Definición: ¿Qué significa el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)?
El estándar de seguridad de datos de la industria de tarjetas de pago es un estándar patentado para todas las organizaciones que procesan, transmiten o almacenan datos de titulares de tarjetas de pago.
El estándar proporciona un marco con tecnologías y prácticas que deben cumplirse para proteger y asegurar los datos del titular de la tarjeta. Las marcas de tarjetas cumplen con los estándares incorporados por el estándar de seguridad de datos de la industria de tarjetas de pago y es uno de los principales requisitos técnicos para sus programas de cumplimiento de seguridad de datos.
Techinfo explica el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
El estándar de seguridad de datos de la industria de tarjetas de pago es administrado por el consejo de estándares de la industria de tarjetas de pago. La validación del cumplimiento por parte de las organizaciones se realiza mediante un escaneo periódico de la red y una auditoría de seguridad anual.
Al cumplir con los estándares de seguridad de datos de la industria de tarjetas de pago, las organizaciones se benefician al obtener más confianza y negocios de los clientes. El estándar también ayuda indirectamente a las organizaciones a cumplir con estándares industriales similares, mejorando la eficiencia de la infraestructura de TI y proporcionando una base para diferentes estrategias de seguridad. El conjunto completo de estándares se puede descargar del sitio web del consejo de estándares de seguridad de la industria de tarjetas de pago.
La norma se puede agrupar en seis categorías con 12 requisitos que son los siguientes:
- Construyendo y manteniendo una red segura.
- Requisito 1: Para proteger los datos, instale y mantenga una configuración de firewall.
- Requisito 2: Evitar los valores predeterminados proporcionados por el proveedor para los parámetros de seguridad y las contraseñas del sistema.
- Requisito de protección de datos del titular de la tarjeta
- Requisito 3: Protección de los datos almacenados.
- Requisito 4: en las redes públicas, toda la información confidencial y los datos del titular de la tarjeta deben estar cifrados antes de la transmisión.
- Disponibilidad de un programa de gestión de vulnerabilidades
- Requisito 5: El software antivirus debe utilizarse y actualizarse periódicamente.
- Requisito 6: Es necesario desarrollar y mantener sistemas y aplicaciones seguros.
- Es necesario implementar fuertes medidas de control de acceso
- Requisito 7: Restricción de datos con controles de acceso adecuados.
- Requisito 8: proporcionar una identificación única para cada usuario con acceso informático
- Requisito 9: Restricción física de los datos del titular de la tarjeta.
- Prueba y monitorización periódica de las redes
- Requisito 10: Todo acceso a los datos y recursos del titular de la tarjeta en la red debe ser monitoreado y rastreado.
- Requisito 11: Prueba periódica de procesos y entornos de seguridad.
- Uso y mantenimiento de una política de seguridad de la información
- Requisito 12: Mantenimiento de estándares de políticas que ayuden a abordar todos los procesos y problemas relacionados con la seguridad de la información.