PCI - DSS (Payment Card Industry Data Security Standard)

Que es?

PCI DSS es un estndar que define el conjunto de requerimientos para gestionar la seguridad, arquitectura de
red, diseo de software y todo tipo de medidas de proteccin que intervienen en el tratamiento, procesado o
almacenamiento de informacin de tarjetas de crdito. Su finalidad es la reduccin del fraude relacionado con
estas e incrementar la seguridad de los datos.

Cuales son los requerimientos PCI-DSS que debe cumplir una empresa?
1- Instalar y mantener un firewall y su configuracin para proteger la informacin de tarjetas.
2 - No emplear parmetros de seguridad y usuarios del sistema por defecto.
3 - Proteger los datos almacenados de tarjetas.
4 - Cifrar las transmisiones de datos.
5 - Usar y actualizar programas de anti-virus.
6 - Desarrollar y mantener de forma segura sistemas y aplicaciones.
7 - Restringir acceso a la informacin de las tarjetas segn quien necesita saber (need-to-know).
8 - Asignar un nico ID a cada persona con acceso a la red de la empresa.
9 - Restringir el acceso fsico a la informacin de las tarjetas.
10 - Auditar y monitorizar todos los accesos a los recursos de red y datos de las tarjetas.
11 - Testear de forma regular la seguridad de los sistemas y procesos.
12 - Mantener una poltica que gestione la seguridad de la informacin.

(Si quieren info mas detallada de los requerimientos: https://www.pcisecuritystandards.org/documents/
pci_dss_v2.pdf).
Como se si determinada empresa tiene que cumplir PCI-DSS?

Si la empresa hace cualquier transaccin con una tarjeta de crdito debe cumplir con PCI-DSS.

Quienes se encargan del estndar? de establecer los requerimientos? etc etc

De esto se encarga el PCI-DSS Council formado por las principales marcas de tarjetas de crdito (Master,
Visa, etc), ademas este Council certifica a varias empresas para hacer auditorias a otras empresas. La
frecuencia y los requisitos de validacin de la auditoria va a depender principalmente de que tipo de empresa
sea y la cantidad de transacciones que maneja por ao. Ademas para validar el cumplimiento se tomaran en
cuenta cosas como el canal de las transacciones (comercio-e o no) y el riesgo (si han sufrido ataques por
hackers, etc).

Cuales son los tipos de empresa que hay segn el PCI-DSS Council?

Comercios (sper/hipermercados, autopistas, comercio-e, agencias de viajes, etc.), proveedores de servicio
(ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envi de tarjetas, procesadores de
transacciones, etc.) y entidades financieras (bancos, cajas de ahorro, entidades de crdito, etc.).
Que empresas se encargan de las auditorias?

Son todas aquellas que el PCI-DSS Council nombra como Qualified Security Assessor (QSA) y Approved
Scanning Vendor (ASV).