Home Nuestras soluciones Compliance PCI-DSS
En esta página puede encontrar los siguientes temas:
Servicios de Cumplimiento PCI-DSS proporcionados por Devoteam Cyber Trust
Niveles de cumplimiento para comerciantes y proveedores de servicios
Niveles de validación de cumplimiento de VISA y Mastercard para comerciantes
Sección de preguntas frecuentes sobre PCI-DSS
Todas las empresas que procesan, manipulan o almacenan datos de tarjetas de pago deben cumplir con los requisitos de PCI-DSS. El estándar global de seguridad de datos tenía por objeto reducir el fraude relacionado con el uso de tarjetas de pago en transacciones comerciales.
Devoteam Cyber Trust, como Qualified Security Assessor (QSA) proporciona auditorías y asesoramiento profesional a las empresas que procesan y transmiten datos de tarjetas de pago en el transcurso de su actividad.
Además, también cuenta con un servicio de gestión continua de requisitos PCI- DSS, el DSSManager.
La formación PCI-DSS permite a las empresas que necesitan lograr el cumplimiento de PCI-DSS, pero no tienen los recursos adecuados para hacerlo, poder informar y formar elementos de un potencial equipo de trabajo.
La formación se centra en:
Nuestro equipo de QSAs proporcionará orientación PCI a través de un enfoque basado en el riesgo donde:
Si se requieren correcciones para lograr o mantener el cumplimiento de PCI, los elementos QSA de Devoteam Cyber Trust pueden:
El equipo permanecerá disponible para revisar el progreso mientras el cliente lleva a cabo actividades correctivas para asegurarse de que se realizan esfuerzos para lograr el cumplimiento.
Los SAQ están diseñados para una tipología concreta de transacciones con tarjeta de crédito, hay 9 tipos de SAQ hasta hoy, por ejemplo, A, B, B-IP, C, D. Estos cuestionarios permiten al comerciante autoevaluar su cumplimiento de PCI-DSS, documentar las diferentes prácticas necesarias para poder realizar transacciones con tarjeta de crédito de manera segura, así como identificar casos en los que existe divergencia con los objetivos de control para identificar y documentar cómo se abordan las preocupaciones latentes en el PCI-DSS.
Informe compuesto por más de 200 requisitos resultantes del trabajo presencial desarrollado sobre el terreno, como la inspección de pruebas, y entrevistas realizadas por una QSA de Devoteam Cyber Trust. El elemento QSA asignado será responsable de llevar a cabo la evaluación, y guiará al cliente a través de este proceso.
La evaluación PCI-DSS realizada incluye:
The Compliance Certificate is a formal document issued by Devoteam Cyber Trust that certifies the execution of the conformity assessment and its result. This document demonstrates that the controls defined as necessary by the PCI Consortium are correctly implemented in the respective Organization and in the specific environment under this Certification. This document can be issued when accompanied by a SAQ or ROC.
Los consultores de QSA de Devoteam Cyber Trust pueden ayudar a los comerciantes y proveedores de servicios de este nivel a llevar a cabo su evaluación de QSA mediante:
Evaluaciones de cumplimiento PCI;
Llenar los informes de cumplimiento;
Y del SAQ (Self-Assessment Questionnaire).
Los comerciantes y proveedores de servicios en estos niveles pueden recurrir a un consultor (QSA) de Devoteam Cyber Trust para ayudarlos a:
Determinar su alcance;
Definir los requisitos de PCI adecuados para su organización;
Rellenar el Cuestionario de Autoevaluación (SAQ*).
