¿Qué es el estándar PCI-DSS?
El estándar PCI-DSS (Payment Card Industry Data Security Standard) ha sido creado con el objetivo de uniformar las modalidades de gestión de la seguridad de los datos de las tarjetas de crédito por parte del consorcio PCI creado por American Express, Discover Financial Services, JCB, MasterCard Worldwide y Visa International.
¿Quiénes deben respetarlo?
Todas las entidades (ejercientes, proveedores de servicios, bancos) implicadas en una transacción mediante tarjeta de crédito que implique la transmisión, el uso o la memorización del Primary Account Number (PAN) de la tarjeta deben respetar este estándar. Todos los sectores comerciales están interesados.
¿Qué tipo de prescripciones contiene?
El estándar PCI-DSS se compone de seis familias de requisitos que abarcan varios aspectos de la seguridad de datos, redes, sistemas y aplicaciones, a nivel físico, lógico y organizativo:
1. Desarrollo y mantenimiento de una red segura
- Instalar y mantener actualizado un firewall para proteger los datos del titular de la tarjeta.
- No utilizar contraseñas ni otros parámetros por defecto proporcionados por los fabricantes durante la configuración de los sistemas de seguridad.
2. Protección de los datos del titular de la tarjeta de crédito
- Proteger los datos del titular de la tarjeta.
- Cifrar los datos del titular de la tarjeta cuando se envían a una red pública.
3. Mantenimiento de un programa para la gestión de la vulnerabilidad
- Utilizar y mantener actualizado un antivirus.
- Desarrollar y mantener aplicaciones y sistemas seguros.
4. Poner en marcha medidas para controlar los accesos
- Limitar el acceso a los datos del titular de la tarjeta solamente a aquellas personas que lo necesitan.
- Asignar un único nombre de usuario a cada usuario.
- Limitar el acceso físico a los datos del titular de la tarjeta.
5. Ejecución de test y controles de la red
- Seguir y controlar todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
- Comprobar regularmente la seguridad de los propios sistemas y procesos.
6. Mantenimiento de una política de seguridad
- Definire e mantenere una policy riguardo alla sicurezza delle informazioni destinata sia ai dipendenti che a terze parti.