¿En qué consiste la normativa PCI DSS? ¿Cómo cumplirla?
PCI DSS responde a las siglas Payment Card Industry Data Security Standard y comprende un framework o marco de referencia para certificar que las entidades al él adscritas cumplen con unas normativas de seguridad en sistemas informáticos, de red y datos.
Este estandar de seguridad comprende un conjunto de requisitos mínimos para proteger los datos de cuenta, pudiendo ser ampliado su alcance mediante controles adicionales. Por tanto, es compatible con otras normativas o reglas nacionales que lo optimicen.
Otros sectores, como la medicina, deben cumplir con marcos de referencia análogos como HIPAA. Otros importantes incluyen SOX, que aplica globalmente en EEUU, FISMA, etcétera.
Ámbitos de aplicación
Este estándar aplica a cualquier entidad (pública o privada) que almacena, procesa o transmite CHD: bancos, comercios, procesadores de pago (pasarelas), proveedores de servicios.
Los requisitos de seguridad de PCI-DSS aplican a todos los componentes de sistemas incluidos y/o conectados al entorno de datos del titular (CDE – Cardholder data environment).
Relacionado – Herramientas para ayudarte a cumplir con el estándar PCI
El CDE está compuesto por personas, procesos y tecnologías que almacenan, procesan o transmiten CHD SAD.
Categorías del estándar PCI DSS
PCI DSS define dos categorías de datos de cuentas de pago:
- Cardholder data (CHD): los datos del titular de tarjetas incluyen el PAN (Primary Account Number o número principal de cuenta), el nombre del titular, fecha de expiración y código de servicio.
- Sensitive Account Data (SAD): los datos de autenticación sensibles incluyen el registro total de datos (en banda magnética o más recientemente, en chip), el código de seguridad de la tarjeta (CAV2/CVC2/CVV2/CID) y los números de identificación personal (PIN) usados para completar las transacciones.
Normativa de cumplimiento para PCI DSS
Referido a secas como «PCI» de manera mas coloquial, este marco recoge 12 puntos principales para garantizar el cumplimiento de 6 controles de seguridad diferentes.
Actualmente en su versión 3.2.1, el marco es revisado y actualizado constantemente para recoger nuevos requisitos o aplicar nuevos estándares de seguridad.
| OBJETIVO | REQUISITOS |
| Construir y mantener una red y sistemas seguros |
1. Instalar y administrar la configuración de cortafuegos para proteger datos de los titulares de tarjetas 2. No emplear credenciales y otros parámetros de seguridad predefinidos, suministrados por fabricantes
|
| Proteger los datos del titular |
3. Proteger la información del titular almacenada 4. Emplear comunicación cifrada al transmitir datos del titular sobre redes abiertas o públicas.
|
| Mantener un programa de getión de vulnerabilidades |
5. Proteger todos los sistemas frente al malware, actualizando la protección empleada regularmente 6. Desarrollar y gestionar sistemas y aplicaciones seguros
|
| Implementar medidas robustas de control de acceso |
7. Restringir acceso a los datos de titular al mínimo necesario para su gestión 8. Identifdentificar y autenticar los accesos a componentes del sistema 9. Restringir el acceso físico a los datos de titulares
|
| Monitorizar y poner a prueba las redes regularmente |
10. Mantener seguimiento y monitorizar todo acceso a recursos de red y datos de titulares 11. Realizar test de intrusión y seguridad a los sistemas y procesos regularmente
|
| Mantener una política de Seguridad de la Información |
12. Mantener una política que regule la seguridad de la información para todo el personal
|
Más información
Existen rios de tinta en la red sobre PCI DSS con mayor detalle, seguramente si nunca has oído hablar de ello ahora mismo estés saturado con tantas siglas y posiblemente no estés seguro de cómo cumplir todos estos controles (aquí hemos visto un resumen, pero implican bastantes cosas y decisiones particulares).
Por eso te dejo un par de recursos proporcionados por el Security Standards Council, que es quien diseña dicho documento. Especialmente útil resulta lo siguiente:
- Normativa PCI DSS (pdf)
- Reporting template (pdf) – una plantilla documental para documentar nuestras actividades
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Un artículo muy específico para determinados técnicos pero bueno conocer de su existencia.
El conocimiento no ocupa lugar.
Salu2
Procuro tratar temas que interesen a todos los públicos, así que hoy tocaba algo más específico, pero algo que creo que cualquier aspirante a técnico de ciberseguridad debe conocer. Salu2!