CONFIANZA
SEGURIDAD
FLEXIBILIDAD
CONCEPTOS PCI
Desde 2005, más de 11.000 millones de registros de clientes han quedado expuestos por culpa de más de 8.500 filtraciones de datos.
Para mejorar la seguridad de los datos de los consumidores y la confianza en el ecosistema de pagos, se creó una normativa básica para la seguridad de los datos. En 2006, Visa, Mastercard, American Express, Discover y JCB formaron el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC, por sus siglas en inglés) destinado a administrar y gestionar los estándares de seguridad de las empresas que manejan datos de tarjetas de crédito.
Antes de la creación del consejo, estas cinco empresas de tarjetas de crédito tenían sus propios programas con estándares de seguridad, aunque todas compartían unos requisitos y objetivos bastante similares. Con el fin de adoptar unos estándares unificados, se unieron en el PCI SSC y establecieron las Normas de Seguridad de los Datos de PCI (conocidas como la «normativa PCI») para garantizar unos mínimos de protección para los consumidores y los bancos en la era de Internet.
PCI DSS
PCI DSS es un conjunto de requisitos para la seguridad de datos de cuentas de pago, y es vital si manejas cualquier tipo de datos de tarjeta de crédito dentro de tu organización. Es importante tener en cuenta que recientemente se han realizado cambios en torno a PCI DSS.
Es importante que revalúes tus procesos actuales para asegurarte de que todavía estás cumpliendo con los requisitos.
La seguridad informática está diseñada para proteger los activos informáticos, incluidos los siguientes:
La infraestructura computacional: es parte fundamental para el almacenamiento y manejo de la información, así como para el funcionamiento mismo de la organización. El papel de la seguridad informática en esta área es garantizar que los equipos funcionen correctamente y anticiparse en caso de fallas, robos, incendios, sabotajes, desastres naturales, cortes de energía y cualquier otro factor que amenace la infraestructura informática.
Usuarios: son las personas que utilizan la estructura tecnológica, el área de comunicaciones y quienes gestionan la información. El sistema en general debe estar protegido para que su uso no pueda poner en peligro la seguridad de la información y que la información que manejan o almacenan sea vulnerable.
Información: este es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información reconocido internacionalmente diseñado específicamente para aplicarse a organizaciones que manejan datos de tarjetas de crédito.
PCI DSS se creó con un objetivo simple: asegurarse de que las empresas puedan procesar pagos con tarjeta de crédito y débito de manera segura, protegiendo a las empresas y a los consumidores y reduciendo la probabilidad de fraude con tarjeta.
Los QSAs de PCI (Evaluadores de Seguridad Calificados de PCI) son individuos certificados para evaluar a comerciantes y proveedores de servicios contra el estándar, y proporcionar un informe formal de cumplimiento (ROC).
CI DSS es la normativa internacional de seguridad para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas o datos privados de autenticación. La normativa PCI DSS establece un estándar básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Se aplica a toda empresa u organización que acepte o procese datos de tarjetas de pago.
El cumplimiento de la normativa PCI DSS gira en torno a tres componentes principales:
Gestionar la recepción de los datos de tarjetas de crédito de los consumidores, es decir, reunir y transmitir los datos privados de las tarjetas de manera segura
Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de la normativa PCI (por ejemplo, mediante cifrado, con una monitorización contínua de los datos y verificando la seguridad del acceso a los datos de tarjeta)
Validar anualmente el funcionamiento de los controles de seguridad necesarios, lo que puede implicar formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros
Independientemente de cómo se acepten los datos de tarjeta, toda empresa debe completar anualmente un formulario de validación conforme a la normativa PCI. Ese proceso de validación del cumplimiento de la normativa PCI depende de varios factores (te los hemos descrito más abajo). A continuación, te presentamos tres casos por los que se le podría pedir a una empresa que demuestre que cumple con la normativa PCI:
Los procesadores de pagos pueden solicitarlo como parte de sus procesos de notificación a las marcas de tarjetas (es una obligación para los procesadores de pagos).
Los socios comerciales pueden solicitarlo como requisito previo a la firma de un acuerdo comercial.
Si el negocio puede considerarse una plataforma (es decir, si su tecnología facilita las transacciones entre usuarios), sus usuarios pueden solicitarlo para demostrarles a sus clientes que gestionan los datos de manera segura.
El último conjunto de normas de seguridad, la PCI DSS versión 3.2.1, incluye 12 requisitos principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.
.jpg)
CONFIDENCE
SECURITY
FLEXIBILITY
Certification, inspection and auditing solutions focused on business optimization.
AREAS DE ACTIVIDADES INTERCER
Copyright INTERCER. All rights reserved.
NOTA: ESTA WEB NO UTILIZA COOKIES NI NINGÚN MEDIO DE CONTROL VISITANTES.
