Diferencia entre revisiones de «PCI DSS»
Sin resumen de edición |
|||
| Línea 33: | Línea 33: | ||
== Enlaces externos == |
== Enlaces externos == |
||
* [http://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/pci_dss_v2-0.pdf PCI DSS Norma en español] |
* [http://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/pci_dss_v2-0.pdf PCI DSS Norma en español v2] |
||
* [https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf PCI DSS Norma en español v3] |
|||
* [https://www.pcisecuritystandards.org/security_standards/supporting_documents.shtml Documentos de Soporte] |
* [https://www.pcisecuritystandards.org/security_standards/supporting_documents.shtml Documentos de Soporte] |
||
* [http://www.pcihispano.com/ Información de los estándares del PCI SSC en Español] |
* [http://www.pcihispano.com/ Información de los estándares del PCI SSC en Español] |
||
Revisión del 19:24 10 mar 2016
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.
Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas[1] Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.
Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs). Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).
Requisitos
La versión actual de la norma (2.0)[2] especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas "objetivos de control."
Los objetivos de control y sus requisitos son los siguientes:
- Desarrollar y Mantener una Red Segura
- Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
- Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
- Proteger los Datos de los propietarios de tarjetas.
- Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
- Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
- Mantener un Programa de Gestión de Vulnerabilidades
- Requisito 5: Usar y actualizar regularmente un software antivirus.
- Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
- Implementar Medidas sólidas de control de acceso
- Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
- Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.
- Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.
- Monitorizar y probar regularmente las redes
- Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
- Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
- Mantener una Política de Seguridad de la Información
- Requisito 12: Mantener una política que contemple la seguridad de la información