Upload File

pci dss

2
Estándar de seguridad PCI DSS El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los tulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gesón, educación y divulgación de dichas normas. PCI DSS, PA-DSS, PCI PTS Existen varias normas bajo el marco de PCI, de entre las que habría que destacar tres de ellas. El estándar PCI DSS proporciona una referencia de requisitos técnicos y operavos orientado a servicios, desarrollado para proteger los datos de los tulares de tarjetas. PCI DSS se aplica a todas las endades que parcipan en los procesos de las tarjetas de pago (comercios, instuciones financieras, endades adquirentes, endades emisoras, proveedores de servicios, etc.) y, en general, toda organización que almacene, procese o transmita datos de tulares de tarjetas. PA-DSS se aplica a proveedores de soſtware que desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos de tarjetas, siempre que dichas aplicaciones se vendan, distribuyan u otorguen bajo licencia a terceros. Finalmente, PCI PTS aplica a los disposivos de pago, definiendo los requisitos para su fabricación. La rápida evolución de las acvidades comerciales basadas en transacciones electrónicas está suponiendo un aumento significavo en la necesidad de adecuación a esta norma para comercios, proveedores de servicio y endades financieras, dada la creciente exigencia de proteger los datos de tarjeta de una manera adecuada y uniforme. CONFORMIDAD CON PCS DSS (Payment card Industry Data Security Standards) Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 ¿Quién debe cumplir? Todas las organizaciones que transmiten, procesan o almacenan datos de tarjeta deben cumplir con la norma independientemente del tamaño o volumen de negocio. En función de criterios como el volumen de transacciones y el rol de la endad (comercio o proveedor de servicio), existen diferentes categorías de niveles que marcan el modo de realizar la validación y reporte de cumplimiento, bien mediante auditorías in situ o cumplimentando el denominado SAQ o cuesonario de autoevaluación. Beneficios que aporta PCI DSS Dada la cada vez mayor presencia por parte de comercios, proveedores de servicio y endades involucradas en el floreciente escenario de transacciones electrónicas y medios de pago, la alineación con la norma PCI DSS ofrece las siguientes ventajas: • Un servicio PCI-compliant ofrece un valor añadido y una posición privilegiada de cara a nuevas oportunidades de negocio frente a servicios de medios de pago que no pueden comper con esta garana ofrecida. • La integración de PCI DSS como marco de procesos de seguridad business-as-usual realizada de forma gradual en servicios ya existentes proporciona grandes beneficios en cuanto a la seguridad integral de todos los procesos y acvos y minimiza la ocurrencia de incidentes de seguridad que puedan tener un impacto económico, de presgio o daño de marca, y posibles penalizaciones asociadas. • Además la adopción de la norma PCI DSS como marco de seguridad facilita implementar otros marcos de seguridad (ISO 27001, LOPD, etc.) de forma integradora y unificada. • El diseño preliminar de servicios alineados con PCI DSS suponen un gran beneficio ya que se evita un posible esfuerzo de cara al futuro para adecuar la infraestructura y los procesos ya existentes a la norma, y en caso de una futura exigencia de cerficación por parte de clientes y/o adquirientes el posible impacto negavo derivado de la necesidad de cumplimiento se reduce sustancialmente. • Minimización de responsabilidades ante incidentes y las multas o penalizaciones derivadas impuestas por las marcas o los adquirientes, siempre y cuando se demuestre el cumplimiento y un esfuerzo por mantenerlo.

Upload: sia-group

Post on 09-Jan-2017

456 views

Category:

Technology


0 download

Report

TRANSCRIPT

Page 1: PCI DSS

Estándar de seguridad PCI DSS

El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.

PCI DSS, PA-DSS, PCI PTS

Existen varias normas bajo el marco de PCI, de entre las que habría que destacar tres de ellas. El estándar PCI DSS proporciona una referencia de requisitos técnicos y operativos orientado a servicios, desarrollado para proteger los datos de los titulares de tarjetas. PCI DSS se aplica a todas las entidades que participan en los procesos de las tarjetas de pago (comercios, instituciones financieras, entidades adquirentes, entidades emisoras, proveedores de servicios, etc.) y, en general, toda organización que almacene, procese o transmita datos de titulares de tarjetas.

PA-DSS se aplica a proveedores de software que desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos de tarjetas, siempre que dichas aplicaciones se vendan, distribuyan u otorguen bajo licencia a terceros. Finalmente, PCI PTS aplica a los dispositivos de pago, definiendo los requisitos para su fabricación.

