Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Que es?
PCI DSS es un estndar que define el conjunto de requerimientos para gestionar la seguridad, arquitectura de
red, diseo de software y todo tipo de medidas de proteccin que intervienen en el tratamiento, procesado o
almacenamiento de informacin de tarjetas de crdito. Su finalidad es la reduccin del fraude relacionado con
estas e incrementar la seguridad de los datos.
Cuales son los requerimientos PCI-DSS que debe cumplir una empresa?
1- Instalar y mantener un firewall y su configuracin para proteger la informacin de tarjetas.
2 - No emplear parmetros de seguridad y usuarios del sistema por defecto.
3 - Proteger los datos almacenados de tarjetas.
4 - Cifrar las transmisiones de datos.
5 - Usar y actualizar programas de anti-virus.
6 - Desarrollar y mantener de forma segura sistemas y aplicaciones.
7 - Restringir acceso a la informacin de las tarjetas segn quien necesita saber (need-to-know).
8 - Asignar un nico ID a cada persona con acceso a la red de la empresa.
9 - Restringir el acceso fsico a la informacin de las tarjetas.
10 - Auditar y monitorizar todos los accesos a los recursos de red y datos de las tarjetas.
11 - Testear de forma regular la seguridad de los sistemas y procesos.
12 - Mantener una poltica que gestione la seguridad de la informacin.
(Si quieren info mas detallada de los requerimientos: https://www.pcisecuritystandards.org/documents/
pci_dss_v2.pdf).
Como se si determinada empresa tiene que cumplir PCI-DSS?
Si la empresa hace cualquier transaccin con una tarjeta de crdito debe cumplir con PCI-DSS.
Quienes se encargan del estndar? de establecer los requerimientos? etc etc
De esto se encarga el PCI-DSS Council formado por las principales marcas de tarjetas de crdito (Master,
Visa, etc), ademas este Council certifica a varias empresas para hacer auditorias a otras empresas. La
frecuencia y los requisitos de validacin de la auditoria va a depender principalmente de que tipo de empresa
sea y la cantidad de transacciones que maneja por ao. Ademas para validar el cumplimiento se tomaran en
cuenta cosas como el canal de las transacciones (comercio-e o no) y el riesgo (si han sufrido ataques por
hackers, etc).
Cuales son los tipos de empresa que hay segn el PCI-DSS Council?
Comercios (sper/hipermercados, autopistas, comercio-e, agencias de viajes, etc.), proveedores de servicio
(ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envi de tarjetas, procesadores de
transacciones, etc.) y entidades financieras (bancos, cajas de ahorro, entidades de crdito, etc.).
Que empresas se encargan de las auditorias?
Son todas aquellas que el PCI-DSS Council nombra como Qualified Security Assessor (QSA) y Approved
Scanning Vendor (ASV).