PCI-DSS

Viendo que cada día realizamos más transacciones bancarias utilizando los medios electrónicos, que cada vez existen más servicios de banca online y que la mayoría disponemos de tarjetas de débito o crédito, sumándole la grave crisis que atraviesa Europa y en particular España, y conociendo que cada vez existen más organizaciones criminales intentando engañar a usuarios y empresas para obtener dinero de manera rápida y fácil, voy a realizar un pequeño resumen de qué es, quién debe cumplirlo y cuáles son los controles necesarios que hay que satisfacer para securizar las transacciones bancarias que realizamos mediante tarjetas de pago.

¿Qué es PCI-DSS?

Es un estándar desarrollado por las principales compañías de tarjetas de débito y crédito, con la finalidad de asegurar las transacciones y datos de los clientes que realicen pagos mediante tarjetas, evitando los fraudes que puede involucrar su uso.

¿Quién debe cumplirlo?

Lo deben cumplir todos los proveedores de servicio (Bancos y Cajas) que procesen, guarden o transmitan información de las tarjetas, están obligados a realizar auditorías insitu anuales y análisis de vulnerabilidades trimestrales por auditores acreditados por Qualified Security Assesor (QSAs) pero … ¿y los comercios? Pues también deben cumplir el estándar, pero a estos sólo se les exige realizar cuestionarios de auto evaluación.

¿Cuáles son los requisitos para cumplir la PCI-DSS?

Crear y mantener una red segura
  • Requisito 1: Instale, mantenga y segmente la red mediante cortafuegos para proteger los datos de los titulares de las tarjetas.
  • Requisito 2: No use contraseñas ni configuraciones por defecto.
Proteja los datos del titular de la tarjeta
  • Requisito 3: Proteja los datos del titular de la tarjeta en discos cifrados.
  • Requisito 4: Cifre la transmisión de los datos de los titulares de tarjetas a través de red públicas abiertas.
Desarrolle un programa de administración de vulnerabilidad
  • Requisito 5: Utilice software antivirus actualizado.
  • Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.
Implemente medidas sólidas de control de acceso
  • Requisito 7: Utilice la ley de mínimo privilegio de acceso a los datos de los titulares de las tarjetas según los requerimientos de la empresa.
  • Requisito 8: Utilice nombres de usuarios únicos para cada persona que acceda al sistema informático.
  • Requisito 9: Limite el acceso físico a los datos del titular de la tarjeta.
Supervise y pruebe las redes regularmente
  • Requisito 10: Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas trazando todos los eventos.
  • Requisito 11: Pruebe los sistemas y procesos de seguridad regularmente.
Mantenga una política de seguridad de información
  • Requisito 12: Elabore y mantenga una política de seguridad de la información.

Aquí lo dejamos hoy, donde hemos visto un breve resumen del estándar PCI-DSS y los requisitos necesarios que se deben cumplir y que debemos exigir para que todos nosotros podamos realizar transacciones bancarias de manera segura y fiable desde cualquier lugar.

Commentaires