QUÉ ES EL PAYMENT CARD INDUSTRY DATA SECURITY STANDARD (PCI DSS)?
• PCI DSS es un estándar que establece un conjunto de medidas, prácticas y herramientas de seguridad que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos con tarjeta.
• Este estándar alinea las principales iniciativas de seguridad para la infraestructura de medios de pago, con el fin de garantizar la existencia de un marco global consistente para la protección de los datos de cuentas bancarias, tarjetas, transacciones y datos de autenticación.
• El estándar ha sido creado por las principales empresas de tarjetas: Visa Internacional, MasterCard Worlwide, American Express, JCB y Discover Financial Services.
• En la actualidad, PCI DSS es gestionado, revisado y actualizado por el PCI Security Standards Council.
¿CUÁLES SON LOS PRINCIPALES OBJETIVOS DE PCI DSS?
• El principal objetivo de PCI DSS es mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, promoviendo la existencia de un entorno de pago seguro para la información.
• PCI DSS ha sido específicamente desarrollado para:
• Garantizar la protección de la información de titulares de tarjetas.
• Minimizar el riesgo de posibles intrusiones no autorizadas o compromiso de la información de cuentas y tarjetas.
• Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con tarjetas.
• Luchar contra la suplantación y otros fraudes que se producen en Internet.
QUIÉNES ESTÁN OBLIGADOS A CUMPLIR PCI DSS?
• Entidades financieras.
• Proveedores de Servicios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas.
• Comercios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas.
CUÁL ES EL ALCANCE DE PCI DSS?
• El alcance de PCI DSS comprende todos aquellos sistemas que almacenan, procesan o transmiten información de tarjetas de crédito o débito.
• Los requerimientos de PCI DSS aplican siempre que el PAN (Primary Account Number) de la tarjeta se almacena, procesa o transmite.
• PCI DSS aplica, por tanto, a los diferentes canales a través de los que se transmiten datos de tarjetas .
QUÉ SE CONSIDERA INFORMACIÓN DE TARJETAS?
Información relacionada con tarjetas de crédito o débito y sus titulares.
Esta información se clasifica en dos categorías:
Información de titulares de tarjetas:
• Primary Account Number (PAN)
• Nombre del titular
• Fecha de expiración
• Código de Servicio
Información sensible de autenticación:
• Banda magnética completa
• PIN / PIN Block
• Otros
PCI DSS impone restricciones de almacenamiento sobre los datos incluidos en estas dos categorías.
CUÁLES SON LOS PRINCIPALES BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE PCI DSS?
Las organizaciones deben buscar el cumplimiento de PCI DSS con objeto de mitigar los riesgos asociados a un posible compromiso de la información de cuentas o titulares de tarjetas, entre ellos:
• Impacto financiero.
• Impacto negativo en la imagen pública o frente a clientes que podría sufrir su marca.
• Costes de investigación y costes legales asociados a un posible compromiso de información que puede suponer una ventaja competitiva en el mercado.
CUÁLES SON LOS PRINCIPALES BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE PCI DSS?
El cumplimiento de PCI DSS permite:
• Proteger los datos de los clientes.
• Mantener la confianza de los consumidores a través de un mayor nivel de seguridad de datos.
• Salvaguardar la reputación de su marca.
• Disminuir los riesgos derivados de pérdidas financieras.
• En el caso de los proveedores de servicios, el cumplimiento de PCI DSS constituye un elemento diferenciador
REQUERIMIENTOS ESTABLECIDOS POR PCI DSS
A. Creación y mantenimiento de una red segura.
B. Protección de los datos almacenados.
C. Mantenimiento de un programa de gestión de vulnerabilidades.
D. Implantación de medidas de control de acceso.
E. Monitorización y revisión periódica de las redes.
F. Mantenimiento de una Política de Seguridad de la Información
• Este estándar alinea las principales iniciativas de seguridad para la infraestructura de medios de pago, con el fin de garantizar la existencia de un marco global consistente para la protección de los datos de cuentas bancarias, tarjetas, transacciones y datos de autenticación.
• El estándar ha sido creado por las principales empresas de tarjetas: Visa Internacional, MasterCard Worlwide, American Express, JCB y Discover Financial Services.
• En la actualidad, PCI DSS es gestionado, revisado y actualizado por el PCI Security Standards Council.
¿CUÁLES SON LOS PRINCIPALES OBJETIVOS DE PCI DSS?
• El principal objetivo de PCI DSS es mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, promoviendo la existencia de un entorno de pago seguro para la información.
• PCI DSS ha sido específicamente desarrollado para:
• Garantizar la protección de la información de titulares de tarjetas.
• Minimizar el riesgo de posibles intrusiones no autorizadas o compromiso de la información de cuentas y tarjetas.
• Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con tarjetas.
• Luchar contra la suplantación y otros fraudes que se producen en Internet.
QUIÉNES ESTÁN OBLIGADOS A CUMPLIR PCI DSS?
• Entidades financieras.
• Proveedores de Servicios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas.
• Comercios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas.
CUÁL ES EL ALCANCE DE PCI DSS?
• El alcance de PCI DSS comprende todos aquellos sistemas que almacenan, procesan o transmiten información de tarjetas de crédito o débito.
• Los requerimientos de PCI DSS aplican siempre que el PAN (Primary Account Number) de la tarjeta se almacena, procesa o transmite.
• PCI DSS aplica, por tanto, a los diferentes canales a través de los que se transmiten datos de tarjetas .
QUÉ SE CONSIDERA INFORMACIÓN DE TARJETAS?
Información relacionada con tarjetas de crédito o débito y sus titulares.
Esta información se clasifica en dos categorías:
Información de titulares de tarjetas:
• Primary Account Number (PAN)
• Nombre del titular
• Fecha de expiración
• Código de Servicio
Información sensible de autenticación:
• Banda magnética completa
• PIN / PIN Block
• Otros
PCI DSS impone restricciones de almacenamiento sobre los datos incluidos en estas dos categorías.
CUÁLES SON LOS PRINCIPALES BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE PCI DSS?
Las organizaciones deben buscar el cumplimiento de PCI DSS con objeto de mitigar los riesgos asociados a un posible compromiso de la información de cuentas o titulares de tarjetas, entre ellos:
• Impacto financiero.
• Impacto negativo en la imagen pública o frente a clientes que podría sufrir su marca.
• Costes de investigación y costes legales asociados a un posible compromiso de información que puede suponer una ventaja competitiva en el mercado.
CUÁLES SON LOS PRINCIPALES BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE PCI DSS?
El cumplimiento de PCI DSS permite:
• Proteger los datos de los clientes.
• Mantener la confianza de los consumidores a través de un mayor nivel de seguridad de datos.
• Salvaguardar la reputación de su marca.
• Disminuir los riesgos derivados de pérdidas financieras.
• En el caso de los proveedores de servicios, el cumplimiento de PCI DSS constituye un elemento diferenciador
REQUERIMIENTOS ESTABLECIDOS POR PCI DSS
A. Creación y mantenimiento de una red segura.
B. Protección de los datos almacenados.
C. Mantenimiento de un programa de gestión de vulnerabilidades.
D. Implantación de medidas de control de acceso.
E. Monitorización y revisión periódica de las redes.
F. Mantenimiento de una Política de Seguridad de la Información