HIPAA

Conformidad con el PCI DSS

PCI DSS es un Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago desarrollado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) y establecido por los sistemas de pago internacionales Visa, MasterCard, American Express, JCB y Discover. El estándar es un conjunto de 12 requisitos detallados para garantizar la seguridad de los datos de los titulares de las tarjetas que están siendo transmitidos, almacenados y procesados por las infraestructuras de información. La adopción de medidas adecuadas para garantizar el cumplimiento de los requisitos de la norma implica un enfoque integrado de la seguridad de la información de los datos de las tarjetas de pago.

Los doce requisitos para construir y mantener una red y sistemas seguros son los siguientes:

  1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta. El propósito de un cortafuegos es escanear todo el tráfico de la red, bloquear las redes no confiables para que no accedan al sistema.
  2. Cambiar los valores predeterminados suministrados por el vendedor para las contraseñas del sistema y otros parámetros de seguridad. Estas contraseñas se descubren fácilmente a través de la información pública y pueden ser utilizadas por personas malintencionadas para obtener un acceso no autorizado a los sistemas.
  3. Proteger los datos almacenados de los titulares de las tarjetas. La encriptación, el hash, el enmascaramiento y el truncamiento son métodos utilizados para proteger los datos de los titulares de las tarjetas.
  4. Encriptación de la transmisión de los datos de los titulares de las tarjetas a través de redes públicas abiertas. Un cifrado fuerte, que incluye el uso exclusivo de claves y certificaciones de confianza, reduce el riesgo de ser blanco de individuos malintencionados a través de la piratería informática.
  5. Proteger todos los sistemas contra el software maligno y realizar actualizaciones periódicas de software antivirus. Los programas informáticos maliciosos pueden entrar en una red de muchas maneras, incluido el uso de Internet, el correo electrónico de los empleados, los dispositivos móviles o los dispositivos de almacenamiento. El software antivirus actualizado o el software antimalware complementario reducirá el riesgo de explotación a través del malware.
  6. Desarrollar y mantener sistemas y aplicaciones seguras. Las vulnerabilidades en los sistemas y aplicaciones permiten a los individuos inescrupulosos obtener un acceso privilegiado. Deben instalarse inmediatamente parches de seguridad para corregir la vulnerabilidad y evitar la explotación y el compromiso de los datos de los titulares de las tarjetas.
  7. Restringir el acceso a los datos de los titulares de las tarjetas sólo al personal autorizado. Deben utilizarse sistemas y procesos para restringir el acceso a los datos de los titulares de las tarjetas sobre la base de la “necesidad de saber”.
  8. Identificar y autenticar el acceso a los componentes del sistema. A cada persona con acceso a los componentes del sistema se le debe asignar una identificación (ID) única que permita la rendición de cuentas del acceso a los sistemas de datos críticos.
  9. Restringir el acceso físico a los datos de los titulares de las tarjetas. El acceso físico a los datos de los titulares de las tarjetas o a los sistemas que los contienen debe ser seguro para evitar el acceso o la eliminación no autorizados de los datos.
  10. Rastreo y vigilancia de todos los accesos a los datos de los titulares de las tarjetas y a los recursos de la red. Deben existir mecanismos de registro para rastrear las actividades de los usuarios que sean críticas para prevenir, detectar o minimizar el impacto de los compromisos de los datos.
  11. Probar regularmente los sistemas y procesos de seguridad. Continuamente se descubren nuevas vulnerabilidades. Los sistemas, procesos y programas informáticos deben probarse con frecuencia para descubrir las vulnerabilidades que podrían ser utilizadas por personas malintencionadas.
  12. Mantener una política de seguridad de la información para todo el personal. Una política de seguridad fuerte incluye hacer que el personal entienda la sensibilidad de los datos y su responsabilidad de protegerlos.

Los requisitos se aplican a todas las empresas que trabajan con sistemas de pago internacionales Visa y MasterCard. A cada empresa se le asigna un determinado nivel de cumplimiento dependiendo del número de transacciones que se procesan, con un conjunto de requisitos correspondientes que deben cumplir. Las auditorías anuales de la empresa y los escaneos trimestrales de la red son parte de estos requisitos.

La norma combina una serie de programas y requisitos de los sistemas de pago internacionales para la protección de la información:

  • MasterCard – Site Data Protection (SDP)
  • Visa en los EE.UU. – Cardholder Information Security (CISP)
  • Visa en Europa – Account Information Security (AIS)

PCI DSS fue introducido por el sistema de pago internacional Visa en septiembre de 2006 en el territorio de CEMEA (Europa Central, Oriente Medio y África) como obligatorio, y como resultado y su efecto se extiende a Rusia. Por lo tanto, los proveedores de servicios (centros de procesamiento, pasarelas de pago, proveedores de Internet) que trabajan directamente con VisaNet deben someterse a un procedimiento de auditoría para el cumplimiento de los requisitos de la norma.

Diferentes sistemas de pago internacionales tienen diferentes requisitos para el proceso de certificación del PCI DSS. Hay niveles de certificación para las empresas comerciales y de servicios.

Esta es una lista de métodos para verificar el cumplimiento de los requisitos del estándar PCI DSS:

  • external Qualified Security Assessor (QSA) auditoría realizada por una empresa PCI QSA en las instalaciones de la organización que está siendo auditada
  • cumpliendo un Cuestionario de Autoevaluación (SAQ)
  • automated ASV (Approved Scanning Vendors) escaneo de las vulnerabilidades del perímetro de la red.

El método de verificación de cumplimiento o una combinación de métodos se elige en función del nivel de certificación del comerciante o la empresa de servicios.


LEGAL

HOME

Share on FacebookShare on SkypeShare on WhatsAppShare to TwitterShare to Telegram
Nos gustaría compartir nuestra última investigación "5 razones para contratar empleados remotos" con un ejemplo de cómo ahorrar hasta el 65% de los gastos de tu empresa. Regístrate aquí para descargar nuestro libro blanco con las respuestas:

    Especificaciones del proyecto