PCI DSS es una Norma de Seguridad de Datos de la Industria de Tarjetas de Pago desarrollada por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) y establecida por los sistemas de pago internacionales Visa, MasterCard, American Express, JCB y Discover. La norma es un conjunto de 12 requisitos detallados para garantizar la seguridad de los datos de los titulares de tarjetas que se transmiten, almacenan y procesan mediante infraestructuras de información. Adoptar las medidas adecuadas para garantizar el cumplimiento de los requisitos de la norma implica un enfoque integrado de la seguridad de la información de los datos de las tarjetas de pago.
A continuación se exponen los doce requisitos para crear y mantener una red y unos sistemas seguros:
- Instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de tarjetas. La finalidad de un cortafuegos es escanear todo el tráfico de la red, bloquear el acceso al sistema de redes que no sean de confianza.
- Cambiar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Estas contraseñas se descubren fácilmente a través de la información pública y pueden ser utilizadas por personas malintencionadas para obtener acceso no autorizado a los sistemas.
- Proteger los datos almacenados de los titulares de tarjetas. La encriptación, el hashing, el enmascaramiento y el truncamiento son métodos utilizados para proteger los datos de los titulares de tarjetas.
- Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes abiertas y públicas. Una encriptación fuerte, que incluya el uso exclusivo de claves y certificaciones de confianza, reduce el riesgo de ser objetivo de individuos malintencionados mediante piratería informática.
- Proteger todos los sistemas contra el malware y realizar actualizaciones periódicas del software antivirus. El malware puede entrar en una red de numerosas formas, como el uso de Internet, el correo electrónico de los empleados, los dispositivos móviles o los dispositivos de almacenamiento. Un software antivirus actualizado o un software antimalware complementario reducirán el riesgo de explotación mediante malware.
- Desarrollar y mantener sistemas y aplicaciones seguros. Las vulnerabilidades de los sistemas y aplicaciones permiten a personas sin escrúpulos obtener acceso privilegiado. Deben instalarse inmediatamente parches de seguridad para corregir la vulnerabilidad y evitar la explotación y el compromiso de los datos de los titulares de tarjetas.
- Restringir el acceso a los datos de los titulares de tarjetas sólo al personal autorizado. Deben utilizarse sistemas y procesos para restringir el acceso a los datos de los titulares de tarjetas en función de la “necesidad de saber”.
- Identificar y autentificar el acceso a los componentes del sistema. A cada persona con acceso a los componentes del sistema se le debe asignar una identificación (ID) única que permita rendir cuentas del acceso a los sistemas de datos críticos.
- Restringir el acceso físico a los datos de los titulares de tarjetas. El acceso físico a los datos de los titulares de tarjetas o a los sistemas que contienen estos datos debe ser seguro para impedir el acceso no autorizado o la eliminación de datos.
- Seguimiento y control de todos los accesos a los datos de los titulares de tarjetas y a los recursos de la red. Deben existir mecanismos de registro para rastrear las actividades de los usuarios que sean críticas para prevenir, detectar o minimizar el impacto de los compromisos de datos.
- Probar regularmente los sistemas y procesos de seguridad. Continuamente se descubren nuevas vulnerabilidades. Los sistemas, procesos y programas informáticos deben probarse con frecuencia para descubrir vulnerabilidades que puedan ser utilizadas por personas malintencionadas.
- Mantener una política de seguridad de la información para todo el personal. Una política de seguridad sólida incluye hacer que el personal comprenda la sensibilidad de los datos y su responsabilidad de protegerlos.
Los requisitos se aplican a todas las empresas que trabajan con los sistemas de pago internacionales Visa y MasterCard. A cada empresa se le asigna un determinado nivel de cumplimiento en función del número de transacciones que procesa, con el correspondiente conjunto de requisitos que debe cumplir. Las auditorías anuales de la empresa y los escaneos trimestrales de la red forman parte de estos requisitos.
La norma combina una serie de programas y requisitos de los sistemas de pago internacionales para la protección de la información:
- MasterCard – Protección de Datos del Sitio Web (PDE)
- Visa en EE.UU. – Seguridad de la información del titular de la tarjeta (CISP)
- Visa en Europa – Seguridad de la información de la cuenta (AIS)
La norma PCI DSS fue introducida por el sistema internacional de pagos Visa en septiembre de 2006 en el territorio de CEMEA (Europa Central, Oriente Medio y África) con carácter obligatorio, y como consecuencia y su efecto se extiende a Rusia. Por tanto, los proveedores de servicios (centros de procesamiento, pasarelas de pago, proveedores de Internet) que trabajan directamente con VisaNet deben someterse a un procedimiento de auditoría para comprobar el cumplimiento de los requisitos de la norma.
Los distintos sistemas de pago internacionales tienen requisitos diferentes para el proceso de certificación PCI DSS. Existen niveles de certificación para empresas comerciales y de servicios.
Esta es una lista de métodos para verificar el cumplimiento de los requisitos de la norma PCI DSS:
- auditoría externa de un Evaluador de Seguridad Cualificado (QSA) realizada por una empresa PCI QSA en las instalaciones de la organización que está siendo auditada
- rellenar un Cuestionario de Autoevaluación (SAQ)
- escaneado automatizado ASV (Approved Scanning Vendors) de las vulnerabilidades del perímetro de la red.
El método de verificación del cumplimiento o una combinación de métodos se elige en función del nivel de certificación del comerciante o de la empresa de servicios.