La rápida evolución de las actividades comerciales basadas en transacciones electrónicas está suponiendo un aumento significativo en la necesidad de adecuación a esta norma para comercios, proveedores de servicio y entidades financieras, dada la creciente exigencia de proteger los datos de tarjeta de una manera adecuada y uniforme.

CONFORMIDAD CON PCS DSS(Payment card Industry Data Security Standards)

Pallars 99, planta 4, oficina 4108018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830

www.sia.es

Avda. de Europa, 2Alcor Plaza - Edificio B - Parque Oeste Alcorcón28922 Alcorcón - MadridTel.: +34 902 480 580Fax: +34 913 077 980

¿Quién debe cumplir?

Todas las organizaciones que transmiten, procesan o almacenan datos de tarjeta deben cumplir con la norma independientemente del tamaño o volumen de negocio. En función de criterios como el volumen de transacciones y el rol de la entidad (comercio o proveedor de servicio), existen diferentes categorías de niveles que marcan el modo de realizar la validación y reporte de cumplimiento, bien mediante auditorías in situ o cumplimentando el denominado SAQ o cuestionario de autoevaluación.

Beneficios que aporta PCI DSS

Dada la cada vez mayor presencia por parte de comercios, proveedores de servicio y entidades involucradas en el floreciente escenario de transacciones electrónicas y medios de pago, la alineación con la norma PCI DSS ofrece las siguientes ventajas:

• Un servicio PCI-compliant ofrece un valor añadido y una posición privilegiada de cara a nuevas oportunidades de negocio frente a servicios de medios de pago que no pueden competir con esta garantía ofrecida.

• La integración de PCI DSS como marco de procesos de seguridad business-as-usual realizada de forma gradual en servicios ya existentes proporciona grandes beneficios en cuanto a la seguridad integral de todos los procesos y activos y minimiza la ocurrencia de incidentes de seguridad que puedan tener un impacto económico, de prestigio o daño de marca, y posibles penalizaciones asociadas.

• Además la adopción de la norma PCI DSS como marco de seguridad facilita implementar otros marcos de seguridad (ISO 27001, LOPD, etc.) de forma integradora y unificada.

• El diseño preliminar de servicios alineados con PCI DSS suponen un gran beneficio ya que se evita un posible esfuerzo de cara al futuro para adecuar la infraestructura y los procesos ya existentes a la norma, y en caso de una futura exigencia de certificación por parte de clientes y/o adquirientes el posible impacto negativo derivado de la necesidad de cumplimiento se reduce sustancialmente.

• Minimización de responsabilidades ante incidentes y las multas o penalizaciones derivadas impuestas por las marcas o los adquirientes, siempre y cuando se demuestre el cumplimiento y un esfuerzo por mantenerlo.

Page 2: PCI DSS

Requisitos de PCI DSS

Los requisitos que componen la norma PCI DSS se engloban en 6 dominios generales que a su vez de dividen en 12 requerimientos de obligado cumplimiento con sus respectivos procedimientos de evaluación:

Servicios profesionales de SIA sobre PCI DSS

En Grupo SIA tenemos más de 25 años como proveedores de servicios de seguridad y contamos desde 2010 con la certificación PCI DSS QSA emitida por PCI SSC. Esta nos permite validar el cumplimiento de la norma conforme a los requisitos establecidos por las marcas de tarjetas, así como asistir a la hora de cumplimentar los cuestionarios de autoevaluación. Además, gracias a acuerdos de colaboración con compañías ASV, complementamos nuestros servicios con la realización de los escaneos de red trimestrales conforme a la norma.

El valor de SIA como aliado en el marco de PCI no sólo se queda en la auditoría. Nuestra condición de proveedores de soluciones integrales nos permite ofrecer soluciones óptimas para el cumplimiento de la PCI DSS en cada uno sus doce requisitos, unificándolo con el cumplimiento de otros marcos similares, como los derivados de la LOPD, los SGSI, ITIL, COBIT, etc. o sus propias políticas internas. Igualmente, nuestro equipo de hacking ético, aporta en este tipo de proyectos un valor diferencial a la hora de detectar y proponer soluciones sobre vulnerabilidades de los sistemas.

