Cumplimiento de PCI DSS
Anuncio
Solución Certes Cumplimiento de PCI DSS ¿Qué es PCI DSS? Desarrollado por los principales emisores de tarjetas de crédito, el Estándar de Seguridad de Datos de la Industria de Métodos de Pago por Tarjeta (PCI DSS por sus siglas en Ingles: Payment Card Industry Data Security Standard) describe las mejores prácticas de almacenamiento, procesamiento y transmisión de datos para las tarjeta de crédito. Su propósito es proteger la información de la tarjeta de crédito de fraude, robo, o cualquier otra violación. ¿ Cuál es el impacto de la norma PCI DSS? Cualquier proveedor minorista, comerciante, banco o servicio de almacenamiento, proceso o transmisor de datos de los tarjeta-habientes debe cumplir con PCI DSS. La validación del cumplimiento se requiere para los comerciantes más importantes y puede ser requerido para algunos comerciantes más pequeños. El no cumplir con PCI DSS puede resultar en multas que son suficientemente graves como para ponerlo fuera del negocio. ¿Cuáles son los requisitos de PCI DSS? Aquí están los doce requisitos específicos que se pueden agrupar en seis categorías principales, que los minoristas deben tener para cumplir con PCI DSS: • Construir y mantener una red segura: 1. Instalar y mantener una configuración de cortafuegos para proteger los datos del tarjehabiente. 2. No utilizar valores por defecto suministrados por el proveedor, para contraseñas de sistemas y otros parámetros de seguridad. • Proteger los datos del tarjeta-habiente: 3. Proteger los datos almacenados 4. Cifrar la transmisión de datos de los tarjetahabientes a través de redes públicas abiertas • Implementar fuertes medidas de control de acceso: 7. Restringir el acceso a los datos de tarjeta-habientes solo para lo que el negocio necesita saber. 8. Asignar una identificación única a cada persona con acceso a computadora 9. Restringir el acceso físico a los datos de los tarjetahabientes • Monitorear regularmente y probar las redes: 10.Rastrear y monitorear el acceso a los recursos de la red e información de los tarjeta-habientes 11. Probar regularmente los sistemas y procesos de seguridad • Mantener un programa de gestión de • Mantener una política de seguridad de la vulnerabilidades: información: 5. Usar y actualizar regularmente el software o 12. Mantener una política de seguridad de información programas de antivirus que alcance a todo el personal 6. Desarrollar y mantener seguros los sistemas y aplicaciones ¿Cómo las empresas cumplen con PCI DSS? Con el fin de cumplir con PCI DSS, las empresas deben cumplir con los 12 requisitos mencionados anteriormente. Esencialmente, la protección de la información del tarjeta-habiente y la protección de la infraestructura de TI son los dos principales puntos de PCI DSS. Para proteger a la información del tarjeta-habiente las empresas deben proteger los datos dondequiera que vayan, en particular cifrarlo sobre de redes públicas. Además del cifrado, las empresas deben poner en práctica controles en la seguridad de TI, para proteger los datos del tarjeta-habiente de los hackers y otros criminales cibernéticos que quieren robar la información. Para proteger la infraestructura de TI, los comerciantes deben proteger tanto a los sistemas, como a las aplicaciones. Además, deben establecer procesos de control y directrices para asegurar los equipos y otros dispositivos electrónicos. ¿Cómo Certes Networks le ayudan a cumplir con PCI DSS? Nuestro enfoque de “negar todo el mundo, permitir por excepción” protege su red y sus datos. El software de gerenciamiento TrustNet Manager permite transmisiones seguras de datos, lo que asegura la confidencialidad, autenticidad y la integridad de los datos a medida que viajan a través de cualquier red, sin importar el tamaño, tipo o topología. Nuestras soluciones le proporcionarán la autenticación y la encriptación de todos los datos, incluyendo la información de los tarjeta-habientes. El TrustNet Manager también proporciona la autenticación de los puntos terminales y los paquetes de datos. Actuando como un cortafuegos de seguridad criptográfica rechaza cualquier paquete de datos que carece de la debida autenticación. El TrustNet garantiza que el acceso a los datos esta limitado solo a aquellos que necesitan verlo. Al proteger su red y sus datos, le ayudamos a cumplir con PCI DSS. SN-PCI-SP-050812 Solution Note Requisito PCI Resolución Como Certes Networks lo resuelve El alcance de la evaluación PCI puede incluir la red entera Limitar el alcance del Entorno de Datos del Tarjeta-habiente (CDE: Card-holder Data Environment), segmentando la red. Aislar los sistemas que almacenan, procesan o transmiten datos del tarjeta-habiente. - Ayudamos a reducir el alcance y evitamos realizar grandes cambios en la red. Nuestra solución se monta sobra la red actual. - Proveemos una fuerte criptografía para aislar el CDE del resto de la red. - Reducimos el alcance de la evaluación PCI rápidamente al encriptar entre los segmentos de red que almacenan, procesan o transmiten datos del tarjeta-habiente. - Usted ahorra dinero en la evaluación inicial y futuras de PCI al reducir el alcance de la evaluación. - Hacemos que la encripción sea simple de implementar y manejar. Con una interface gráfica y simple podrá aplicar las políticas de encripción que permite que los encabezados IP pasen transparentes mientras encripta los datos. Certes Networks usa una fuerte criptografía y políticas simples y flexibles para aislar las áreas de la red necesarias, sin tener que cambiar la topología física o lógica de la red. Los equipos de Certes Networks (CEP) se pueden implementar rápidamente para proveer una capa sobrepuesta de seguridad que aísla al CDE del resto de la red. Esta protección es mas fuerte que en cortafuegos tradicionales porque aísla la red usando encripción. Además, se elimina la necesidad de rediseñar la red o reemplazar aplicaciones legadas. El tráfico CDE puede ser interconectado sobre su infraestructura de red actual con una completa aislación criptográfica que deja afuera del alcance al resto de la red. 4. Use criptografía fuerte y protocolos de seguridad para mantener segura la información del tarjeta-habiente durante la transmisión sobre redes abiertas y públicas Encriptar los datos del tarjeta-habiente sobre cualquier red que esta fuera de su control. Esto incluye: Internet, GSM, GPRS, MPLS, VPLS y redes Ethernet provistas y/o operadas por terceras partes. - Certes encripta los datos mientras pasan por Internet o servicio provisto por terceras partes. - Nuestra solución encaja perfectamente con la red existente y las aplicaciones. - Funciona con las redes existentes sin afectar el modo de conmutación por falla, redundancias y balanceo de cargas. 10. Rastrear y monitorear el acceso a los recursos de la red e información de los tarjetahabientes Proporcionar registro y auditoría para realizar un seguimiento de las actividades del usuario - Completa pista de auditoria para registro y auditoría. - Acceso basado en roles que permite a un rol “auditor” vigilar la seguridad. - Auditoría y monitoreo pueden ser fácilmente contratados a un tercero. Global Headquarters 300 Corporate Center Dr., Suite 140 Pittsburgh, PA 15108 Tel: +1 (888) 833-1142 Fax: +1 (412) 262-2574 www.CertesNetworks.com Certes Networks puede de forma simple y rápida encriptar la información del tarjeta-habiente y otra información sensitiva sin afectar las aplicaciones y servicios que corren sobre la red. North America Sales sales@certesnetworks.com Asia-Pacific Sales apac@certesnetworks.com Government Sales fedsales@certesnetworks.com Central & Latin America Sales cala@certesnetworks.com Europe, Middle East and Africa Sales emea@certesnetworks.com SN-PCI-SP-050812
