridad business-as-usual realizada de forma gradual en servicios ya existentes proporciona grandes beneficios en cuanto a la seguridad integral de todos los procesos y activos y minimiza la ocurrencia de incidentes de seguridad que puedan tener un impacto económico, de prestigio o daño de marca, y posibles penalizaciones asociadas. • Además la adopción de la norma PCI DSS como marco de seguridad facilita implementar otros marcos de seguridad (ISO 27001, LOPD, etc.) de forma integradora y unificada. • El diseño preliminar de servicios alineados con PCI DSS suponen un gran beneficio ya que se evita un posible esfuerzo de cara al futuro para adecuar la infraestructura y los procesos ya existentes a la norma, y en caso de una futura exigencia de certificación por parte de clientes y/o adquirientes el posible impacto negativo derivado de la necesidad de cumplimiento se reduce sustancialmente. • Minimización de responsabilidades ante incidentes y las multas o penalizaciones derivadas impuestas por las marcas o los adquirientes, siempre y cuando se demuestre el cumplimiento y un esfuerzo por mantenerlo.
  2. 2. Requisitos de PCI DSS Los requisitos que componen la norma PCI DSS se engloban en 6 dominios generales que a su vez de dividen en 12 requerimientos de obligado cumplimiento con sus respectivos procedimientos de evaluación: Servicios profesionales de SIA sobre PCI DSS En Grupo SIA tenemos más de 25 años como proveedores de servicios de seguridad y contamos desde 2010 con la certificación PCI DSS QSA emitida por PCI SSC. Esta nos permite validar el cumplimiento de la norma conforme a los requisitos establecidos por las marcas de tarjetas, así como asistir a la hora de cumplimentar los cuestionarios de autoevaluación. Además, gracias a acuerdos de colaboración con compañías ASV, complementamos nuestros servicios con la realización de los escaneos de red trimestrales conforme a la norma. El valor de SIA como aliado en el marco de PCI no sólo se queda en la auditoría. Nuestra condición de proveedores de soluciones integrales nos permite ofrecer soluciones óptimas para el cumplimiento de la PCI DSS en cada uno sus doce requisitos, unificándolo con el cumplimiento de otros marcos similares, como los derivados de la LOPD, los SGSI, ITIL, COBIT, etc. o sus propias políticas internas. Igualmente, nuestro equipo de hacking ético, aporta en este tipo de proyectos un valor diferencial a la hora de detectar y proponer soluciones sobre vulnerabilidades de los sistemas. En este sentido, nuestros equipos de Consultoría, Infraestructuras y Servicios Gestionados, atesoran un amplio bagaje en el ámbito de la seguridad de la información, contando con un gran equipo de profesionales de muy alta capacitación y experiencia, en disposición de certificaciones como CISA, CISM, CGEIT, CRISC, LA 27001, CISSP, o CEH, entre otras. www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Pallars 99 planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 Enfoque metodológico SIA fomenta el cumplimiento de PCI DSS con un enfoque orientado a la mejora continua de la seguridad de los sistemas afectados, orientando a sus clientes a mantener y aumentar la seguridad de forma global. De forma general, nuestros servicios de auditoría se desarrollan en cuatro fases, que tienen como principales objetivos delimitar el entorno afectado, identificar los puntos de no conformidad con la norma y orientar en las acciones que deban tomarse para subsanarlos, hasta la emisión del informe de cumplimiento final. Reporte de Cumplimiento ¿Todo conforme? No SíDefinición entorno PCI Análisis de cumplimiento Implementación correcciones Declaración de cumplimiento Coordinación y asesoramiento Arranque proyecto Cierre del proyecto Debido al impacto que supone la implementación de los requisitos de PCI DSS, en la primera fase del proyecto cobra especial importancia la delimitación del alcance y la identificación de los componentes afectados. Durante la fase de análisis, utilizamos los procedimientos de prueba y criterios de evaluación definidos por PCI. Sólo de esta forma es posible garantizar el cumplimiento de los requisitos frente a quienes después exigirán los informes de auditoría (entidades adquirientes, comercios o las propias compañías de tarjetas). Identificamos no sólo los puntos de no conformidad, sino también las oportunidades de mejora y recomendaciones para el cumplimiento de PCI DSS. Trascurrido un plazo razonable para la resolución de no conformidades, se prepara el Informe de Cumplimiento y la Declaración de Cumplimiento con todo el apoyo necesario para finalizar los registros y envío a marcas de toda la documentación necesaria. Contacto servicios PCI: PCI-DSS@sia.es Desarrollar y mantener una red segura. Proteger los datos del titular de la tarjeta. Mantener un programa de administración de vulnerabilidad. Implementar medidas sólidas de control de acceso. Supervisar y evaluar las redes con regularidad. Mantener una política de seguridad de información. 1. Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas. 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores. 3. Proteja los datos del titular de tarjeta que fueron almacenados. 4. Cifrar la transmisión de los datos de titular de tarjeta en las redes públicas abiertas. 5. Utilice y actualice regularmente el software o los programas antivirus. 6. Desarrolle y mantenga sistemas y aplicaciones seguros. 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio. 8. Asignar un ID exclusivo a cada persona que tenga acceso por computadora. 9. Restringir el acceso físico a los datos de titular de tarjeta. 10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas. 11. Pruebe con regularidad los sistemas y procesos de seguridad. 12. Mantenga una política que aborde la seguridad de la información para todo el personal.

×