¿Qué son las normas PCI?
Las normas PCI, Payment Card Industry Data Security Standard o PCI DSS es el estándar global de protección de datos en industrias que manejan tarjetas de pago de crédito o débito. Son un conjunto de controles de seguridad diseñados para garantizar que todas las empresas que recopilan y procesan información de tarjetas de crédito mantengan un entorno seguro.
Si bien fue desarrollado en 2006 para abordar problemas de fraude y filtraciones de datos dentro de la industria, sigue siendo crucial a día de hoy para evitar brechas de seguridad y asegurar el éxito a largo plazo de cualquier empresa que maneje tarjetas de pago.
Su objetivo es asegurarse de que todas las empresas posean un nivel básico mínimo de seguridad que proteja los datos de los titulares de tarjetas.
El estándar PCI DSS proporciona una serie de lineamientos y mejores prácticas para varios aspectos de la seguridad tanto administrativa, lógica como física. Esto incluye controles, políticas, procesos, seguridad en la arquitectura de red y desarrollo de software, entre otros.
¿Quiénes deben cumplir con PCI DSS?
Si el modelo de negocio almacena, procesa o transmite datos de titulares de tarjetas de pago, entonces debe cumplir con PCI DSS. No importa el tamaño de la empresa.
Si acaso la empresa no procesa ni almacena datos de tarjeta, pero usa pasarelas de pagos de terceros, también es muy probable que deba adherirse al cumplimiento de este estándar. Porque tal vez sea menos rígida la exigencia, pero debe estar certificado de igual manera.
Requisitos de PCI DSS
En total, el estándar PCI DSS cuenta con 12 requisitos que se esquematizan en 6 grupos o “metas” de cumplimiento. Para que te hagas una idea, estos requisitos, a su vez, contemplan en total más de 300 controles de seguridad.
| METAS | REQUISITOS |
|---|---|
| Crear y mantener sistemas y una red seguras. | 1.Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta. 2.No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. |
| Proteja los datos del titular de la tarjeta | 3.Proteger los datos almacenados del titular de la tarjeta. 4.Cifrar la transmisión de los datos del titular de la tarjeta a través de redes públicas abiertas. |
| Mantener un programa de administración de vulnerabilidades | 5.Proteger todos los sistemas contra malware y actualizar los programas o softwares antivirus regularmente. 6.Desarrollar y mantener sistemas y aplicaciones seguros (revisión de código). |
| Incrementar medidas sólidas de control de acceso | 7.Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. 8.Identificar y autenticar el acceso a los componentes del sistema. 9.Restringir el acceso físico a los datos del titular de la tarjeta. |
| Supervisar y evaluar las redes con regularidad | 10.Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta (logs y eventos de seguridad). 11.Probar periódicamente los sistemas y procesos de seguridad (vulnerabilidades). |
| Mantener una política de seguridad de la información | 12.Mantener una política que aborde la seguridad de la información para todo el personal (Capacitaciones, Gestión ante incidentes, Riesgos). |
En definitiva, su misión es proporcionar un grupo de controles de seguridad para que las empresas que (sin importar su tamaño) almacenen, procesen o transmitan este tipo de datos puedan minimizar posibles daños causados por una brecha de seguridad y/o fraudes.