Las tarjetas de pago - Estándares de Seguridad de Datos de la

Anuncio
Las tarjetas de pago - Estándares de Seguridad de Datos de la
Industria ("PCI DSS)
Nota Noticia original en inglés traducida al español para nuestros
lectores de habla hispana usando traductor automático


Womble Carlyle Sandridge & Rice LLP
Theodore Claypoole y Orla M. O'Hannaidh


EE.UU.
16 de diciembre 2013

Página de autor »
Página de autor »
El PCI Security Standards Council ("PCI SSC" o el "Consejo") ha lanzado
recientemente la versión 3.0 de las tarjetas de pago de Estándares de Seguridad
de Datos de la Industria ("PCI DSS" o las "Normas").Una tabla que resume los
cambios en la versión anterior está disponible en el Consejo de página web .Las
normas entrarán en vigor el 1 de enero de 2014, pero las empresas tienen hasta el
31 diciembre de 2014 para hacer la transición desde la versión 2.0 a la versión
3.0.
¿Cuáles son las normas y que deben cumplir? Las normas se aplican a todas
las entidades involucradas en el procesamiento de tarjetas de pago, tales como
comerciantes, procesadores, instituciones financieras y proveedores de servicios,
así como a cualquier entidad que almacena, procesa o transmite datos de titulares
de tarjetas y / o sensibles datos de autenticación. Datos de los tarjetahabientes y
los datos confidenciales de autenticación incluyen, por ejemplo, el número de
cuenta principal, nombre del titular, fecha de vencimiento, los datos completos de
la pista de la banda magnética e identificación personal números.
Las normas proporcionan un conjunto básico de requisitos para proteger los datos
de titulares de tarjetas, y otras leyes y reglamentos pueden requerir controles y
prácticas adicionales. El Consejo categoriza las Normas en 12 requisitos de "alto
nivel", se describen a continuación, y cada requisito contiene sub-requisitos
técnicos que las empresas deben revisar cuidadosamente.
1. Instalar y mantener una configuración de firewall para proteger los datos de
titulares de tarjetas
2. No utilice los valores predeterminados que ofrece el proveedor para las
contraseñas del sistema y otros parámetros de seguridad
3. Proteger los datos de titulares de tarjetas almacenados
4. Cifrar la transmisión de los datos de titulares de tarjetas a través de redes
públicas abiertas
5. Proteger a todos los sistemas contra el malware y actualizar regularmente el
software o los programas anti-virus
6. Desarrollar y mantener sistemas y aplicaciones seguras
7. Restringir el acceso a los datos de titulares de tarjetas por necesidad de la
empresa para saber
8. Identificar y autenticar el acceso a los componentes del sistema
9. Restringir el acceso físico a los datos de titulares de tarjetas
10. Rastrear y monitorear todo el acceso a los recursos de red y datos de
titulares de tarjetas
11. Probar regularmente los sistemas y procesos de seguridad
12. Mantener una política que contemple la seguridad de la información para
todo el personal
¿Qué son los cambios en la versión 3.0 La versión 3.0 de las Normas aclara
los requisitos existentes y añade requisitos técnicos adicionales que incluyen:

Asegurar las soluciones anti-virus se están ejecutando de forma activa y no
se pueden desactivar o alterados por los usuarios
 La evaluación de la evolución de las amenazas de malware para sistemas no
considerados como comúnmente afectados por software malicioso
 La implementación de prácticas de codificación que protegen contra
Autenticación y gestión de sesiones
 La implementación de una metodología para las pruebas de penetración (el
1 de julio de 2015)
 Exigir a los proveedores de servicio con acceso remoto para utilizar las
credenciales de autenticación único para cada cliente
 Exigir que los mecanismos de autenticación, como Tokes de seguridad o
tarjetas inteligentes, están vinculados a una cuenta individual
 El control del acceso físico a las áreas sensibles para el personal en sitio
 Fortalecimiento de la seguridad de contraseñas
 El mantenimiento de cierta documentación, incluida la información acerca de
qué requisitos de PCI DSS son gestionados por la entidad y que los
requisitos son gestionados por los proveedores de servicios
 Exigir a los proveedores a reconocer por escrito a sus clientes de que es
responsable de la seguridad de los datos de titulares de tarjetas que posee
(el 1 de julio de 2015)
La versión 3.0 también incluye una nueva sección que tiene como objetivo
aumentar el cumplimiento de las normas, proporcionando recomendaciones para
la implementación de las directrices de seguridad en las actividades de "businessas-usual" de una empresa.
¿Por qué deberían las empresas cumplan con las Normas? Las empresas
deben revisar y garantizar el cumplimiento de las normas revisadas. Las normas
revisadas pueden exigir a las empresas a modificar las prácticas actuales, las
políticas y la documentación de cara al cliente. Las normas ayudan a garantizar
que las empresas que procesan y la información de las tarjetas de pago tienda
están protegiendo adecuadamente a los datos del titular y la protección contra las
violaciones de datos. Las empresas que no cumplan con las normas pueden
enfrentar multas en caso de una violación de datos, demandas colectivas,
informes de auditoría negativos, y la crítica del público.
Descargar