*Es un valor añadido solicitar ayuda a un QSA, ya que demuestra tanto a los clientes como al banco que la organización ha utilizado un asociado externo y imparcial para evaluar su cumplimiento.
| NIVELES | TRANSACCIONES ANUALES CON TARJETA | REQUISITO SAQ* | ||
| 1 | +6 Millones | *SAQ reemplazado por certificación PCI-DSS | ||
| 2 | Entre 1M-6 millón | *SAQ obligatorio, firmado por un QSA o un elemento entrenado de PCI SSC ISA | ||
| 3 | Entre 20mil – 1 millón | *SAQ obligatorio | ||
| 4 | Hasta 20 mil | *SAQ recomendado, pero no obligatorio |
| * SAQ = Self-Assessment Questionnaire SAQ. Es una herramienta de autovalidación para evaluar la seguridad de los datos del titular de la tarjeta. |
Payment Card Industry Data Security Standard (PCI-DSS) es un estándar de seguridad global con requisitos operativos y técnicos diseñados para mejorar el control sobre los datos de las tarjetas de pago de los usuarios.
Esta norma, y sus estándares, tienen como objetivo garantizar un entorno seguro para los usuarios y entidades que procesan datos a partir de tarjetas de pago, evitando fraudes.
Los requisitos de cumplimiento PCI-DSS cubren componentes técnicos y operativos del sistema, incluidos o directamente vinculados a los datos del titular de la tarjeta.
Si su empresa acepta o procesa pagos con tarjetas de crédito, debe cumplir con los 12 requisitos presentados en la tabla:
| OBJETIVOS | REQUISITOS PCI-DSS | |
| Construir y mantener una red segura |
1. Instale y mantenga una configuración de firewall para proteger los datos
del titular de la tarjeta 2. No utilice estándares proporcionados por el proveedor para contraseñas del sistema u otros parámetros de seguridad |
|
| Proteger los datos del titular de la tarjeta |
3. Proteja los datos almacenados del titular de la tarjeta
4. Cifrar la transmisión de datos de titulares de tarjetas en redes públicas abiertas |
|
| Mantener un programa de gestión de vulnerabilidades |
5. Utilice y actualice regularmente software o programas antivirus 6. Desarrollar y mantener sistemas y aplicaciones seguros |
|
| Implementar medidas sólidas de control de acceso |
7. Restringir el acceso a los datos del titular de la tarjeta, de acuerdo con la
necesidad de conocimiento de la empresa 8. Asigne un ID único a cada persona con acceso a su ordenador 9. Restringir el acceso físico a los datos del titular de la tarjeta |
|
| Monitorear y probar regularmente las redes |
10. Localice y supervise todo el acceso a los recursos de red y a los datos del titular
de la tarjeta 11. Pruebe regularmente los sistemas y procesos de seguridad |
|
| Mantener una política de seguridad de la información | 12. Mantener una política que aborde la seguridad de la información de los empleados y supervisores |
Todas las empresas que procesan, manipulan o almacenan datos de tarjetas de pago deben cumplir con los requisitos de PCI-DSS.
Se aseguran de que el procesamiento de las transacciones realizadas con tarjetas de pago sea seguro para todas las partes involucradas, salvaguardando a los propios consumidores y empresas de los problemas de robo y violación de datos.
Sí. Las marcas de tarjetas de pago que componen el consorcio PCI pueden multar a un banco receptor hasta 500.000 dólares (unos 425.000 euros) al mes por infracciones de cumplimiento de PCI. Es muy probable que los bancos pasen esta multa al operador.
Sin embargo, más grave que las multas, es la revocación del derecho a tramitar operaciones con tarjetas de pago que puedan ser emitidas por el Consorcio, y dictará la pena de muerte para muchas empresas.
El Consorcio PCI, en inglés PCI-SSC, es una entidad global independiente formada en 2006 por los cinco principales sistemas de tarjetas de pago (American Express, Discover, MasterCard, Visa y Japan Credit Bureau).
Las responsabilidades de este organismo son desarrollar, gestionar, educar y crear conciencia sobre los estándares de seguridad de datos PCI. Además, depende de usted reconocer Qualified Security Assessors (QSA) y ASV (Approved Scanning Vendors) como entidades calificadas adecuadas para la validación de cumplimiento, en alineación con el PCI, como sucedió con Devoteam Cyber Trust.
