CÓMO PROTEGER DATOS CONFIDENCIALES DE LA TARJETA CON

PCI DATA SECURITY STANDARD (PCI DSS)

Es crucial lograr y preservar el cumplimiento para que la ciberseguridad de la organización esté

protegida de manera adecuada y eficiente contra los ciberdelincuentes con el objetivo de robar
información de la tarjeta.

Las marcas de pago acordaron incluir las Normas de Seguridad de Datos PCI como un componente
de los requisitos técnicos para cada uno de sus programas de cumplimiento de seguridad de datos.
Las cinco (5) marcas también aceptarán la validación cuando sea reconocida por los asesores de
seguridad o proveedores de escaneo aprobados, partes calificadas por el PCI Security Standards
Council.

Por lo tanto, como primer paso para obtener información sobre cómo convertirse y mantener su
conformidad con PCI DSS, le recomendamos que se contacte con su adquirente.

Si no tiene un adquirente, le sugerimos que se contacte con la sucursal del banco con la que está
trabajando.

REQUISITOS DEL ESTÁNDAR DE SEGURIDAD DE DATOS PCI

EVALUAR

Objetivo: tomar el inventario de sus activos de TI y procesos comerciales para el procesamiento de

tarjetas de pago, y analizarlos en busca de vulnerabilidades que podrían exponer los datos del titular
de la tarjeta.

La evaluación es responsable de reconocer todos los problemas posibles que se traducirían en un

riesgo para la seguridad de los datos del titular de la tarjeta que su empresa está transmitiendo,
procesando o almacenando.

Al leer más la información en el sitio web de PCI DSS, puede comprender más acerca de los requisitos
detallados, relacionados con la infraestructura y varios procesos involucrados en todo el proceso de
transacción.

Es importante tener en cuenta que los terceros involucrados en su proceso de cumplimiento

también cumplen. Una evaluación exhaustiva ayudará a la comprensión total de todas las
vulnerabilidades posibles y los lugares donde será necesario remediarlo.

Traducción del documento: Página 1 de 3

IATA PCI DSS COMPLIANCE PROCEDURE
 • El cuestionario de autoevaluación (SAQ)

El SAQ es una herramienta de validación para comerciantes elegibles y proveedores de

servicios que autoevalúan su cumplimiento con PCI DSS.

• Evaluadores calificados

El Consejo ofrece programas para dos tipos de expertos independientes que lo ayudarán
con su evaluación PCI: Asesor de seguridad calificado (QSA) y Proveedor de escaneo
aprobado (ASV).

Los QSA cuentan con personal capacitado y procesos para evaluar y demostrar el
cumplimiento con PCI DSS.

Los ASV proporcionan herramientas de software comercial y servicios de análisis para

realizar escaneos de vulnerabilidad externos para su sistema.

El Concilio PCI también proporciona recursos educativos para comerciantes y proveedores

de servicios, incluida la capacitación para evaluadores de seguridad interna (ISA).

REMEDIAR

Objetivo: el proceso de arreglar vulnerabilidades.

Escaneando su red con herramientas de software que analizan la infraestructura y detectan

vulnerabilidades conocidas

Revisión y corrección de vulnerabilidades encontradas en la evaluación en el sitio (si corresponde)

o mediante el proceso de autoevaluación

Clasificando y clasificando las vulnerabilidades para ayudar a priorizar el orden de remediación

Aplicación de parches, arreglos, soluciones temporales y cambios a procesos y flujos de trabajo
inseguros

Re-escaneo para verificar que la remediación realmente ocurrió

INFORME

Objetivo: la compilación de registros requeridos por PCI DSS para validar la corrección y el envío de
informes de cumplimiento al banco adquirente y a las marcas de pago con tarjeta con las que hace
negocios.

Traducción del documento: Página 2 de 3

IATA PCI DSS COMPLIANCE PROCEDURE
Se requieren informes periódicos para el cumplimiento de PCI DSS; estos se envían al banco
adquirente y a las marcas de tarjetas de pago con las que hace negocios. PCI SSC no es responsable
de aplicar el cumplimiento de PCI DSS.

Se les puede solicitar a todos los comercios, proveedores de servicios y procesadores que envíen
informes de análisis trimestrales, que deben ser realizados por un ASV aprobado por PCI SSC.

Puede requerirse que las empresas con volúmenes de transacción más pequeños presenten una
Declaración anual dentro del Cuestionario de autoevaluación. Para obtener más información sobre
los requisitos de validación e informe, hable con su adquirente o con la marca de su tarjeta de pago.

Fuente: https://www.iata.org/services/finance/Documents/pci-dss-compliance-procedure.pdf

Traducción del documento: Página 3 de 3

IATA PCI DSS COMPLIANCE PROCEDURE