El cumplimiento de PCI DSS será necesario para toda organización que procese, transmita o almacene datos de tarjetas de crédito, debiendo cumplir con los requisitos según el perfil de la empresa.
PCI DSS – Payment Card Industry Data Security Standards (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago), fue creado por las marcas de tarjetas de crédito como MasterCard, Visa, American Express, Discover y JCB con el objetivo de establecer un conjunto de requisitos técnicos y operativos para proteger los datos de tarjetas de crédito. Para lograr el cumplimiento de PCI, es necesario cumplir con todos los requisitos según el perfil de la organización
Si su empresa maneja datos de tarjetas de crédito y los almacena, procesa o transmite, es fundamental cumplir con los estándares de seguridad y alcanzar la conformidad PCI, según las demandas del mercado laboral. Esto requiere cumplir con una serie de requisitos organizados en 6 categorías.
1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta. 2. No utilice contraseñas predeterminadas proporcionadas por el proveedor para sistemas y otros parámetros de seguridad.
2. Proteja los datos almacenados del titular de la tarjeta. 3. Cifre la transmisión de datos del titular de la tarjeta en redes públicas abiertas.
5. Use y actualice regularmente software o programas antivirus. 6. Desarrollar y mantener sistemas y aplicaciones seguros.
7. Restringir el acceso a los datos del titular de la tarjeta por necesidad comercial. 8. Asigne un ID exclusivo a cada persona con acceso a la computadora. 9. Restringir el acceso físico a los datos del titular de la tarjeta.
Supervisar y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta. Probar regularmente los sistemas y procesos de seguridad.
12. Mantener una política que aborde la seguridad de la información para todo el personal.
A través de un análisis de brechas, se realizará un levantamiento del entorno de su empresa donde debe cumplir con los requisitos del cumplimiento PCI-DSS según el encuadre de su empresa.
Después de haber alineado sus políticas y procesos internos, se elaborará un plan de acción determinando qué requisitos aún no cumplen con el cumplimiento del PCI DSS y qué acciones se tomarán.
Se realizan pruebas de seguridad continuas en el entorno de captura de datos de tarjeta del cliente para evaluar posibles fallas de seguridad y así realizar correcciones dentro del plazo adecuado para mantenerse en cumplimiento con el PCI DSS.
Después de cumplir con todos los requisitos exigidos por el PCI-DSS según su alcance, se emitirá su AOC (Attestation Of Compliance), su certificado PCI DSS, para presentar a sus clientes o socios comerciales.
Existen cuatro niveles de conformidad PCI-DSS, las empresas se clasifican en uno de los cuatro niveles según el volumen de transacciones con tarjeta en un período de 12 meses.
A Access Security ofrece consultoría para la obtención de la certificación PCI DSS para su empresa de manera correcta y segura, para cumplir con las recomendaciones de PCI Compliance.
Nuestros consultores le ayudarán a identificar brechas en los procesos, revisar y sugerir soluciones prácticas de remediación, y orientarle a obtener recursos adicionales si tiene recursos o habilidades limitadas para realizar el trabajo internamente. Ofrecemos una gama completa de servicios PCI DSS, incluyendo pruebas de penetración, verificación de vulnerabilidades (ASV), elementos obligatorios para evidenciar el entorno y soporte anual.