En qué consiste la normativa PCI DSS -Cómo cumplirla

¿En qué consiste la normativa PCI DSS? ¿Cómo cumplirla?

PCI DSS responde a las siglas Payment Card Industry Data Security Standard y comprende un framework o marco de referencia para certificar que las entidades al él adscritas cumplen con unas normativas de seguridad en sistemas informáticos, de red y datos.

Este estandar de seguridad comprende un conjunto de requisitos mínimos para proteger los datos de cuenta, pudiendo ser ampliado su alcance mediante controles adicionales. Por tanto, es compatible con otras normativas o reglas nacionales que lo optimicen.

Otros sectores, como la medicina, deben cumplir con marcos de referencia análogos como HIPAA. Otros importantes incluyen SOX, que aplica  globalmente en EEUU, FISMA, etcétera.

Ámbitos de aplicación

Este estándar aplica a cualquier entidad (pública o privada) que almacena, procesa o transmite CHD: bancos, comercios, procesadores de pago (pasarelas), proveedores de servicios.

Los requisitos de seguridad de PCI-DSS aplican a todos los componentes de sistemas incluidos y/o conectados al entorno de datos del titular (CDE – Cardholder data environment).

RelacionadoHerramientas para ayudarte a cumplir con el estándar PCI

El CDE está compuesto por personas, procesos y tecnologías que almacenan, procesan o transmiten CHD SAD.

Categorías del estándar PCI DSS

PCI DSS define dos categorías de datos de cuentas de pago:

  • Cardholder data (CHD): los datos del titular de tarjetas incluyen el PAN (Primary Account Number o número principal de cuenta), el nombre del titular, fecha de expiración y código de servicio.
  • Sensitive Account Data (SAD): los datos de autenticación sensibles incluyen el registro total de datos (en banda magnética o más recientemente, en chip), el código de seguridad de la tarjeta (CAV2/CVC2/CVV2/CID) y los números de identificación personal (PIN) usados para completar las transacciones.

Normativa de cumplimiento para PCI DSS

Referido a secas como “PCI” de manera mas coloquial, este marco recoge 12 puntos principales para garantizar el cumplimiento de 6 controles de seguridad diferentes.

Actualmente en su versión 3.2.1, el marco es revisado y actualizado constantemente para recoger nuevos requisitos o aplicar nuevos estándares de seguridad.

OBJETIVO REQUISITOS
Construir y mantener una red y sistemas seguros
 

1. Instalar y administrar la configuración de cortafuegos para proteger datos de los titulares de tarjetas

2. No emplear credenciales y otros parámetros de seguridad predefinidos, suministrados por fabricantes

 

Proteger los datos del titular
 

3. Proteger la información del titular almacenada

4. Emplear comunicación cifrada al transmitir datos del titular sobre redes abiertas o públicas.

 

Mantener un programa de getión de vulnerabilidades
 

5. Proteger todos los sistemas frente al malware, actualizando la protección empleada regularmente

6. Desarrollar y gestionar sistemas y aplicaciones seguros

 

Implementar medidas robustas de control de acceso
 

7. Restringir acceso a los datos de titular al mínimo necesario para su gestión

8. Identifdentificar y autenticar los accesos a componentes del sistema

9. Restringir  el acceso físico a los datos de titulares

 

Monitorizar y poner a prueba las redes regularmente
 

10. Mantener seguimiento y monitorizar todo acceso a recursos de red y datos de titulares

11. Realizar test de intrusión y seguridad a los sistemas y procesos regularmente

 

Mantener una política de Seguridad de la Información  

12. Mantener una política que regule la seguridad de la información para todo el personal

 

 

Más información

Existen rios de tinta en la red sobre PCI DSS con mayor detalle, seguramente si nunca has oído hablar de ello ahora mismo estés saturado con tantas siglas y posiblemente no estés seguro de cómo cumplir todos estos controles (aquí hemos visto un resumen, pero implican bastantes cosas y decisiones particulares).

Por eso te dejo un par de recursos proporcionados por el Security Standards Council, que es quien diseña dicho documento. Especialmente útil resulta lo siguiente:

  • Normativa PCI DSS (pdf)
  • Reporting template (pdf) – una plantilla documental para documentar nuestras actividades

descargar OsForensics

Anuncios

3 comentarios en “¿En qué consiste la normativa PCI DSS? ¿Cómo cumplirla?

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.