¿Cuál es el estándar de seguridad de datos de la industria de tarjetas de pago?
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de pautas y mejores prácticas proporcionadas a todas las empresas y otras entidades que procesan, transmiten o almacenan datos de tarjetas de crédito. Estas pautas fueron desarrolladas por el Consejo de Normas de Seguridad de PCI (PCI SSC) y están destinadas a evitar fugas de datos y robo de identidad resultante y fraude de tarjetas de crédito. Hay tres fases en curso involucradas en el cumplimiento de los PCI DSS: evaluación de procesos comerciales e identificación de riesgos potenciales, remediación de esos riesgos e informar los esfuerzos de cumplimiento a los bancos relevantes y otros emisores de tarjetas de crédito.
Paramount en la industria de tarjetas de pago Seguridad de datos El cumplimiento estándar es la creación y mantenimiento de una red informática segura. Se debe construir un firewall robusto entre los datos del titular de la tarjeta y el acceso externo a la red. Las contraseñas del sistema deben implementarse junto con otras medidas de seguridad en cada punto potencial de vulnerabilidad de la red. Todo el titular de la tarjetaLos datos deben almacenarse de forma segura y, cuando se transmiten a través de las redes públicas, deben estar encriptados. Las medidas continuas incluyen el uso del software antivirus y el acceso físico o informático restringido a los datos por parte del personal sobre una base de necesidad comercial.
Existen numerosas herramientas y servicios disponibles para ayudar a las organizaciones a tratar con el PCI DSS. Si bien el PCI SSC establece los estándares para el cumplimiento de PCI, todas las principales marcas de tarjetas de crédito han creado sus propios estándares con respecto a la aplicación y el cumplimiento de esos estándares, así como los procedimientos de validación de tarjetas de crédito. Cada una de estas compañías ofrece orientación en línea y otra a organizaciones que aceptan sus tarjetas. El PCI SSC también opera un programa que aprueba a los evaluadores de seguridad calificados que validan el cumplimiento del estándar de seguridad de datos de la industria de tarjetas de pago. Para las organizaciones que autoevaluan su cumplimiento, elPCI SSC proporciona herramientas de validación llamados cuestionarios de autoevaluación en varias formas, cada una adaptada a entornos comerciales específicos.
Una premisa clave para cumplir con el estándar de seguridad de datos de la industria de tarjetas de pago es solo almacenar datos de tarjeta de crédito que sean esenciales para las necesidades de la organización. Los datos almacenados deben estar sujetos a límites de tiempo y los datos de autenticación de transacciones nunca deben almacenarse. Todos los números de cuenta y otros datos confidenciales que se transmiten en las redes públicas deben estar parcialmente enmascarados.
Otras medidas de PCI DSS en curso incluyen la creación y mantenimiento de un programa de gestión de vulnerabilidades que crea aplicaciones y programas seguros. También se requieren monitoreo de rutina y pruebas de red para identificar debilidades. Cada organización también debe mantener y distribuir una política de seguridad escrita a todo el personal.