PCI DSS

De Wikipedia, la enciclopedia libre

Este artículo o sección sobre economía necesita ser wikificado con un formato acorde a las convenciones de estilo. Por favor, edítalo para que las cumpla. Mientras tanto, no elimines este aviso puesto el 11 de agosto de 2008. También puedes ayudar wikificando otros artículos.

PCI DSS es: Payment Card Industry Data Security Standard y significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Crédito .

Ha sido desarrollado en conjunto por la agrupación de las compañías de tarjetas de crédito más importantes, como una guía que ayude a las organizaciones que procesan o manejan tarjetas de crédito con el fin de prevenir los fraudes de tarjetas de crédito relacionados a los sistemas informáticos y sus riesgos.

Las compañías que procesan, guardan o trasmiten datos de transacciones de tarjetas de crédito deben cumplir con el estándar o arriesgan la perdida de sus permisos para procesar las tarjetas de crédito (Perdida de franquicias), enfrentar auditorias rigurosas o pagos de multas^[1] Los Comerciantes y proveedores de servicios de tarjetas de crédito, deben validar su cumplimiento al estándar en forma periódica.

Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Solo las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una auto evaluación utilizando un cuestionario provisto por el Consocio del PCI.

[editar] Requerimientos

La versión actual de la norma (1.2)^[2] especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas "objetivos de control."

Los objetivos de control y sus requisitos son los siguientes:

• Desarrollar y Mantener una Red Segura
  • Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los tarjetahabientes.
  • Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los suplidores.
• Proteger los Datos de los Tarjetahabientes
  • Requisito 3: Proteger los datos de los tarjetahabientes que estén almacenados.
  • Requisito 4: Cifrar los datos de los tarjetahabientes e información confidencial transmitida a través de redes públicas abiertas.
• Mantener un Programa de Manejo de Vulnerabilidad
  • Requisito 5: Usar y actualizar regularmente el software antivirus.
  • Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
• Implementar Medidas Sólidas de Control de Acceso
  • Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
  • Requisito 8: Asignar una Identificación única a cada persona que tenga acceso a un computador.
  • Requisito 9: Restringir el acceso físico a los datos de los tarjetahabientes.
• Monitorear y Probar Regularmente las Redes
  • Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los tarjetahabientes.
  • Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
• Mantener una Política de Seguridad de la Información
  • Requisito 12: Mantener una política que contemple la seguridad de la información

[editar] Referencias

[editar] Enlaces externos

• PCI DSS Norma en español
• Preguntas Frecuentes
• Documentos de Soporte
• Sociedad de pago de los profesionales de la seguridad Profesionales Certificados CPISM certificación
• PCI DSS Noticias e Información
• Conferencias de PCI en Europa - Europa PCI