PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) se refiere a un conjunto de políticas y procedimientos formado en 2004 por Mastercard, Visa, American Express, JCB International y Discover Financial Services para garantizar que se mantienen las máximas medidas de seguridad de las tarjetas de crédito y débito contra el robo de datos y el fraude.
El esquema de cumplimiento está regido por el Card Industry Security Standards Council (PCI SSC). Su estructura se compone de 12 requisitos vitales, 6 objetivos principales, más de 400 procedimientos de prueba y 78 requisitos básicos.
Cumplimiento de la PCI
El cumplimiento de la Industria de Tarjetas de Pago (PCI) es un componente fundamental que permite a las empresas de tarjetas de crédito asegurarse de que se mantienen los más altos estándares de seguridad de las tarjetas de crédito. Por lo tanto, las empresas que siguen y se adhieren al PCI DSS se consideran conformes con el PCI.
Certificación PCI DSS
Esta certificación garantiza que la seguridad de los datos de las tarjetas pasa por los requisitos establecidos por el consejo rector PCI SSC. Algunos de estos requisitos son la instalación de cortafuegos, el cifrado de datos, la restricción del acceso a los datos y muchos otros.
Requisitos PCI DSS
Para mantener el máximo nivel de seguridad, el Card Industry Security Standards Council (PCISC) ha establecido 12 requisitos principales para el tratamiento de la información de los titulares de tarjetas. Los requisitos se dividen a su vez en seis categorías en función de sus objetivos. Los seis objetivos más amplios incluyen la supervisión y comprobación de la red, la gestión de vulnerabilidades, el control de acceso, la red segura, la seguridad de la información y la seguridad de los datos de los titulares de tarjetas.
| Goals | Objetivos Requisitos PCI DSS |
|---|---|
| Construir y mantener una red y unos sistemas seguros | 1. Instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de las tarjetas. 2. Proteger los datos de los titulares de las tarjetas. 2. No utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. |
| 3. Proteger los datos de los titulares de tarjetas | Proteger los datos almacenados de los titulares de tarjetas 4. 4. Cifrar la transmisión de datos de los titulares de tarjetas a través de redes públicas abiertas. |
| Mantener un programa de gestión de vulnerabilidades | 5. Proteger todos los sistemas contra el malware y actualizar periódicamente el software o los programas antivirus 6. Desarrollar y mantener sistemas y aplicaciones seguros |
| 7. Aplicar medidas estrictas de control de acceso | 7. Restrinja el acceso a los datos de los titulares de tarjetas en función de la necesidad de conocerlos 8. Identifique y autentique el acceso al sistema 8. Identifique y autentique el acceso a los componentes del sistema 9. Restrinja el acceso físico a los datos de los titulares de tarjetas 9. Restringir el acceso físico a los datos de los titulares de tarjetas |
| Supervisar y probar las redes con regularidad | 10. Controlar y supervisar todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas 11. Comprobar periódicamente los sistemas y procesos de seguridad 11. Probar periódicamente los sistemas y procesos de seguridad |
| Mantener una política de seguridad de la información | 12. Mantener una política que aborde la seguridad de la información para todo el personal. |
Niveles de cumplimiento de PCI DSS
El cumplimiento de la norma PCI se compone de cuatro niveles, basados en las transacciones con tarjeta de crédito o débito procesadas en un año comercial. También se tienen en cuenta otros factores, como los niveles de riesgo que presentan las marcas de pago. La clasificación del cumplimiento de la PCI es relevante para determinar qué deben hacer las empresas o los particulares para estar en conformidad.
Nivel 1 – Más de 6 millones de transacciones anuales
Nivel 2 – Entre 1 y 6 millones de transacciones anuales
Nivel 3 – Entre 20.000 y 1 millón de transacciones anuales
Nivel 4 – Menos de 20.000 transacciones anuales
Nota: Los distintos emisores de tarjetas tienen diferentes niveles de cumplimiento.
Ventajas de PCI DSS
Viviendo en un mundo en el que las transacciones digitales son el epítome de la economía mundial, PCI DSS tiene numerosos beneficios, tanto para los comerciantes como para los clientes. He aquí algunas ventajas clave:
- Protección del cliente frente a las filtraciones de datos y el fraude
- Reduce los riesgos de violación de datos
- Cultiva una mentalidad que da prioridad a la seguridad
- Mejora la reputación de la marca
- Crea una base de referencia para las próximas normativas
Artículo anterior