¿Cuál es el estándar de seguridad de datos de la industria de tarjetas de pago?
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de pautas y mejores prácticas proporcionadas a todas las empresas y otras entidades que procesan, transmiten o almacenan datos de tarjetas de crédito. Estas pautas fueron desarrolladas por el PCI Security Standards Council (PCI SSC) y están destinadas a prevenir fugas de datos y el robo de identidad resultante y el fraude de tarjetas de crédito. Hay tres fases continuas involucradas en el cumplimiento de las PCI DSS: evaluación de procesos comerciales e identificación de riesgos potenciales, remediación de esos riesgos e informes de esfuerzos de cumplimiento a bancos relevantes y otros emisores de tarjetas de crédito.
Lo más importante en el cumplimiento de los estándares de seguridad de datos de la industria de tarjetas de pago es la creación y el mantenimiento de una red informática segura. Se debe construir un firewall robusto entre los datos del titular de la tarjeta y el acceso externo a la red. Las contraseñas del sistema deben implementarse junto con otras medidas de seguridad en cada punto potencial de vulnerabilidad de la red. Todos los datos del titular de la tarjeta deben almacenarse de forma segura y, cuando se transmiten a través de redes públicas, deben estar encriptados. Las medidas en curso incluyen el uso de software antivirus y el acceso restringido físico o informático a los datos por parte del personal según las necesidades de la empresa.
Existen numerosas herramientas y servicios disponibles para ayudar a las organizaciones a lidiar con las PCI DSS. Si bien el PCI SSC establece los estándares para el cumplimiento de PCI, todas las principales marcas de tarjetas de crédito han creado sus propios estándares con respecto a la aplicación y el cumplimiento de esos estándares, así como los procedimientos de validación de tarjetas de crédito. Cada una de estas compañías ofrece orientación en línea y de otro tipo a organizaciones que aceptan sus tarjetas. El PCI SSC también opera un programa que aprueba Evaluadores de seguridad calificados que validan el cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago. Para las organizaciones que autoevalúan su cumplimiento, el PCI SSC proporciona herramientas de validación llamadas Cuestionarios de autoevaluación en varias formas, cada una adaptada a entornos empresariales específicos.
Una premisa clave para cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago es almacenar solo datos de tarjetas de crédito que sean esenciales para las necesidades de la organización. Los datos almacenados deben estar sujetos a límites de tiempo y los datos de autenticación de transacciones nunca deben almacenarse. Todos los números de cuenta y otros datos confidenciales que se transmiten en las redes públicas deben estar parcialmente enmascarados.
Otras medidas continuas de PCI DSS incluyen la creación y el mantenimiento de un programa de gestión de vulnerabilidades que crea aplicaciones y programas seguros. También se requiere monitoreo de rutina y pruebas de red para identificar debilidades. Cada organización también debe mantener y distribuir una política de seguridad por escrito a todo el personal.