PCI Data Security Standard

PCI Data Security Standard

Introducción

El PCI Data Security Standard (PCI DSS) es una normativa que ayuda a las organizaciones que procesan, almacenan y/o transmiten datos de titulares de tarjeta, a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago de débito y crédito.

Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con este estándar o se arriesgan a la pérdida de sus permisos para procesar las tarjetas de crédito y débito, auditorías o de multas. Los comercios y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento de forma periódica.

Cómo se desarrollaría el proyecto

En un proyecto de adecuación al PCI Data Security Standard se desarrollarían las siguientes actividades:

  • Diagnóstico, identificando cumplimientos e incumplimientos del estándar:
    • Se analizarán las alternativas disponibles para la realización de pagos no presenciales y la autorización de transacciones con tarjetas de pago, así como la gestión del riesgo de fraude y el cumplimiento del PCI Data Security Standard.
    • Se revisará la conformidad respecto al PCI Data Security Standard. VISA, MasterCard, American Express, JCB y Discover publican de forma periódica una lista en la cual enumera aquellos proveedores de servicio certificados, lo cual permite garantizar que existe un nivel de seguridad gestionable en los datos de tarjeta que se compartan con dicho proveedor.
    • Se analizará el método mediante el cual se hace la captura y el envío de datos de tarjeta para autorización.
    • Se identificarán los requisitos del PCI Data Security Standard que aplican. Dependiendo del método escogido para realizar la captura y envío de datos de tarjetas de pago al proveedor, se deberá implantar y demostrar el cumplimiento con los controles del PCI Data Security Standard que mejor gestionen el potencial riesgo que tengan las organizaciones.
  • Adecuación, elaborando e implantando un plan de adecuación:
    • Se coordinará la implantación de los controles del PCI Data Security Standard.
    • Por otro lado, en función de la cantidad de transacciones anuales que se procesen (o se tenga pensado procesar) se requerirá reportar el cumplimiento del PCI Data Security Standard empleando un Cuestionario de Autoevaluación o una auditoría realizada por un Asesor Cualificado en Seguridad, según proceda.
    • Después que estén implantados los controles del PCI Data Security Standard que apliquen a las Organizaciones, se reportará el cumplimiento con el PCI Data Security Standard de forma anual o cuando exista un cambio significativo en la infraestructura. Este reporte se realizará al proveedor de servicios, al banco en donde se reciben los pagos o directamente a las marcas de tarjetas.

Haga click, si desea conocer nuestros servicios en materia de gestión de la ciberseguridad o seguridad de la información.