2. PCI DSS
• PCI DSS: Payment Card Industry Data Security Standard, significa Estándar de
Seguridad de Datos para la Industria de Tarjeta de Pago.
3. Creación del protocolo
• Este estándar ha sido desarrollado por un comité conformado por las
compañías de tarjetas (débito y crédito) comité denominado PCI
SSC (Payment Card Industry Security Standards Council) para ayudar a las
organizaciones que procesan, almacenan y/o transmiten datos de
tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de
evitar los fraudes que involucran tarjetas de pago débito y crédito.
4. ¿Qué importancia tiene el protocolo?
• Las compañías que procesan, guardan o trasmiten datos de tarjetas deben
cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar
las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías
rigurosas o pagos de multas Los Comerciantes y proveedores de servicios de
tarjetas de crédito y débito, deben validar su cumplimiento al estándar en
forma periódica.
5. Objetivo del protocolo y sus requisitos
1. Desarrollar y Mantener una Red Segura
Instalar y mantener una configuración de cortafuegos para proteger los
datos de los propietarios de tarjetas.
No usar contraseñas del sistema y otros parámetros de seguridad
predeterminados provistos por los proveedores
6. 2. Proteger los Datos de los propietarios de tarjetas.
Proteger los datos almacenados de los propietarios de tarjetas.
Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a
través de redes públicas abiertas.
7. 3. Mantener un Programa de Gestión de Vulnerabilidades
Usar y actualizar regularmente un software antivirus.
Desarrollar y mantener sistemas y aplicaciones seguras.
8. 4. Implementar Medidas sólidas de control de acceso
Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer
la información.
Asignar una identificación única a cada persona que tenga acceso a un computador.
Restringir el acceso físico a los datos de los propietarios de tarjetas.
9. 5. Monitorizar y probar regularmente las redes
Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de
tarjetas.
Probar regularmente los sistemas y procesos de seguridad.
6. Mantener una Política de Seguridad de la Información
Mantener una política que contemple la seguridad de la información