HOME OUR SOLUTIONS COMPLIANCE PCI-DSS

COMPLIANCE PCI-DSS

Oferta de servicios de cumplimiento PCI- DSS.


Todas las empresas que procesan, manipulan o almacenan datos de tarjetas de pago deben cumplir con los requisitos de PCI-DSS. El estándar global de seguridad de datos tenía por objeto reducir el fraude relacionado con el uso de tarjetas de pago en transacciones comerciales.

INTEGRITY, como Qualified Security Assessor (QSA) proporciona auditorías y asesoramiento profesional a las empresas que procesan y transmiten datos de tarjetas de pago en el transcurso de su actividad.

Además, también cuenta con un servicio de gestión continua de requisitos PCI- DSS, el DSSManager


DSSManager consta de 3 niveles de servicio, proporcionados y gestionados en una plataforma propietaria desarrollada por INTEGRITY. Los servicios básicos ayudan al proceso de cumplimiento PCI en cualquier organización, y los servicios continuos permiten a la organización mantener su estado de cumplimiento PCI. Los servicios opcionales abordarán la realidad específica de las necesidades de cada empresa con el fin de mantener el cumplimiento de PCI.

Los servicios básicos incluyen:

• Acceso al Portal de Cumplimiento - portal de cumplimiento personalizado, para supervisar el cumplimiento en cualquier momento;
• Asistencia de SAQ - asistencia con procedimientos e informes de autoevaluación (SAQ);
• Evaluación de riesgos - promueve un enfoque basado en el riesgo para el cumplimiento de PCI;
• GAP Assessment - identifica y prioriza las acciones y controla las implementaciones.

Los servicios continuos incluyen:

• Cyber Risk Assessment Reports - genera y entrega un informe mensual que evalúa su postura de ciberseguridad y cumplimiento PCI-DSS;
• Security Advisor Reviews - revisiones de cumplimiento regulares con su equipo y uno de nuestros consultores de seguridad expertos, para la mejora continua;
• Actualizaciones y cambios de cumplimiento - alertas sobre cualquier actualización o cambio en PCI-DSS, el Portal también reflejará los cambios;
• Pentesting continuo - pentesting regular de todos los activos bajo;v • ASV Scan (para organizaciones que tienen este requisito - proporcionado por un asociado);
• Vunerability Scan (cuando no se requiere Scan ASV o para cubrir activos adicionales);
• Network Penetration Testing (a través del servicio KEEP-IT-SECURE-24).

Los servicios opcionales incluyen:

• Certificado de Conformidad (AOC);
• Evaluaciones de seguridad in local e informe completo de cumplimiento de PCI- DSS (ROC);
• Servicios de educación de sensibilización y ciberseguridad para los empleados;
• Y una amplia lista de servicios adicionales de consultoría bajo demanda o continuos, relacionados con el mantenimiento del cumplimiento de PCI-DSS.

Nuestro equipo de QSAs proporcionará orientación PCI a través de un enfoque basado en el riesgo donde:

• Se le proporcionará su informe de cumplimiento, alineado con los requisitos de PCI;
• Sus objetivos de cumplimiento serán validados;
• Se le ayudará a definir el alcance y el límite de los datos del titular de la tarjeta;
• Y se le proporcionará un libro de trabajo con un enfoque de prioridad PCI-DSS, acompañado de un cronograma para lograr el cumplimiento.

Informe compuesto por más de 200 requisitos resultantes del trabajo presencial desarrollado sobre el terreno, como la inspección de pruebas, y entrevistas realizadas por una QSA de INTEGRITY. El elemento QSA asignado será responsable de llevar a cabo la evaluación, y guiará al cliente a través de este proceso.

La evaluación PCI-DSS realizada incluye:

• Un análisis detallado del entorno de datos del titular de la tarjeta de su organización;
• Y documenta los detalles del cumplimiento de su PCI-DSS.

Si se requieren correcciones para lograr o mantener el cumplimiento de PCI, los elementos QSA de INTEGRITY pueden:

• Determinar la causa principal de las inconformidades;
• Identificar posibles soluciones para lograr el cumplimiento;
• Proponer un plan de proyecto y un calendario de corrección.

El equipo permanecerá disponible para revisar el progreso mientras el cliente lleva a cabo actividades correctivas para asegurarse de que se realizan esfuerzos para lograr el cumplimiento.

Nuestro equipo de profesionales tiene una amplia y profunda experiencia en protección de datos y apoya a los clientes en todo lo necesario, para mantener protegidos los datos del titular de la tarjeta procesados, transmitidos o almacenados por el cliente.

No sólo se le dará un informe, sino una comprensión de su negocio para que pueda llegar más lejos.

Podemos proporcionar el análisis trimestral de vulnerabilidades externo necesario a través de un socio comercial de confianza, un Approved Scanning Vendor (ASV).

  • Nivel de cumplimiento nº 1

    Los consultores de QSA de INTEGRITY pueden ayudar a los comerciantes y proveedores de servicios de este nivel a llevar a cabo su evaluación de QSA mediante:


    Evaluaciones de cumplimiento PCI;

    Llenar los informes de cumplimiento;

    Y del SAQ (Self-Assessment Questionnaire).

