PCI-DSS

février 18, 2013

PCI-DSS

Viendo que cada día realizamos más transacciones bancarias utilizando los medios electrónicos, que cada vez existen más servicios de banca online y que la mayoría disponemos de tarjetas de débito o crédito, sumándole la grave crisis que atraviesa Europa y en particular España, y conociendo que cada vez existen más organizaciones criminales intentando engañar a usuarios y empresas para obtener dinero de manera rápida y fácil, voy a realizar un pequeño resumen de qué es, quién debe cumplirlo y cuáles son los controles necesarios que hay que satisfacer para securizar las transacciones bancarias que realizamos mediante tarjetas de pago.

¿Qué es PCI-DSS?

Es un estándar desarrollado por las principales compañías de tarjetas de débito y crédito, con la finalidad de asegurar las transacciones y datos de los clientes que realicen pagos mediante tarjetas, evitando los fraudes que puede involucrar su uso.

¿Quién debe cumplirlo?

Lo deben cumplir todos los proveedores de servicio (Bancos y Cajas) que procesen, guarden o transmitan información de las tarjetas, están obligados a realizar auditorías insitu anuales y análisis de vulnerabilidades trimestrales por auditores acreditados por Qualified Security Assesor (QSAs) pero … ¿y los comercios? Pues también deben cumplir el estándar, pero a estos sólo se les exige realizar cuestionarios de auto evaluación.

¿Cuáles son los requisitos para cumplir la PCI-DSS?

Crear y mantener una red segura

Requisito 1: Instale, mantenga y segmente la red mediante cortafuegos para proteger los datos de los titulares de las tarjetas.
Requisito 2: No use contraseñas ni configuraciones por defecto.

Proteja los datos del titular de la tarjeta

Requisito 3: Proteja los datos del titular de la tarjeta en discos cifrados.
Requisito 4: Cifre la transmisión de los datos de los titulares de tarjetas a través de red públicas abiertas.

Desarrolle un programa de administración de vulnerabilidad

Requisito 5: Utilice software antivirus actualizado.
Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.

Implemente medidas sólidas de control de acceso

Requisito 7: Utilice la ley de mínimo privilegio de acceso a los datos de los titulares de las tarjetas según los requerimientos de la empresa.
Requisito 8: Utilice nombres de usuarios únicos para cada persona que acceda al sistema informático.
Requisito 9: Limite el acceso físico a los datos del titular de la tarjeta.

Supervise y pruebe las redes regularmente

Requisito 10: Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas trazando todos los eventos.
Requisito 11: Pruebe los sistemas y procesos de seguridad regularmente.

Mantenga una política de seguridad de información

Requisito 12: Elabore y mantenga una política de seguridad de la información.

Aquí lo dejamos hoy, donde hemos visto un breve resumen del estándar PCI-DSS y los requisitos necesarios que se deben cumplir y que debemos exigir para que todos nosotros podamos realizar transacciones bancarias de manera segura y fiable desde cualquier lugar.

Rechercher dans ce blog

David Romero Trejo

PCI-DSS

Commentaires

Enregistrer un commentaire

Articles les plus consultés

Improving SSL VPN performance with DTLS

HSRP, VRRP o GLBP

Checksum

Decrypting DTLS traffic with Wireshark

Metodología de redes (FCAPS)

Two FortiGates in a VRRP domain

DNS Load Balancing

MLAG vs vPC vs Stacking

Balanceadores de Carga

Linux Buffer Overflow Example