El estándar de seguridad de datos PCI
Con más de 250 subrequisitos, el PCI DSS se puede clasificar a un alto nivel en seis objetivos y 12 requisitos principales.
Seis objetivos, 12 requisitos
| Objetivos | Requisitos PCI DSS |
|---|---|
| Construir y mantener una red de seguridad |
1: Instalar y mantener una configuración de firewall para proteger los datos del tarjetahabiente 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad establecidos por defecto por los proveedores |
| Proteger los datos del tarjetahabiente |
3: Proteger los datos almacenados de los tarjetahabientes 4: Encriptar las transmisiones de datos del tarjetahabiente en redes públicas abiertas |
| Mantener un programa de gestión de vulnerabilidad | 5: Utilizar y actualizar regularmente un software antivirus 6: Desarrollar y mantener aplicaciones y sistemas de seguridad |
| Implementar fuertes medidas de control de acceso |
7: Restringir el acceso a los datos de los tarjetahabientes según los negocios que deban conocerlos 8: Asignarle una identificación única a cada persona con acceso al computador 9: Restringir el acceso físico a los datos del tarjetahabiente |
| Monitorear y probar regularmente las redes |
10: Hacer seguimiento y monitorear todos los accesos a los recursos de la red y a los datos de los tarjetahabientes 11: Probar regularmente los sistemas y procesos de seguridad |
| Mantener una política de seguridad de información |
12: Mantener una política que aborde la seguridad de la información |
Estándar de seguridad de datos de la aplicación de pagos
El Estándar de Seguridad de Datos de la Aplicación de Pagos (PA-DSS) va dirigido a los desarrolladores e integradores de las aplicaciones de pagos que almacenan, procesan o transmiten los datos de los tarjetahabientes como parte de la autorización o de la liquidación de los pagos cuando estas aplicaciones se venden, se distribuyen o se otorgan licencias a terceros.
El PA-DSS les exige a los proveedores de aplicaciones de pagos de terceros que garanticen controles de seguridad adecuados para resguardar los datos de los tarjetahabientes. Muchos de los controles del PA-DSS están diseñados para abordar específicamente vulnerabilidades comunes que fueron identificadas como las principales causas de la pérdida de datos de tarjetas de crédito.
Mandato de Mastercard en vigencia desde el 1 de julio de 2012
Vigentes desde el 1 de julio de 2012, Mastercard revisó los estándares del programa SDP de Mastercard para exigirles a todos los comerciantes y proveedores de servicios que utilicen aplicaciones de pagos de terceros que solo utilicen aquellas aplicaciones que cumplan con el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pagos (PCI DSS), según corresponda. La aplicabilidad del PCI PA-DSS a las aplicaciones de pagos de terceros está definida en la Guía del programa PCI PA-DSS. Además, Mastercard establecerá un nuevo requisito de validación del cumplimiento del PA-DSS para los comerciantes nivel 1, nivel 2 y nivel 3, así como para los proveedores de servicios nivel 1 y nivel 2.
El mandato del PA-DSS de Mastercard le permitirá seguir impulsando la adopción global y el cumplimiento con el PCI DSS por todas las partes involucradas del ecosistema de pagos.
Lo que los comerciantes tienen que saber
Más información