En este sentido, nuestros equipos de Consultoría, Infraestructuras y Servicios Gestionados, atesoran un amplio bagaje en el ámbito de la seguridad de la información, contando con un gran equipo de profesionales de muy alta capacitación y experiencia, en disposición de certificaciones como CISA, CISM, CGEIT, CRISC, LA 27001, CISSP, o CEH, entre otras.

www.sia.es

Avda. de Europa, 2Alcor Plaza - Edificio B

Parque Oeste Alcorcón28922 Alcorcón - Madrid

Tel.: +34 902 480 580Fax: +34 913 077 980

Pallars 99planta 4, oficina 41

08018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830

Enfoque metodológico

SIA fomenta el cumplimiento de PCI DSS con un enfoque orientado a la mejora continua de la seguridad de los sistemas afectados, orientando a sus clientes a mantener y aumentar la seguridad de forma global.

De forma general, nuestros servicios de auditoría se desarrollan en cuatro fases, que tienen como principales objetivos delimitar el entorno afectado, identificar los puntos de no conformidad con la norma y orientar en las acciones que deban tomarse para subsanarlos, hasta la emisión del informe de cumplimiento final.

Reporte deCumplimiento

¿Todo conforme?

No

SíDefinición entorno PCI

Análisis de cumplimiento

Implementación correcciones

Declaración de cumplimiento

Coordinación y asesoramiento

Arranque proyecto

Cierre del proyecto

Debido al impacto que supone la implementación de los requisitos de PCI DSS, en la primera fase del proyecto cobra especial importancia la delimitación del alcance y la identificación de los componentes afectados.

Durante la fase de análisis, utilizamos los procedimientos de prueba y criterios de evaluación definidos por PCI. Sólo de esta forma es posible garantizar el cumplimiento de los requisitos frente a quienes después exigirán los informes de auditoría (entidades adquirientes, comercios o las propias compañías de tarjetas). Identificamos no sólo los puntos de no conformidad, sino también las oportunidades de mejora y recomendaciones para el cumplimiento de PCI DSS.

Trascurrido un plazo razonable para la resolución de no conformidades, se prepara el Informe de Cumplimiento y la Declaración de Cumplimiento con todo el apoyo necesario para finalizar los registros y envío a marcas de toda la documentación necesaria.

Contacto servicios PCI:

[email protected]

Desarrollar y mantener una red segura.

Proteger los datos del titular de la tarjeta.

Mantener un programa de administración de vulnerabilidad.

Implementar medidas sólidas de control de acceso.

Supervisar y evaluar las redes con regularidad.

Mantener una política de seguridad de información.

1. Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas.

2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores.

3. Proteja los datos del titular de tarjeta que fueron almacenados.

4. Cifrar la transmisión de los datos de titular de tarjeta en las redes públicas abiertas.

5. Utilice y actualice regularmente el software o los programas antivirus.

6. Desarrolle y mantenga sistemas y aplicaciones seguros.

7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio.

8. Asignar un ID exclusivo a cada persona que tenga acceso por computadora.

9. Restringir el acceso físico a los datos de titular de tarjeta.

10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas.

11. Pruebe con regularidad los sistemas y procesos de seguridad.

12. Mantenga una política que aborde la seguridad de la información para todo el personal.


DESCARGAR PCI-DSS 3.0 - es.pcisecuritystandards.orges.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/... · Introducir la versión 1.2 de las PCI DSS (Normas de seguridad

Industria de Tarjetas de Pago (PCI) Norma de seguridad de ... · PDF filetransmiten datos de titulares de tarjeta en formato electrónico en sus sistemas o ... las PCI DSS y sobre

Gestión de eventos y monitoreo con el estándar PCI … · Gestión de eventos y monitoreo en el estándar PCI DSS ... de redes públicas abiertas. Mantener un programa de gestión

PCIPCI-DSS DSS –– Era de cambiosEra de cambios · 2016. 7. 19. · PCIPCI-DSS DSS PCI-DSS –Era de cambios Junio de 2005: Card Systems tenía una red vulnerable y guardaba datos

PCI DSS, JUSTIFICACIÓN DEL CUMPLIMIENTO · Fruto del esfuerzo del PCI Security Standards Council ... El éxito de un proyecto de PCI DSS se basa en: •Seguir una metodología robusta

Actividades Para Cumplimiento de PCI DSS

NORMAS ISO 27001 ISO 27032 GEL Y PCI DSS

PCI-DSS – Era de cambios - archivos.usuaria.org.ar · Dado que PCI-DSS es un estándar ambiental con 12 requisitos y ... clasificación de 6 niveles de riesgo que se asigna a cada

