Dominios y Requisitos PCI-DSS


PCI Security Standards CouncilA principios del año 2000, Visa creó el Account Information Security (AIS) Program en Europa y el Cardholder Information Security Program (CISP) en Estados Unidos, que se impusieron a nivel mundial a los bancos miembros, a sus proveedores y grandes comercios en el 2001.

De forma similar, MasterCard impuso el Site Data Protection (SDP) Program junto con otros equivalentes de las grandes marcas de tarjetas American Express (Data Security Operating Policy – DSOP), Diners Club y JCB.

Aunque motivados por las mismas razones, los procedimientos de validación de cada marca para establecer su cumplimiento eran específicos, lo que desencadenó una demanda de unificación de criterios.

Por ello nació el Payment Card Industry (PCI) Data Security Standard (DSS), que se anunció en enero de 2005 como esfuerzo conjunto de Visa y MasterCard, al que se sumaron el resto de marcas.

Su adopción es obligatoria desde  junio de 2007 y las marcas pueden imponer sanciones a las entidades que no realicen las auditorías prescritas.

En el estándar se establecen 6 dominios y 12 requisitos que señalo a  continuación (como no me gusta la traducción oficial, yo he hecho la mia).

  • Cree y Mantenga una Red Segura
    • R. 1: Proteja los datos con un Firewall cuya configuración se mantenga correctamente
    • R. 2: Nunca utilice valores por defecto en claves y parámetros de seguridad
  • Proteja los Datos de los Titulares (Tarjetahabientes) 
    • R. 3: Proteja los datos almacenados 
    • R. 4: Cifre las transmisiones de información sensible como datos de los titulares en Redes Públicas
  • Mantenga un Programa de Gestión de Vulnerabilidades
    • R. 5: Utilice un anti-virus permanentemente actualizado
    • R. 6: Desarrolle y mantenga sistemas y aplicaciones seguros 
  • Despliegue Medidas de Control de Acceso Robustas
    • R. 7: Restrinja el acceso a los datos a quienes lo tengan atribuido por su actividad.
    • R. 8: Asigne identificadores (códigos de usuario) únicos a cada persona que disponga de acceso informático.
    • R. 9: Restrinja el acceso físico a los datos de los titulares
  • Monitorice y Compruebe las Redes regularmente 
    • R. 10: Registre y monitorice cualquier acceso a recursos de red y a datos de titulares
    • R. 11: Compruebe regularmente los sistemasy los procesos  de seguridad.
  • Mantenga una Política de Seguridad de la Información
    • R. 12: Mantenga una política que contemple la seguridad de la información

3 pensamientos en “Dominios y Requisitos PCI-DSS

  1. Pingback: Adecuación de PCI DSS | Albalia Interactiva

  2. Pingback: Uso de la biometría en medios de pago « Todo es electrónico

  3. Pingback: Uso de la biometría en medios de pago « Todo es electrónico

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.