Cumplimiento de PCI

Demuestre el Cumplimiento hasta de los más confusos requisitos de PCI DSS, gracias a soluciones que lo ayudan a ahorrar tiempo, proteger a sus clientes y evitar multas.

¿Qué es PCI DSS?

Tablet with security check

El Estándar de Seguridad de la Información para la Industria de las Tarjetas de Pago (PCI DSS por sus siglas en inglés) es el conjunto de requisitos diseñado para asegurar que toda empresa que procese, almacene o transmita información de tarjetas de crédito lo haga en un entorno seguro. Los requisitos se establecieron para ayudar a prevenir las filtraciones de datos de pago y el fraude con tarjetas de pago.

Los estándares PCI abarcan tanto las soluciones técnicas como las prácticas y los procesos operativos incluidos o relacionados con los sistemas que procesen datos de titulares de tarjetas de pago.

El Consejo de Estándares de Seguridad de PCI (PCI SSC, por sus siglas en inglés) es un organismo independiente que administra y gestiona este estándar. Está formado por las principales empresas de pago, como Visa, MasterCard, American Express, Discover y JCB. Sin embargo, exigir el Cumplimiento de PCI DSS es responsabilidad de las marcas de pago individualmente.

El Consejo proporciona estándares exhaustivos y presta asistencia para ayudar a proteger la información sensible de los titulares de tarjetas. PCI DSS es el marco que las organizaciones de la industria de los pagos pueden utilizar para desarrollar y mantener un proceso de Seguridad de la Información que incluya la prevención, detección y respuesta adecuada a posibles incidentes de Seguridad.

PCI Compliance

¿Qué incluyen los estándares de Seguridad PCI DSS?

PCI DSS incluye 12 requisitos de Cumplimiento diseñados para proteger y asegurar los datos de los titulares de tarjetas. Los equipos de IT tienen el reto de abordar cada uno de ellos en su entorno único, para lo cual recurren a soluciones de Seguridad en capas o a una suite de soluciones de Seguridad de datos.

Los 12 requisitos de PCI DSS son:

  1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas.
  2. No utilizar los valores predeterminados suministrados por el proveedor en las contraseñas del sistema y otros parámetros de Seguridad.
  3. Proteger los datos almacenados de los titulares de las tarjetas.
  4. Encriptar la transmisión de los datos de los titulares de las tarjetas por redes públicas abiertas.
  5. Utilizar software o programas antivirus y actualizarlos regularmente.
  6. Desarrollar y mantener sistemas y aplicaciones seguros.
  7. Restringir el acceso a los datos de los titulares de las tarjetas según la necesidad de conocimiento que tenga el Negocio.
  8. Asignar un ID único a cada persona que tenga acceso a una computadora.
  9. Restringir el acceso físico a los datos de los titulares de las tarjetas.
  10. Rastrear y monitorear todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas.
  11. Testear regularmente los sistemas y procesos de Seguridad.
  12. Mantener una política que aborde la Seguridad de la Información de todo el personal.

 

¿Quién tiene que cumplir con PCI DSS?

Cualquier organización (desde un restaurante familiar hasta empresas globales) que acepte, transmita, procese o almacene tarjetas de pago o datos de los titulares de las tarjetas tiene que cumplir con PCI DSS. Sin embargo, hay diferencias en el grado de Cumplimiento de PCI necesario, en función del volumen de transacciones de una organización en un año determinado.

¿Cuáles son los diferentes niveles de Cumplimiento de PCI?

Aunque TODAS las organizaciones que aceptan, transmiten, procesan o almacenan datos de los titulares de las tarjetas están sujetas a los requisitos de PCI DSS, las organizaciones individuales están sujetas a cuatro niveles de Cumplimiento distintos. Estos niveles se basan en el volumen de transacciones en un periodo de 12 meses:

Nivel 1:

Comerciantes que procesan más de 6 millones de transacciones de tarjetas al año

Nivel 2:

Comerciantes que procesan de 1 a 6 millones de transacciones de tarjetas al año

Nivel 3:

Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año

Nivel 4:

Comerciantes que procesan menos de 20.000 transacciones al año

En el nivel más alto de Cumplimiento (Nivel 1), las organizaciones necesitan que un Asesor de Seguridad Cualificado (QSA) o un Asesor de Seguridad Interno (ISA) lleven a cabo una auditoría externa. En esta evaluación, se validará el alcance del consentimiento, se revisará la documentación, se determinará si se cumplen los requisitos de PCI DSS y proporcionará orientación para su Cumplimiento. Después, se envía un Reporte de Cumplimiento (RoC) para demostrar el Cumplimiento.

