¿En qué consiste la normativa PCI DSS? ¿Cómo cumplirla?

PCI DSS responde a las siglas Payment Card Industry Data Security Standard y comprende un framework o marco de referencia para certificar que las entidades al él adscritas cumplen con unas normativas de seguridad en sistemas informáticos, de red y datos.

Este estandar de seguridad comprende un conjunto de requisitos mínimos para proteger los datos de cuenta, pudiendo ser ampliado su alcance mediante controles adicionales. Por tanto, es compatible con otras normativas o reglas nacionales que lo optimicen.

Otros sectores, como la medicina, deben cumplir con marcos de referencia análogos como HIPAA. Otros importantes incluyen SOX, que aplica  globalmente en EEUU, FISMA, etcétera.

Ámbitos de aplicación

Este estándar aplica a cualquier entidad (pública o privada) que almacena, procesa o transmite CHD: bancos, comercios, procesadores de pago (pasarelas), proveedores de servicios.

Los requisitos de seguridad de PCI-DSS aplican a todos los componentes de sistemas incluidos y/o conectados al entorno de datos del titular (CDE – Cardholder data environment).

El CDE está compuesto por personas, procesos y tecnologías que almacenan, procesan o transmiten CHD SAD.

Categorías del estándar PCI DSS

PCI DSS define dos categorías de datos de cuentas de pago:

  • Cardholder data (CHD): los datos del titular de tarjetas incluyen el PAN (Primary Account Number o número principal de cuenta), el nombre del titular, fecha de expiración y código de servicio.
  • Sensitive Account Data (SAD): los datos de autenticación sensibles incluyen el registro total de datos (en banda magnética o más recientemente, en chip), el código de seguridad de la tarjeta (CAV2/CVC2/CVV2/CID) y los números de identificación personal (PIN) usados para completar las transacciones.

Normativa de cumplimiento para PCI DSS

Referido a secas como “PCI” de manera mas coloquial, este marco recoge 12 puntos principales para garantizar el cumplimiento de 6 controles de seguridad diferentes.

Actualmente en su versión 3.2.1, el marco es revisado y actualizado constantemente para recoger nuevos requisitos o aplicar nuevos estándares de seguridad.

OBJETIVO REQUISITOS
Construir y mantener una red y sistemas seguros
1. Instalar y administrar la configuración de cortafuegos para proteger datos de los titulares de tarjetas

2. No emplear credenciales y otros parámetros de seguridad predefinidos, suministrados por fabricantes

 

Proteger los datos del titular
3. Proteger la información del titular almacenada

4. Emplear comunicación cifrada al transmitir datos del titular sobre redes abiertas o públicas.

 

Mantener un programa de getión de vulnerabilidades
5. Proteger todos los sistemas frente al malware, actualizando la protección empleada regularmente

6. Desarrollar y gestionar sistemas y aplicaciones seguros

 

Implementar medidas robustas de control de acceso
7. Restringir acceso a los datos de titular al mínimo necesario para su gestión

8. Identifdentificar y autenticar los accesos a componentes del sistema

9. Restringir  el acceso físico a los datos de titulares

 

Monitorizar y poner a prueba las redes regularmente
10. Mantener seguimiento y monitorizar todo acceso a recursos de red y datos de titulares

11. Realizar test de intrusión y seguridad a los sistemas y procesos regularmente

 

Mantener una política de Seguridad de la Información 12. Mantener una política que regule la seguridad de la información para todo el personal

 

 

Más información [ aquí ]

 

 

Fuente noticia: https://www.protegermipc.net/
Fuente foto: freepik.es
¿Te gustó este artículo? Compártelo!Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *