PCI DSS

Saltar a: navegacin, bsqueda PCI DSS, en su idioma nativo (Ingls): Payment Card Industry Data Security Standard, significa Estndar de Seguridad de Datos para la Industria de Tarjeta de Pago. Este estndar ha sido desarrollado por un comit conformado por las compaas de tarjetas (dbito y crdito) ms importantes, comit denominado PCI SSC (Payment Card Industry Security Standards Council) como una gua que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago dbito y crdito. Las compaas que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estndar o arriesgan la prdida de sus permisos para procesar las tarjetas de crdito y dbito (Perdida de franquicias), enfrentar auditoras rigurosas o pagos de multas1 Los Comerciantes y proveedores de servicios de tarjetas de crdito y dbito, deben validar su cumplimiento al estndar en forma peridica. Esta validacin es realizada por auditores autorizados Qualified Security Assessor (QSAs). Slo a las compaas que procesan menos de 80,000 transacciones por ao se les permite realizar una auto evaluacin utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).

Requisitos (Requirements)
La versin actual de la norma (2.0)2 especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lgicamente, que son llamadas "objetivos de control." Los objetivos de control y sus requisitos son los siguientes:

Desarrollar y Mantener una Red Segura o Requisito 1: Instalar y mantener una configuracin de cortafuegos para proteger los datos de los propietarios de tarjetas. o Requisito 2: No usar contraseas del sistema y otros parmetros de seguridad predeterminados provistos por los proveedores. Proteger los Datos de los propietarios de tarjetas. o Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas. o Requisito 4: Cifrar los datos de los propietarios de tarjetas e informacin confidencial transmitida a travs de redes pblicas abiertas. Mantener un Programa de Gestin de Vulnerabilidades o Requisito 5: Usar y actualizar regularmente un software antivirus. o Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras. Implementar Medidas slidas de control de acceso o Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la informacin.

Requisito 8: Asignar una Identificacin nica a cada persona que tenga acceso a un computador. o Requisito 9: Restringir el acceso fsico a los datos de los propietarios de tarjetas. Monitorear (Monitorizar) y Probar regularmente las redes o Requisito 10: Rastrear y monitorizar (monitorear) todo el acceso a los recursos de la red y datos de los propietarios de tarjetas. o Requisito 11: Probar regularmente los sistemas y procesos de seguridad. Mantener una Poltica de Seguridad de la Informacin o Requisito 12: Mantener una poltica que contemple la seguridad de la informacin

Referencias
1. In Data Leaks, Culprits Often Are Mom, Pop - WSJ.com 2. PCI DSS - PCI Security Standards Council

Enlaces externos

PCI DSS Norma en espaol Preguntas Frecuentes Documentos de Soporte Sociedad de pago de los profesionales de la seguridad Profesionales Certificados CPISM certificacin PCI DSS Noticias e Informacin Conferencias de PCI en Europa - Europa PCI