HOME OUR SOLUTIONS COMPLIANCE PCI-DSS

COMPLIANCE PCI-DSS

Oferta de servicios de cumplimiento PCI- DSS.


Todas las empresas que procesan, manipulan o almacenan datos de tarjetas de pago deben cumplir con los requisitos de PCI-DSS. El estándar global de seguridad de datos tenía por objeto reducir el fraude relacionado con el uso de tarjetas de pago en transacciones comerciales.

INTEGRITY, como Qualified Security Assessor (QSA) proporciona auditorías y asesoramiento profesional a las empresas que procesan y transmiten datos de tarjetas de pago en el transcurso de su actividad.

Además, también cuenta con un servicio de gestión continua de requisitos PCI- DSS, el DSSManager


PCI-DSS Advisory

Los servicios de asesoramiento PCI están destinados a aquellas empresas que están comenzando sus esfuerzos hacia el cumplimiento de PCI, o que desean comprometerse con los estándares PCI sin una relación formal con el PCI-SSC.

Formación

Evaluación de Preparación

Servicios de Remediación

La formación PCI-DSS permite a las empresas que necesitan lograr el cumplimiento de PCI-DSS, pero no tienen los recursos adecuados para hacerlo, poder informar y formar elementos de un potencial equipo de trabajo.
La formación se centra en:

  • Que es PCI-DSS
  • Explicación de los controles PCI-DSS
  • Metodologías de implementación de cumplimiento
  • El proceso de pago
  • El proceso de certificación y los documentos que forman parte del proceso de certificación

Nuestro equipo de QSAs proporcionará orientación PCI a través de un enfoque basado en el riesgo donde:

  • Se le proporcionará su informe de cumplimiento, alineado con los requisitos de PCI;
  • Sus objetivos de cumplimiento serán validados;
  • Se le ayudará a definir el alcance y el límite de los datos del titular de la tarjeta;
  • Y se le proporcionará un libro de trabajo con un enfoque de prioridad PCI-DSS, acompañado de un cronograma para lograr el cumplimiento.

Si se requieren correcciones para lograr o mantener el cumplimiento de PCI, los elementos QSA de INTEGRITY pueden:

  • Determinar la causa principal de las inconformidades;
  • Identificar posibles soluciones para lograr el cumplimiento;
  • Proponer un plan de proyecto y un calendario de corrección.

El equipo permanecerá disponible para revisar el progreso mientras el cliente lleva a cabo actividades correctivas para asegurarse de que se realizan esfuerzos para lograr el cumplimiento.

PCI-DSS Attestation

Los servicios de certificación PCI están destinados a aquellas empresas que tienen la obligación formal de cumplir con PCI DSS y requieren la experiencia de una empresa QSA.

SAQ

Cuestionario
de
Autoevaluación

ROC

Informe
de
Cumplimiento

AOC

Atestación
de
Cumplimiento

Los SAQ están diseñados para una tipología concreta de transacciones con tarjeta de crédito, hay 9 tipos de SAQ hasta hoy, por ejemplo, A, B, B-IP, C, D. Estos cuestionarios permiten al comerciante autoevaluar su cumplimiento de PCI-DSS, documentar las diferentes prácticas necesarias para poder realizar transacciones con tarjeta de crédito de manera segura, así como identificar casos en los que existe divergencia con los objetivos de control para identificar y documentar cómo se abordan las preocupaciones latentes en el PCI-DSS.

Informe compuesto por más de 200 requisitos resultantes del trabajo presencial desarrollado sobre el terreno, como la inspección de pruebas, y entrevistas realizadas por una QSA de INTEGRITY. El elemento QSA asignado será responsable de llevar a cabo la evaluación, y guiará al cliente a través de este proceso.

La evaluación PCI-DSS realizada incluye:

  • Un análisis detallado del entorno de datos del titular de la tarjeta de su organización;
  • Y documenta los detalles del cumplimiento de su PCI-DSS.

El Certificado de Cumplimiento es un documento formal emitido por INTEGRITY que certifica la ejecución de la evaluación de la conformidad y su resultado. Este documento demuestra que los controles definidos como necesarios por el Consorcio PCI se implementan correctamente en la respectiva Organización y en el entorno específico bajo esta Certificación. Este documento se puede emitir cuando va acompañado de un SAQ o ROC.

  • Nivel de cumplimiento nº 1

    Los consultores de QSA de INTEGRITY pueden ayudar a los comerciantes y proveedores de servicios de este nivel a llevar a cabo su evaluación de QSA mediante:


    Evaluaciones de cumplimiento PCI;

    Llenar los informes de cumplimiento;

    Y del SAQ (Self-Assessment Questionnaire).

  • Nivel de cumplimiento nº 2, 3 and 4

    Los comerciantes y proveedores de servicios en estos niveles pueden recurrir a un consultor (QSA) de INTEGRITY para ayudarlos a:


    Determinar su alcance;

    Definir los requisitos de PCI adecuados para su organización;

    Rellenar el Cuestionario de Autoevaluación (SAQ*).