Las organizaciones sujetas a un menor nivel de Cumplimiento (niveles 2 a 4) no necesitan la auditoría externa y pueden rellenar un cuestionario de autoevaluación. La organización de nivel 2 también tendrá que completar un Reporte de Cumplimiento.

 

Cuestionario de autoevaluación de PCI

Lista de comprobación del Cumplimiento de PCI DSS

  • ¿Tiene un firewall para proteger los datos de los titulares de las tarjetas en todos los sistemas que se utilicen para almacenar, procesar o transmitir esos datos?
  • ¿Se actualiza y mantiene regularmente? ¿Ha sustituido las contraseñas por defecto por alternativas únicas y seguras?
  • ¿Las contraseñas se protegen y se almacenan de forma segura para minimizar los riesgos de exposición?

 

  • ¿Se han implantado controles de Seguridad para proteger los datos almacenados en sus sistemas internos?
  • ¿Protege los datos de los titulares de las tarjetas cuando están en tránsito?
  • ¿Utiliza encriptación para proteger los datos de los titulares de las tarjetas?
  • ¿Están protegidos los datos cuando viajan por redes abiertas o están en reposo?
  • ¿Cuenta con software o programas antivirus en toda la organización?
  • ¿Los programas o el software están actualizados con la versión más reciente?
  • ¿Revisa regularmente su software?
  • ¿Necesita desarrollar sus sistemas y aplicaciones para cumplir con PCI DSS?
  • ¿Ha restringido el acceso a los datos de los titulares de las tarjetas en sus sistemas internos?
  • ¿Se restringe el acceso solo a lo que es necesario saber o gestionar para hacer el trabajo diario?
  • ¿La necesidad de completar una tarea es mayor que el riesgo de dar acceso a los datos?
  • ¿Ha proporcionado a todos los miembros de su organización un ID de usuario único para acceder a las computadoras?
  • ¿Su administrador del sistema gestiona los permisos o el control de acceso de estos ID únicos?
  • ¿Los controles de acceso y los permisos se conceden en función de la necesidad de saber para hacer el trabajo?
  • ¿Restringe el acceso físico a los servidores, computadoras, centros de datos, etc., donde pueden residir, procesarse o enviarse los datos de los titulares de las tarjetas?
  • ¿Registra y monitorea a todos los visitantes que acceden a áreas de la organización en las que puede haber acceso a los datos de los titulares de las tarjetas?
  • ¿Todos los soportes físicos se almacenan de forma segura para evitar accesos inapropiados?
  • ¿Revisa las redes de su organización periódicamente para evitar su explotación?
  • ¿Sus procesos de revisión se registran para contar con las pistas de auditoría reglamentarias?
  • ¿Prueba sus sistemas con frecuencia para detectar vulnerabilidades y, si se encuentran, se abordan y se mantienen correctamente?
  • ¿Se testea para encontrar vulnerabilidades cuando se instala un nuevo software o se hacen cambios en la configuración?
  • ¿Las pruebas incluyen el escaneo de vulnerabilidades de las redes internas y externas y pruebas de penetración?
  • ¿Monitorea los archivos críticos del sistema para asegurarse de que no se modifiquen ni se acceda a ellos sin autorización?

Mantener una política de Seguridad de Datos:

Establecer el tono de la organización puede ayudar a reforzar el Cumplimiento de PCI DSS y la Seguridad de la Información. Las organizaciones pueden desarrollar programas periódicos de capacitación y educación continua sobre la Seguridad de los datos y, en concreto, sobre el Cumplimiento de PCI DSS.

Política interna de Seguridad de Datos

¿Cuenta con una política interna de Seguridad de Datos?

Requisitos de PCI DSS

¿Su política cubre todos los requisitos de PCI DSS?

Cambios en los sistemas internos

¿La política se revisa periódicamente o cuando se producen cambios en los sistemas internos?

Responsabilidades del Cumplimiento de PCI

¿Su política aborda cómo identificar y monitorear las responsabilidades de Cumplimiento de PCI de los proveedores de servicios?

Filtraciones de datos

¿Hay un plan de respuesta a incidentes que se pueda implementar de inmediato en caso de fugas de datos?

