El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.

1. Estándar de seguridad PCI DSS
El estándar de seguridad de la Industria de las tarjetas de pago, PCI
DSS, fomenta y mejora la seguridad de los datos de los titulares de
tarjetas y facilita la adopción de medidas de seguridad unificadas y
consistentes a nivel mundial. Desde su inicio en 2006, esta y otras
normas han sido desarrolladas por el PCI Security Standards Council,
un foro mundial abierto, establecido en 2006 y compuesto de las
cinco principales marcas de pago, que se encarga de la formulación,
gestión, educación y divulgación de dichas normas.
PCI DSS, PA-DSS, PCI PTS
Existen varias normas bajo el marco de PCI, de entre las que
habría que destacar tres de ellas. El estándar PCI DSS proporciona
una referencia de requisitos técnicos y operativos orientado a
servicios, desarrollado para proteger los datos de los titulares de
tarjetas. PCI DSS se aplica a todas las entidades que participan
en los procesos de las tarjetas de pago (comercios, instituciones
financieras, entidades adquirentes, entidades emisoras, proveedores
de servicios, etc.) y, en general, toda organización que almacene,
procese o transmita datos de titulares de tarjetas.
PA-DSS se aplica a proveedores de software que desarrollan
aplicaciones de pago que almacenan, procesan o transmiten datos
de tarjetas, siempre que dichas aplicaciones se vendan, distribuyan
u otorguen bajo licencia a terceros. Finalmente, PCI PTS aplica a los
dispositivos de pago, definiendo los requisitos para su fabricación.
La rápida evolución de las actividades comerciales basadas en
transacciones electrónicas está suponiendo un aumento significativo
en la necesidad de adecuación a esta norma para comercios,
proveedores de servicio y entidades financieras, dada la creciente
exigencia de proteger los datos de tarjeta de una manera adecuada y
uniforme.
CONFORMIDAD CON PCS DSS
(Payment card Industry Data Security Standards)
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
¿Quién debe cumplir?
Todas las organizaciones que transmiten, procesan o almacenan
datos de tarjeta deben cumplir con la norma independientemente
del tamaño o volumen de negocio. En función de criterios como
el volumen de transacciones y el rol de la entidad (comercio o
proveedor de servicio), existen diferentes categorías de niveles que
marcan el modo de realizar la validación y reporte de cumplimiento,
bien mediante auditorías in situ o cumplimentando el denominado
SAQ o cuestionario de autoevaluación.
Beneficios que aporta PCI DSS
Dada la cada vez mayor presencia por parte de comercios,
proveedores de servicio y entidades involucradas en el floreciente
escenario de transacciones electrónicas y medios de pago, la
alineación con la norma PCI DSS ofrece las siguientes ventajas:
• Un servicio PCI-compliant ofrece un valor añadido y una posición
privilegiada de cara a nuevas oportunidades de negocio frente a
servicios de medios de pago que no pueden competir con esta
garantía ofrecida.
• La integración de PCI DSS como marco de procesos de seguridad
business-as-usual realizada de forma gradual en servicios ya
existentes proporciona grandes beneficios en cuanto a la
seguridad integral de todos los procesos y activos y minimiza
la ocurrencia de incidentes de seguridad que puedan tener un
impacto económico, de prestigio o daño de marca, y posibles
penalizaciones asociadas.
• Además la adopción de la norma PCI DSS como marco de
seguridad facilita implementar otros marcos de seguridad (ISO
27001, LOPD, etc.) de forma integradora y unificada.
• El diseño preliminar de servicios alineados con PCI DSS suponen
un gran beneficio ya que se evita un posible esfuerzo de cara al
futuro para adecuar la infraestructura y los procesos ya existentes
a la norma, y en caso de una futura exigencia de certificación
por parte de clientes y/o adquirientes el posible impacto
negativo derivado de la necesidad de cumplimiento se reduce
sustancialmente.
• Minimización de responsabilidades ante incidentes y las multas
o penalizaciones derivadas impuestas por las marcas o los
adquirientes, siempre y cuando se demuestre el cumplimiento y
un esfuerzo por mantenerlo.

2. Requisitos de PCI DSS
Los requisitos que componen la norma PCI DSS se engloban en 6
dominios generales que a su vez de dividen en 12 requerimientos
de obligado cumplimiento con sus respectivos procedimientos de
evaluación:
Servicios profesionales de SIA sobre PCI DSS
En Grupo SIA tenemos más de 25 años como proveedores
de servicios de seguridad y contamos desde 2010 con la
certificación PCI DSS QSA emitida por PCI SSC. Esta nos permite
validar el cumplimiento de la norma conforme a los requisitos
establecidos por las marcas de tarjetas, así como asistir a la hora de
cumplimentar los cuestionarios de autoevaluación. Además, gracias
a acuerdos de colaboración con compañías ASV, complementamos
nuestros servicios con la realización de los escaneos de red
trimestrales conforme a la norma.