PCI DSS en la Nube - ccce.org.co · Responsabilidad PCI DSS ... Clasificación Cifrado Disposición. Seguridad Técnica Evolución de la Seguridad Identidad y Acceso Trazas de Auditoría

Tenemos que cumplir PCI Ahora, ¿qué hacemos? que cumplir PCI v1_1.pdfPCI Data Security Standard (DSS) (Cont.) Categoría 2: Proteger la Información del Titular de Tarjetas de Pago

Cumplimiento estándar PCI DSS en RSI - Caja Rural

PCI DSS PA DSS - Su empresa de Seguridad Informáticaisecauditors.com/sites/default/files/files/05-02_PA-DSS_IECI.pdf · • De hecho, las máquinas donde se prueba la aplicación

PCI DSS en la Nube

Jornada PCI DSS

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Novedades PCI DSS v 2.0 y PA-DSS v 2.0

Guía de cumplimiento de PCIcdn.ttgtmedia.com/rms/DataCenterES/PCI-Handbook.pdf · El incumplimiento de los 12 requisitos PCI DSS puede derivar en multas o en la finalización de

PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congress 2006

Seminario Riesgo en Banca Electrónica y Canales … ASBANC/RBECA-26-de-abril-Lima.pdf · • PCI DSS y el PCI Security Standards ... Excelente curso súper claro, ... programas regionales

PCI Security Standards - Pasos para la realización … · Web viewPara el cumplimiento inicial de las PCI DSS, no es necesario tener cuatro análisis trimestrales aprobados si el

PCI DSS: ¿cómo cumplir? - Internet Security Auditors ... · mentar PCI DSS en el caso de que la em- ... temas, aplicaciones y redes ... que PCI DSS especifi ca que debe hacerse

Pasos para la realización de la autoevaluación de las PCI ... · Web viewPara alinear el contenido con los requisitos y procedimientos de prueba de PCI DSS v2.0 Febrero de 2014

OWASP Meeting. PCI DSS, un proceso continuo

CUADERNO DE TRABAJO TÉCNICO...APÉNDICE A. RESUMEN DE LA MATRIZ DE ASIGNACIÓN DE RESPONSABILIDADES DE PCI DSS ... Su evaluador de PCI puede hacer interpretaciones diferentes a las

Presentación PCI-DSS

Requerimiento PCI de la CUB 316...2019/11/01  · v1.2 PCI y PA DSS v2.0 Fundación del PCI SSC PCI DSS v1.1 PCI y PA DSS v1.2.1 PCI PIN v1.0 PCI Wireless Security Guidance Aumenta

PCI-DSS - USUARIA · 2019. 9. 12. · PCI-DSS. Pregliasco, Jonatan Gabriel . ... MFA – Req 8 RBAC – Req 7 . SOC . Auditoría de eventos – Req 10 . Monitoreo de SIEM – Req

PCI DSS en Teléfonica España. Ejemplos de aplicación del concepto Cloud Payments

PCI DSS: ¿cómo cumplir? · 17799:2005 (futura ISO27002), de manera que la empresa pueda alinear los requeri-mientos PCI DSS con las buenas prácticas en seguridad de la información

Curso Normas de Seguridad de Datos de la Industria de Tarjetas … · 2020. 2. 27. · Tarjetas de Pago PCI DSS 3.0 Update 3.1 3.2 . Ricardo Falcón. Introducción PCI DSS, PA DSS

Industria de tarjetas de pago (PCI) Norma de seguridad … · Para los asesores: Muestreo de instalaciones de la empresa/componentes del sistema ... Las PCI DSS no sustituyen las

GAP PCI DSS · 2018. 11. 6. · data (PCI DSS 3.21, p. 10). Ilustración 3. Componentes del alcance del GAP PCI DSS. 7 CONCEPTOS FUNDAMENTALES DEL GAP El cuidado de la información

Conferencias ACDECC&BPO Protección de Datos y PCI DSS · 2019. 3. 12. · Requerimiento PCI DSS Ejemplo de asignación de Ejemplo de responsabilidad PCI DSS. Seguridad como servicio

de la Industria de tarjetas de pago (PCI) Cuestionario … · validada publicada por el PCI SSC. Este SAQ se utiliza con las PCI DSS v2.0. ... las PCI DSS y sobre la forma en que

Guía de implementación, integración de la seguridad en el ciclo de vida del software, Laboratorio PCi DSS Compliant