BAQUIA

¿Qué es PCI Compliance?

Por Andrés Velasco, Arquitecto Web de BrainSINS

PCI Compliance son las siglas de Payment Card Industry Compliance, lo que traducido podría ser “Cumplimiento de la industria de tarjetas de pago”, que no es ni más ni menos que una serie de normas que están desarrolladas para proteger los datos de los dueños de tarjetas de crédito durante y después de una transacción financiera.

Pci

Si eres un ente que gestiona los datos de tarjetas de crédito de clientes de tiendas online, las marcas de tarjetas (VISA y Mastercard) te obligan a cumplir con PCI Compliance. Si no cumples con ello no te habilitan para procesar sus tarjetas de crédito.

Debido a las grandes exigencias de las normativas incluidas en PCI Compliance, las tiendas online suelen olvidarse de este tema y delegarlo directamente a la empresa encargada de instalarles la pasarela de pago, la cual sí está obligada a cumplirlo si quiere que se procesen tarjetas Visa o Mastercard con su pasarela de pago.

Existen 6 categorías de estándares a cumplir:

1. Construir y mantener una red segura

Las normativas que contiene esta categoría se focalizan en la red donde se exponen los datos de la tarjeta. En los casos de negocios online el primer foco de vulnerabilidades es el servidor web, por lo que es habitual que las compañias de hosting se encarguen directamente de asegurar los servidores web que dan servicio a sus clientes.

Cualquier máquina dentro de la empresa que pueda almacenar los datos del dueño de la tarjeta de crédito tiene que estar detrás de un cortafuegos, y se deben garantizar las mínimas medidas de seguridad que se necesiten para asegurar la red de esa máquina. Resumiendo:

– Instalar y mantener una configuración de firewall para proteger los datos.

– No usar passwords o parámetros de seguridad por defecto en los sistemas.

2. Proteger los datos del dueño de la tarjeta

Aquí se centralizan todas las tareas necesarias para proteger los datos del dueño de la tarjeta de crédito. Proteger significa que NO todo el mundo puede aceder a esa información. Las empresas que deban cumplir con PCI Compliance deben almancear los datos cifrados, para que en caso de robo no puedan ser descifrados fácilmente.

Los negocios online deben tener especial cuidado a la hora de transmitir los datos de la persona que posee la tarjeta. Como mínimo para cumplir con esta categoría, se debe utilizar un certificado SSL de 128bits. Resumiendo:

– Proteger los datos.

– Cifrar cualquier transmisión pública de los datos del dueño de la tarjeta.

3. Mantener un programa de gestión de vulnerabilidades

El número de vulnerabilidades siempre puede disminuir si se tiene en cuenta un plan de gestión de actualizaciones de hardware, software y sistemas operativos. Tener actualizados y al día los antivirus y ejecutar los escaneos es una obligación en esta categoría. Resumiendo:

– Uso y actualizaciones religares de software antivirus.

– Desarrollo y mantenimiento de aplicaciones y sistemas seguros.

4. Implementar medidas fuertes de control de acceso

El eslabón más débil de la seguridad es el ser humano. Una de las partes más importantes del PCI Compliance es controlar que sólo las personas que necesiten la información tengan acceso a ella, ya sea de manera física o virtual. Resumiendo:

– Restringir y limitar el acceso a la información de las tarjetas mediante los permisos mínimos necesarios.

– Asignar un único ID a cada persona con acceso a un PC.

– Restringir acceso físico a los datos de las tarjetas.

5. Monitorizar y probar las redes regularmente

Las redes que mantienen la información confidencial de los dueños de las tarjetas deben ser monitorizadas y probadas con regularidad. Estas medidas son obligatorias para cumplir con PCI. Tendrás que considerar seriamente contratar una auditoría externa en este sentido, la cual ayude a solucionar y detectar potenciales fallos de seguridad. Resumiendo:

– Registrar y monitorizar todos los accesos a los recursos de red y datos de las tarjetas.

– Probar regularmente los procesos y sistemas de seguridad.

6. Mantener una política de seguridad de la información

Teniendo en cuenta el problema que tienen los seres humanos con la seguridad en las empresas, es de obligación establecer una política de seguridad. Hay que estar seguros de que los empleados conocen y entienden todos los puntos de la política, así como las responsabilidades que tienen con los datos de los dueños de las tarjetas.

Fuentes:

http://searchcompliance.techtarget.com/definition/PCI-compliance

http://www.qualys.com/docs/PCI-for-Dummies.pdf

http://www.practicalecommerce.com/articles/629-What-Is-PCI-Compliance-And-Should-Merchants-Be-Concerned-About-It-


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios