PCI DSS responde a las siglas Payment Card Industry Data Security Standard y comprende un framework o marco de referencia para certificar que las entidades al él adscritas cumplen con unas normativas de seguridad en sistemas informáticos, de red y datos.
Este estandar de seguridad comprende un conjunto de requisitos mínimos para proteger los datos de cuenta, pudiendo ser ampliado su alcance mediante controles adicionales. Por tanto, es compatible con otras normativas o reglas nacionales que lo optimicen.
Otros sectores, como la medicina, deben cumplir con marcos de referencia análogos como HIPAA. Otros importantes incluyen SOX, que aplica globalmente en EEUU, FISMA, etcétera.
Ámbitos de aplicación
Este estándar aplica a cualquier entidad (pública o privada) que almacena, procesa o transmite CHD: bancos, comercios, procesadores de pago (pasarelas), proveedores de servicios.
Los requisitos de seguridad de PCI-DSS aplican a todos los componentes de sistemas incluidos y/o conectados al entorno de datos del titular (CDE – Cardholder data environment).
El CDE está compuesto por personas, procesos y tecnologías que almacenan, procesan o transmiten CHD SAD.
Categorías del estándar PCI DSS
PCI DSS define dos categorías de datos de cuentas de pago:
- Cardholder data (CHD): los datos del titular de tarjetas incluyen el PAN (Primary Account Number o número principal de cuenta), el nombre del titular, fecha de expiración y código de servicio.
- Sensitive Account Data (SAD): los datos de autenticación sensibles incluyen el registro total de datos (en banda magnética o más recientemente, en chip), el código de seguridad de la tarjeta (CAV2/CVC2/CVV2/CID) y los números de identificación personal (PIN) usados para completar las transacciones.
Normativa de cumplimiento para PCI DSS
Referido a secas como “PCI” de manera mas coloquial, este marco recoge 12 puntos principales para garantizar el cumplimiento de 6 controles de seguridad diferentes.
Actualmente en su versión 3.2.1, el marco es revisado y actualizado constantemente para recoger nuevos requisitos o aplicar nuevos estándares de seguridad.
| OBJETIVO | REQUISITOS |
| Construir y mantener una red y sistemas seguros |
1. Instalar y administrar la configuración de cortafuegos para proteger datos de los titulares de tarjetas
2. No emplear credenciales y otros parámetros de seguridad predefinidos, suministrados por fabricantes
|
| Proteger los datos del titular |
3. Proteger la información del titular almacenada
4. Emplear comunicación cifrada al transmitir datos del titular sobre redes abiertas o públicas.
|
| Mantener un programa de getión de vulnerabilidades |
5. Proteger todos los sistemas frente al malware, actualizando la protección empleada regularmente
6. Desarrollar y gestionar sistemas y aplicaciones seguros
|
| Implementar medidas robustas de control de acceso |
7. Restringir acceso a los datos de titular al mínimo necesario para su gestión
8. Identifdentificar y autenticar los accesos a componentes del sistema 9. Restringir el acceso físico a los datos de titulares
|
| Monitorizar y poner a prueba las redes regularmente |
10. Mantener seguimiento y monitorizar todo acceso a recursos de red y datos de titulares
11. Realizar test de intrusión y seguridad a los sistemas y procesos regularmente
|
| Mantener una política de Seguridad de la Información | 12. Mantener una política que regule la seguridad de la información para todo el personal
|
Más información [ aquí ]
Fuente noticia: https://www.protegermipc.net/ Fuente foto: freepik.es
