¿Qué es el cumplimiento de PCI DSS?

PCI-DSS es el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago. Como su propio nombre indica, esta norma se aplica al sector de las tarjetas de pago.

¿Por qué se exige cumplir la normativa PCI DSS?

Las transacciones financieras están sujetas a riesgos, ya sea en efectivo o con tarjeta. Para las transacciones en efectivo, la seguridad física es crucial. Para las transacciones con tarjeta, la seguridad de los datos pasa a un primer plano y la seguridad física a un segundo. La tarjeta de pago puede ser de crédito o de débito. Si los datos financieros y personales de la tarjeta de pago están protegidos, se evitarán las transacciones fraudulentas.

Si los datos de la tarjeta de pago no están protegidos:

El cliente puede perder el dinero.
Los comerciantes y las instituciones financieras perderán credibilidad y, a su vez, el negocio.
Conllevará acciones penales y multas.

Así, la industria de tarjetas de pago tomó la iniciativa propia de regular la transacción de datos de tarjetas con normas de seguridad de datos.

Los principales actores de la industria de datos de tarjetas Visa, Master Card, American Express, Discover y JCB formaron una alianza en 2006 para crear un consejo de estándares de seguridad para la industria de tarjetas de pago. El consejo formuló las normas de seguridad para todos los datos implicados en las transacciones con tarjeta de pago. Todas las entidades que intervienen en las transacciones con tarjeta de pago deben cumplir el PCI DSS (firewall para el cumplimiento de PCI DSS). La norma abarca a los pequeños, medianos y grandes comerciantes, bancos e instituciones financieras que participan en las transacciones con tarjeta y se rigen por el PCI-DSS. Para los desarrolladores de aplicaciones de software, es PCI PA-DSS. Para los proveedores de TPV y fabricantes de hardware, es PCI-PTS. Entre ellas, la PCI DSS es importante porque controla un gran número de entidades. Estas entidades participan en millones de transacciones con tarjeta.

¿Qué datos de las tarjetas de pago debe proteger?

Los ladrones de datos buscan los datos del titular de la tarjeta y de autenticación.

Datos del titular de la tarjeta

Número de cuenta principal (PAN)
Nombre del titular
Fecha de caducidad
Código de servicio

Datos sensibles de autenticación

Datos completos de la pista (datos de la banda magnética o equivalente en un chip)
CAV2/CVC2/CVV2/CID
PIN/bloques de PIN

Todos los implicados en las transacciones con tarjeta de pago deben garantizar que los datos están protegidos. Para proteger los datos, el consejo de seguridad del PCI DSS ha ideado una serie de requisitos que se deben cumplir.

¿Qué cubre el cumplimiento de PCI DSS?

El PCI DSS tiene 12 requisitos y procedimientos de prueba que abarcan los componentes técnicos y operativos.

Qué lograr	Cómo lograrlo
Crear y mantener una red segura	Instalar y mantener la configuración del firewall para proteger los datos del titular de la tarjeta. No utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
Proteger los datos del titular de la tarjeta	Proteger los datos del titular de la tarjeta almacenados. Cifrar la transmisión de datos del titular de la tarjeta a través de redes abiertas y públicas.
Mantener un programa de gestión de vulnerabilidades	Utilizar y actualizar regularmente el software o los programas antivirus. Desarrollar y mantener sistemas y aplicaciones seguros.
Implementar medidas de control de acceso sólidas	Restringir el acceso a los datos del titular de la tarjeta únicamente cuando sea necesario por motivos empresariales. Asignar una identificación única a cada persona con acceso al equipo. Restringir el acceso físico a los datos del titular de la tarjeta.
Monitorear y probar redes regularmente	Supervisar y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta. Probar regularmente los sistemas y procesos de seguridad.
Mantener una directiva de seguridad de la información	Mantener una directiva que aborde la seguridad de la información para los empleados y contratistas.

El proceso para proteger los datos de los titulares de tarjetas de cualquier organización (¿Cómo lograr el cumplimiento de PCI DSS?) consta de tres pasos.

Estos son:

Evaluar

En este paso, identifique los datos del titular de la tarjeta, haga un inventario de los activos de TI y del proceso de negocio de las tarjetas de pago, y analice la vulnerabilidad. Para la evaluación, hay asesores de seguridad cualificados. Elija un asesor disponible cerca de usted. Para los pequeños comerciantes y proveedores de servicios basta con el cuestionario de autoevaluación (SAQ).

Resolver

Solucione la vulnerabilidad y no almacene los datos del titular de la tarjeta a menos que sea absolutamente necesario. Asegúrese de monitorear continuamente el cumplimiento. El monitoreo periódico puede tener lagunas importantes para el robo de datos.

Informar

Compile y envíe los informes de cumplimiento de PCI DSS a la marca de la tarjeta o al banco que la aplique. El consejo de seguridad del PCI-DSS no exige un firewall para el cumplimiento de PCI DSS. Sólo lo hacen las marcas de tarjetas o el banco.

Cómo Firewall Analyzer le facilita el cumplimiento de PCI DSS

Firewall Analyzer monitorea continuamente la red para comprobar el firewall para el cumplimiento del PCI-DSS (configuración del firewall para el cumplimiento del PCI). El informe del firewall para el cumplimiento del PCI se puede generar en cualquier momento para cumplir los requisitos de auditoría. También puede programar informes del firewall del PCI y registrarlos para futuras referencias, garantizando así que el firewall cumpla la norma PCI DSS (firewall que cumple la norma PCI). Consulte los requisitos de cumplimiento del PCI-DSS cubiertos por Firewall Analyzer.