PCI DSS

 

PCI DSS, en su idioma nativo (Inglés): Payment Card Industry Data Security Standard, significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago.

Este estándar ha sido desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importante. Comité denominado PCI SSC (Payment Card Industry Security Standards Council). El objetivo es prevenir los fraudes que involucran tarjetas de pago débito y crédito.

PCI DSS establece las normas que las organizaciones deben de cumplir para asegurar los datos de titulares de tarjeta de crédito o débito.

Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar y deben de estar debidamente certificadas.

Los objetivos de control y sus requisitos son los siguientes:

    -. Desarrollar y Mantener una Red Segura

        Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.

        Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.

    -. Proteger los Datos de los propietarios de tarjetas.

        Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.

        Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.

    -. Mantener un Programa de Gestión de Vulnerabilidades

        Requisito 5: Usar y actualizar regularmente un software antivirus.

        Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

    -. Implementar Medidas sólidas de control de acceso

        Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.

        Requisito 8: Asignar una Identificación única a cada persona que tenga acceso a un computador.

        Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.

    -. Monitorear (Monitorizar) y Probar regularmente las redes

        Requisito 10: Rastrear y monitorizar (monitorear) todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.

        Requisito 11: Probar regularmente los sistemas y procesos de seguridad.

    -. Mantener una Política de Seguridad de la Información

        Requisito 12: Mantener una política que contemple la seguridad de la información