  • Nivel de cumplimiento nº 2, 3 and 4

    Los comerciantes y proveedores de servicios en estos niveles pueden recurrir a un consultor (QSA) de INTEGRITY para ayudarlos a:


    Determinar su alcance;

    Definir los requisitos de PCI adecuados para su organización;

    Rellenar el Cuestionario de Autoevaluación (SAQ*).


    *Es un valor añadido solicitar ayuda a un QSA, ya que demuestra tanto a los clientes como al banco que la organización ha utilizado un asociado externo y imparcial para evaluar su cumplimiento.

NIVELES   TRANSACCIONES ANUALES CON TARJETA   REQUISITO SAQ*
1   + 6 Millones   *SAQ reemplazado por certificación PCI-DSS
2   Entre 1M-6 millón   *SAQ obligatorio, firmado por un QSA o un elemento entrenado de PCI SSC ISA
3   Entre 20mil – 1 millón   *SAQ obligatorio
4   Hasta 20 mil   *SAQ recomendado, pero no obligatorio
* SAQ = Self-Assessment Questionnaire SAQ. Es una herramienta de autovalidación para evaluar la seguridad de los datos del titular de la tarjeta.

¿Qué es PCI-DSS?

Payment Card Industry Data Security Standard (PCI-DSS) es un estándar de seguridad global con requisitos operativos y técnicos diseñados para mejorar el control sobre los datos de las tarjetas de pago de los usuarios.

Esta norma, y sus estándares, tienen como objetivo garantizar un entorno seguro para los usuarios y entidades que procesan datos a partir de tarjetas de pago, evitando fraudes.

Objetivos y requisitos de cumplimiento PCI-DSS

Los requisitos de cumplimiento PCI-DSS cubren componentes técnicos y operativos del sistema, incluidos o directamente vinculados a los datos del titular de la tarjeta.

Si su empresa acepta o procesa pagos con tarjetas de crédito, debe cumplir con los 12 requisitos presentados en la tabla:


OBJETIVOS   REQUISITOS PCI-DSS
Construir y mantener una red segura   1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta
2. No utilice estándares proporcionados por el proveedor para contraseñas del sistema u otros parámetros de seguridad
Proteger los datos del titular de la tarjeta   3. Proteja los datos almacenados del titular de la tarjeta
4. Cifrar la transmisión de datos de titulares de tarjetas en redes públicas abiertas
Mantener un programa de gestión de vulnerabilidades   5. Utilice y actualice regularmente software o programas antivirus
6. Desarrollar y mantener sistemas y aplicaciones seguros
Implementar medidas sólidas de control de acceso   7. Restringir el acceso a los datos del titular de la tarjeta, de acuerdo con la necesidad de conocimiento de la empresa
8. Asigne un ID único a cada persona con acceso a su ordenador
9. Restringir el acceso físico a los datos del titular de la tarjeta
Monitorear y probar regularmente las redes   10. Localice y supervise todo el acceso a los recursos de red y a los datos del titular de la tarjeta
11. Pruebe regularmente los sistemas y procesos de seguridad
Mantener una política de seguridad de la información   12. Mantener una política que aborde la seguridad de la información de los empleados y supervisores

¿Quién debe cumplir con el estándar de seguridad PCI-DSS?

Todas las empresas que procesan, manipulan o almacenan datos de tarjetas de pago deben cumplir con los requisitos de PCI-DSS.

Se aseguran de que el procesamiento de las transacciones realizadas con tarjetas de pago sea seguro para todas las partes involucradas, salvaguardando a los propios consumidores y empresas de los problemas de robo y violación de datos.

¿Hay sanciones en caso de incumplimiento?

Sí. Las marcas de tarjetas de pago que componen el consorcio PCI pueden multar a un banco receptor hasta 500.000 dólares (unos 425.000 euros) al mes por infracciones de cumplimiento de PCI. Es muy probable que los bancos pasen esta multa al operador.

Sin embargo, más grave que las multas, es la revocación del derecho a tramitar operaciones con tarjetas de pago que puedan ser emitidas por el Consorcio, y dictará la pena de muerte para muchas empresas.

¿Qué es el Consorcio PCI y cuáles son sus responsabilidades?

El Consorcio PCI, en inglés PCI-SSC, es una entidad global independiente formada en 2006 por los cinco principales sistemas de tarjetas de pago (American Express, Discover, MasterCard, Visa y Japan Credit Bureau).

Las responsabilidades de este organismo son desarrollar, gestionar, educar y crear conciencia sobre los estándares de seguridad de datos PCI. Además, depende de usted reconocer Qualified Security Assessors (QSA) y ASV (Approved Scanning Vendors) como entidades calificadas adecuadas para la validación de cumplimiento, en alineación con el PCI, como sucedió con INTEGRITY.

CONTACTOS

España

Calle Edgar Neville, 6
28020, Madrid | España
E: info@integritysec.es

United Kingdom

Suite 4B
43 Berkeley Square
Mayfair, Westminster
London, W1J 5FJ | United Kingdom
T: +44 20 3318 0800

Portugal

Av. João Crisóstomo, n.º 30, 5º
1050-127, Lisboa | Portugal
T: +351 21 33 03 740

 




x