    *Es un valor añadido solicitar ayuda a un QSA, ya que demuestra tanto a los clientes como al banco que la organización ha utilizado un asociado externo y imparcial para evaluar su cumplimiento.

NIVELES   TRANSACCIONES ANUALES CON TARJETA   REQUISITO SAQ*
1   + 6 Millones   *SAQ reemplazado por certificación PCI-DSS
2   Entre 1M-6 millón   *SAQ obligatorio, firmado por un QSA o un elemento entrenado de PCI SSC ISA
3   Entre 20mil – 1 millón   *SAQ obligatorio
4   Hasta 20 mil   *SAQ recomendado, pero no obligatorio
* SAQ = Self-Assessment Questionnaire SAQ. Es una herramienta de autovalidación para evaluar la seguridad de los datos del titular de la tarjeta.

¿Qué es PCI-DSS?

Payment Card Industry Data Security Standard (PCI-DSS) es un estándar de seguridad global con requisitos operativos y técnicos diseñados para mejorar el control sobre los datos de las tarjetas de pago de los usuarios.

Esta norma, y sus estándares, tienen como objetivo garantizar un entorno seguro para los usuarios y entidades que procesan datos a partir de tarjetas de pago, evitando fraudes.

Objetivos y requisitos de cumplimiento PCI-DSS

Los requisitos de cumplimiento PCI-DSS cubren componentes técnicos y operativos del sistema, incluidos o directamente vinculados a los datos del titular de la tarjeta.

Si su empresa acepta o procesa pagos con tarjetas de crédito, debe cumplir con los 12 requisitos presentados en la tabla:


OBJETIVOS   REQUISITOS PCI-DSS
Construir y mantener una red segura   1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta
2. No utilice estándares proporcionados por el proveedor para contraseñas del sistema u otros parámetros de seguridad
Proteger los datos del titular de la tarjeta   3. Proteja los datos almacenados del titular de la tarjeta
4. Cifrar la transmisión de datos de titulares de tarjetas en redes públicas abiertas
Mantener un programa de gestión de vulnerabilidades   5. Utilice y actualice regularmente software o programas antivirus
6. Desarrollar y mantener sistemas y aplicaciones seguros
Implementar medidas sólidas de control de acceso   7. Restringir el acceso a los datos del titular de la tarjeta, de acuerdo con la necesidad de conocimiento de la empresa
8. Asigne un ID único a cada persona con acceso a su ordenador
9. Restringir el acceso físico a los datos del titular de la tarjeta
Monitorear y probar regularmente las redes   10. Localice y supervise todo el acceso a los recursos de red y a los datos del titular de la tarjeta
11. Pruebe regularmente los sistemas y procesos de seguridad
Mantener una política de seguridad de la información   12. Mantener una política que aborde la seguridad de la información de los empleados y supervisores

¿Quién debe cumplir con el estándar de seguridad PCI-DSS?

Todas las empresas que procesan, manipulan o almacenan datos de tarjetas de pago deben cumplir con los requisitos de PCI-DSS.

Se aseguran de que el procesamiento de las transacciones realizadas con tarjetas de pago sea seguro para todas las partes involucradas, salvaguardando a los propios consumidores y empresas de los problemas de robo y violación de datos.

¿Hay sanciones en caso de incumplimiento?

Sí. Las marcas de tarjetas de pago que componen el consorcio PCI pueden multar a un banco receptor hasta 500.000 dólares (unos 425.000 euros) al mes por infracciones de cumplimiento de PCI. Es muy probable que los bancos pasen esta multa al operador.

Sin embargo, más grave que las multas, es la revocación del derecho a tramitar operaciones con tarjetas de pago que puedan ser emitidas por el Consorcio, y dictará la pena de muerte para muchas empresas.

¿Qué es el Consorcio PCI y cuáles son sus responsabilidades?

El Consorcio PCI, en inglés PCI-SSC, es una entidad global independiente formada en 2006 por los cinco principales sistemas de tarjetas de pago (American Express, Discover, MasterCard, Visa y Japan Credit Bureau).

Las responsabilidades de este organismo son desarrollar, gestionar, educar y crear conciencia sobre los estándares de seguridad de datos PCI. Además, depende de usted reconocer Qualified Security Assessors (QSA) y ASV (Approved Scanning Vendors) como entidades calificadas adecuadas para la validación de cumplimiento, en alineación con el PCI, como sucedió con INTEGRITY.

CONTACTOS

España

Calle Cronos 63, 4ª planta Oficina 2
28037, Madrid | España
T: +34 91 376 88 20
E: info@integritysec.es

United Kingdom

Suite 4B
43 Berkeley Square
Mayfair, Westminster
London, W1J 5FJ | United Kingdom

Portugal

Edifício Atrium Saldanha
Praça Duque de Saldanha, nº 1, 2º andar
1050-094, Lisboa | Portugal
T: +351 21 33 03 740

 




x

Consentimiento Cookies X

Integrity S.A. utiliza cookies para elaborar información estadística y de presentación de información más personalizada, en función de sus hábitos de navegación. Para más información, consulte nuestra Política de Cookies.