PCI DSS

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.

Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas^[1]​ Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento del estándar de forma periódica.

Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).

Requisitos[editar]

La versión actual de la normatividad (3.2)^[2]​ especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas "objetivos de control."

Los objetivos de control y sus requisitos son los siguientes:

• Desarrollar y mantener una red segura
  • Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
  • Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
• Proteger los datos de los propietarios de tarjetas.
  • Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
  • Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
• Mantener un Programa de Gestión de Vulnerabilidades
  • Requisito 5: Usar y actualizar regularmente un software antivirus.
  • Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
• Implementar Medidas sólidas de control de acceso
  • Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
  • Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.
  • Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.
• Monitorizar y probar regularmente las redes
  • Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
  • Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
• Mantener una Política de Seguridad de la Información
  • Requisito 12: Mantener una política que contemple la seguridad de la información

Referencias[editar]

Enlaces externos[editar]

• ¿Qué es PCI DSS?
• PCI DSS Norma en español v2
• PCI DSS Norma en español v3
• PCI DSS Norma en español v3.2
• Documentos de Soporte
• Información de los estándares del PCI SSC en Español
• Introducción a PCI DSS