El valor de SIA como aliado en el marco de PCI no sólo se queda
en la auditoría. Nuestra condición de proveedores de soluciones
integrales nos permite ofrecer soluciones óptimas para el
cumplimiento de la PCI DSS en cada uno sus doce requisitos,
unificándolo con el cumplimiento de otros marcos similares, como
los derivados de la LOPD, los SGSI, ITIL, COBIT, etc. o sus propias
políticas internas. Igualmente, nuestro equipo de hacking ético,
aporta en este tipo de proyectos un valor diferencial a la hora
de detectar y proponer soluciones sobre vulnerabilidades de los
sistemas.
En este sentido, nuestros equipos de Consultoría, Infraestructuras
y Servicios Gestionados, atesoran un amplio bagaje en el ámbito
de la seguridad de la información, contando con un gran equipo de
profesionales de muy alta capacitación y experiencia, en disposición
de certificaciones como CISA, CISM, CGEIT, CRISC, LA 27001, CISSP, o
CEH, entre otras.
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Pallars 99
planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
Enfoque metodológico
SIA fomenta el cumplimiento de PCI DSS con un enfoque orientado
a la mejora continua de la seguridad de los sistemas afectados,
orientando a sus clientes a mantener y aumentar la seguridad de
forma global.
De forma general, nuestros servicios de auditoría se desarrollan
en cuatro fases, que tienen como principales objetivos delimitar
el entorno afectado, identificar los puntos de no conformidad
con la norma y orientar en las acciones que deban tomarse para
subsanarlos, hasta la emisión del informe de cumplimiento final.
Reporte de
Cumplimiento
¿Todo
conforme?
No
SíDefinición
entorno PCI
Análisis de
cumplimiento
Implementación
correcciones
Declaración de
cumplimiento
Coordinación y asesoramiento
Arranque
proyecto
Cierre del
proyecto
Debido al impacto que supone la implementación de los requisitos
de PCI DSS, en la primera fase del proyecto cobra especial
importancia la delimitación del alcance y la identificación de los
componentes afectados.
Durante la fase de análisis, utilizamos los procedimientos de prueba
y criterios de evaluación definidos por PCI. Sólo de esta forma es
posible garantizar el cumplimiento de los requisitos frente a quienes
después exigirán los informes de auditoría (entidades adquirientes,
comercios o las propias compañías de tarjetas). Identificamos no
sólo los puntos de no conformidad, sino también las oportunidades
de mejora y recomendaciones para el cumplimiento de PCI DSS.
Trascurrido un plazo razonable para la resolución de no
conformidades, se prepara el Informe de Cumplimiento y la
Declaración de Cumplimiento con todo el apoyo necesario para
finalizar los registros y envío a marcas de toda la documentación
necesaria.
Contacto servicios PCI:
PCI-DSS@sia.es
Desarrollar y mantener una
red segura.
Proteger los datos del titular
de la tarjeta.
Mantener un programa
de administración de
vulnerabilidad.
Implementar medidas
sólidas de control de acceso.
Supervisar y evaluar las
redes con regularidad.
Mantener una política de
seguridad de información.
1. Instale y mantenga una configuración de firewalls
para proteger los datos de los titulares de las
tarjetas.
2. No use contraseñas de sistemas y otros
parámetros de seguridad provistos por los
proveedores.
3. Proteja los datos del titular de tarjeta que fueron
almacenados.
4. Cifrar la transmisión de los datos de titular de
tarjeta en las redes públicas abiertas.
5. Utilice y actualice regularmente el software o los
programas antivirus.
6. Desarrolle y mantenga sistemas y aplicaciones
seguros.
7. Restringir el acceso a los datos del titular de la
tarjeta según la necesidad de saber del negocio.
8. Asignar un ID exclusivo a cada persona que tenga
acceso por computadora.
9. Restringir el acceso físico a los datos de titular de
tarjeta.
10. Rastree y supervise todos los accesos a los
recursos de red y a los datos de los titulares de
las tarjetas.
11. Pruebe con regularidad los sistemas y procesos de
seguridad.
12. Mantenga una política que aborde la seguridad de
la información para todo el personal.