Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Paymentcardindustrydatasecuritystandard Pci-Dss

    Cargado por

    maguarcas
    45 vistas18 páginas
    pci-dss

    Título original

    PAYMENTCARDINDUSTRYDATASECURITYSTANDARD PCI-DSS

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    pci-dss

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    45 vistas18 páginas

    Paymentcardindustrydatasecuritystandard Pci-Dss

    Cargado por

    maguarcas
    pci-dss

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 18

    PCI DSS

    PAYMENT CARD INDUSTRY DATA SECURITY STANDARD

    INDUSTRIA DE TARJETAS DE PAGO ESTNDAR DE SEGURIDAD DE DATOS

    PCI DSS

    fue desarrollado por un comit conformado por las compaas de tarjetas


    (dbito y crdito) ms importantes, comit denominado PCI SSC (Payment
    Card Industry Security Standards Council) como una gua que ayude a las
    organizaciones que procesan, almacenan y/o transmiten datos de
    tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de
    evitar los fraudes que involucran tarjetas de pago dbito y crdito.

    Las compaas que procesan, guardan o trasmiten datos de


    tarjetas deben cumplir con el estndar o arriesgan la prdida de
    sus permisos para procesar las tarjetas de crdito y dbito (Perdida
    de franquicias), enfrentar auditoras rigurosas o pagos de
    multas1 Los Comerciantes y proveedores de servicios de tarjetas
    de crdito y dbito, deben validar su cumplimiento al estndar en
    forma peridica.

    CULES SON LOS PRINCIPIOS QUE BUSCA PROTEGER?:

    Construir y mantener redes seguras.


    Proteger la informacin del tarjetahabiente.
    Contar con programas de pruebas de vulnerabilidades
    Implementar controles de acceso robustos.
    Monitorear y probar acceso a la red regularmente.
    Mantener polticas de seguridad de la informacin.

    A QUINES SE LES APLICA?

    El criterio para determinar si el establecimiento (merchant) debe


    cumplir con PCI es muy sencillo: Debern hacerlo siempre que
    transmitan, procesen o almacenen datos de tarjetas de crdito.
    Por lo general, estos establecimientos caen en comercios
    minoristas, bancos, e-commerce y proveedores de servicio
    de estos mismos

    QUIN ES QUIN?
    Se refiere a quienes exige el cumplimiento de PCI a los establecimientos
    afiliados a tarjetas de crdito es la entidad financiera (ej. VISA), y no el PCI
    Council, que es slo un organismo regulador.

    Para facilidad en la vigilancia y apoyo en el cumplimiento del estndar, el PCI


    Council cre diferentes figuras de manera que los establecimientos obtengan
    la ayuda adecuada de los expertos en seguridad que les orienten y evalen el
    cumplimiento, como sigue:

    QSA (Qualified Security Assessor).- Este tipo de entidad es un


    externo que est calificado por el PCI Council para realizar
    evaluaciones de cumplimiento del estndar. Para ello pasa a su vez
    por un proceso de certificacin.
    ASV (Approved Scanning Vendor).- Este tipo de entidad es un
    externo que est calificado para validar el apego al estndar PCI
    DSS realizando escaneos de vulnerabilidades de ambientes de cara
    a Internet, de establecimientos y proveedores de servicios.

    PA-QSA (Payment Application-Qualified Security Assessor).- El


    estndar PA-DSS aplica a los fabricantes de software y otros
    componentes que desarrollan aplicaciones que almacenen,
    procesen o transmitan datos del tarjetahabiente o de la tarjeta. El
    PA-QSA es el tipo de entidad externo que est calificado para
    certificar el cumplimiento del fabricante del PA-DSS.

    QU SERVICIOS EXISTEN ALREDEDOR DE PCI?


    Como proveedor de seguridad de la informacin, existen varios
    caminos para apoyar a la industria en el cumplimiento del estndar
    PCI:

    Certificarse en alguna de las figuras mencionadas, con un foco


    especial.
    Proporcionar servicios relacionados con los controles que solicita el
    estndar.