Cumpla con PCI DSSS con una suite de soluciones de Seguridad

Cumplir con PCI DSS requiere un enfoque por capas, que se puede implementar mejor con una suite de soluciones de Seguridad que puedan integrarse fácilmente en toda la empresa, para proteger los datos sensibles. Fortra ofrece una variedad de productos que le ayudarán a cumplir con PCI DSS de forma fácil y sin complicaciones.

Prevención de Pérdida de Datos (DLP)

Las soluciones de Prevención de Pérdida de Datos (DLP) de la línea de productos Clearswift, de Fortra, aplican el tratamiento de Seguridad óptimo a los datos de los titulares de tarjetas de pago. Poseen diccionarios personalizados y más de 200 tokens preconfigurados para ayudar a simplificar la definición de políticas y cumplir con PCI DSS. Sus funcionalidades de redacción permiten que cualquier contenido que se considere una infracción de PCI se modifique dinámicamente (se redacte o se sanitice) para permitir la entrega de comunicaciones legítimas y que la colaboración entre partes sea segura y continua.

Clasificación de Datos

Las soluciones de software de Clasificación de Datos de Fortra ayudan a proteger los datos personales reduciendo el riesgo de una fuga de datos mediante la aplicación de etiquetas visuales y de metadatos a un documento o un correo electrónico relacionado con PCI para ayudar a garantizar que la información se maneja de forma confidencial y adecuada en línea con los requisitos de la PCI, activando el cifrado cuando sea necesario. La información relacionada con la PCI puede identificarse claramente para ayudar a aplicar la DLP. Además, con fines de auditoría, la tecnología de clasificación puede ayudar a la búsqueda empresarial.

Evaluación de vulnerabilidades y Protección de intrusiones

Demostrar el Cumplimiento de PCI DSS es más fácil con la línea de soluciones de Seguridad Powertech. Las organizaciones que gestionan información de tarjetas de pago pueden identificar y cuantificar automáticamente las vulnerabilidades de Seguridad, así como proteger mejor su sistema contra las intrusiones. Además, las potentes funcionalidades de auditoría ayudan a cumplir los requisitos de auditoría de PCI DSS.

Transferencia Segura de Archivos (MFT)

Las soluciones de Transferencia Segura de Archivos ayudan a cumplir varios principios clave de PCI DSS. Protegen los datos en tránsito y en reposo mediante la encriptación, la realización de controles de integridad de las transferencias y la provisión de pistas de auditoría detalladas y reportes de todas las transferencias. Además, el incumplimiento de la norma PCI DSS se puede supervisar con un módulo de Cumplimiento y la información que recopila se puede utilizar para elaborar reportes detallados para cumplir con los requisitos de auditoría de PCI.

Colaboración Segura

La Colaboración Segura de Digital Guardian puede proteger los archivos que contienen información confidencial de los consumidores y datos PCI, sin importar dónde o cómo se compartan. Las organizaciones pueden encriptar y controlar el acceso a estos datos, así como rastrear y auditar los datos y revocar el acceso a los mismos.

Seguridad Ofensiva

La Seguridad Ofensiva es una parte bien definida en PCI DSS, con requisitos de realizar pruebas periódicas de los sistemas y procesos de Seguridad. Las soluciones de gestión de vulnerabilidades y pruebas de penetración ayudan a las organizaciones a cumplir con este requisito al encontrar, priorizar y verificar la corrección de vulnerabilidades externas e internas. Además, estas herramientas ayudan a demostrar el cumplimiento con sólidas capacidades de generación de reportes, que pueden proporcionar un registro completo a los auditores.

Firewall de aplicaciones web gestionado

A pesar de no ser un requisito explícito en PCI DSS 3.2.1, el requisito 6.4.2 de PCI DSS 4.0 exige un WAF para "detectar y prevenir continuamente ataques realizados a través de la web" contra sus aplicaciones y APIs. Fortra Managed WAF puede preparar a las organizaciones para PCI 4.0, ofreciendo un servicio WAF gestionado de extremo a extremo, con soporte de implementación y protecciones continuamente optimizadas.

Podemos ayudarlo con el Cumplimiento de PCI DSS

Solicite una sesión gratuita de 30 minutos con nuestro equipo para conversar sobre sus necesidades de Seguridad y analizar cuáles son las mejores soluciones para su organización. Lo ayudaremos a determinar cuáles son los siguientes pasos para cumplir con PCI DSS y proteger correctamente sus datos.

AGENDE SU CONSULTA GRATUITA