    ANLISIS DE CUMPLIMIENTO Y PLAN DE ACCIN

    El primer paso para cumplir con los requerimientos de PCI DSS es


    realizar un anlisis de la organizacin, identificar los puntos en la
    cadena de valor donde se transmite, procesa o almacena
    informacin de tarjetas de crdito y definir el entorno que debe
    ser protegido para cumplir con PCI DSS.

    ANLISIS DE CUMPLIMIENTO Y PLAN DE ACCIN

    La fase inicial para llevar a cabo un proyecto de implantacin de PCI DSS


    empieza por un Anlisis de Cumplimiento en el que se identifican cules son
    los aspectos de PCI DSS que falta implementar para acabar de cumplir con el
    estndar. Una vez valorados los riegos vinculados con el mbito de la
    organizacin al que afecta el estndar se definir un Plan de Accin para
    implementar de una manera priorizada los requerimientos detectados.

    FASE I ANLISIS DEL ESTADO DE CUMPLIMIENTO


    Los objetivos de esta fase inicial del proyecto de implantacin PCI DSS son:
    Presentar el equipo de proyecto, el calendario de trabajo preliminar y el mecanismo de desarrollo del
    proyecto.
    Conocer cmo afecta PCI DSS al Cliente. Como la organizacin maneja la informacin de tarjetas de
    crdito.
    Obtener el estado actual de cumplimiento de los requerimientos PCI DSS.

    Acotar el entorno de cumplimiento al mnimo imprescindible.


    Reducir costes innecesarios de implantacin y mantenimiento del programa de seguridad
    Reducir el tiempo necesario para cumplir PCI DSS.

    FASE II VALORACIN DE RIESGOS Y PRIORIZACIN DE


    ACCIONES
    En esta etapa del proyecto, se desarrollan todas las actividades relativas a la
    valoracin de los riesgos sobre el entorno de proteccin definido en el Entorno
    de Cumplimiento y en base al diagnstico realizado sobre los
    requerimientos PCI DSS, con el objetivo de poder determinar en fases
    posteriores las medidas de seguridad necesarias para mitigar dichos riesgos,
    determinar las prioridades para atacar los riesgos y alcanzar el cumplimiento de
    los requerimientos PCI DSS minimizando el esfuerzo y la inversin.

    FASE III PROGRAMA DE CUMPLIMIENTO

    El Programa de Cumplimiento PCI DSS define la estrategia a seguir por el Cliente


    para cumplir los requerimientos establecidos porPCI DSS, disminuir los riesgos
    identificados y alinear la inversin en seguridad con los objetivos y necesidades
    de la organizacin. Esta estrategia se concreta en una planificacin de proyectos
    que facilita la informacin necesaria para decidir qu acciones abordar as como
    su justificacin en base al riesgo que disminuyen.

    FASE IV IMPLANTACIN DE REQUERIMIENTOS PARA LA


    ADECUACIN
    En esta fase, se desarrollaran aquellas actividades consultoras, tcnicas y organizativas
    pertinentes para poder superar una auditora o validacin de cumplimiento posterior.
    De forma esquemtica, los aspectos clave que se cubrirn en esta fase sern los
    siguientes:

    Marco Normativo Principal

    Anlisis de Riesgos PCI DSS

    Gestin de Cortafuegos, routers e IDS/IPS

    Gestin Segura de Equipos

    Diseo de Arquitecturas de Red Segura

    Anlisis de Repositorios de Datos y Tratamientos de Datos de Pago

    Gestin de Claves de Cifrado

    Control de Cambios

    FASE V AUDITORA DE CUMPLIMIENTO

    La Auditora se basar en:


    Etapa I: Lanzamiento de proyecto.
    Etapa II: Revisin del Entorno de Cumplimiento
    Etapa III: Revisin Documental
    Etapa IV: Preparacin del Plan de Auditora
    Etapa V: Ejecucin de la Auditora

    INTEGRANTES DEL GRUPO

    SHERLY MARIELA MENDEZ DE LEON

    1090-03-11220

    CARLOS ERIBERTO BARRIOS LPEZ

    1090-07-10799

    JUAN MARIANO AGUILAR ROJAS

    1090-10-3692

    También podría gustarte