estándar de pago industria de tarjetas de seguridad de los datos (PCI DSS)

Video: INCOCREDITO - Normas PCI DSS

Aunque no es (aún) un mandato legal, la Tarjeta de Pago Industria Data Security Standard (PCI DSS) es un ejemplo de una iniciativa de la industria para la que ordena y hacer cumplir las normas de seguridad. PCI DSS se aplica a cualquier tipo de negocio en todo el mundo que transmite, procesos, o tiendas de tarjetas de pago (es decir, tarjeta de crédito) para llevar a cabo transacciones de negocios con los clientes - ya sea que el negocio maneja miles de transacciones de tarjetas de crédito al día o una sola transacción de un año.

Video: Incocredito Plan Delación

El cumplimiento es obligatorio y aplicado por las marcas de tarjetas de pago (American Express, MasterCard, Visa, etc.) y cada marca de tarjetas de pago maneja su propio programa de cumplimiento.

Aunque PCI DSS es un estándar de la industria en lugar de un mandato legal, muchos estados están empezando a introducir una legislación que haría que el cumplimiento de PCI (o, al menos, el cumplimiento de ciertas disposiciones) obligatoria para las empresas que hacen negocios en ese estado.

PCI DSS exige a las organizaciones a presentar una exploración anual de autoevaluación y de la red, o para completar las evaluaciones de seguridad de datos PCI en el lugar y escaneos de red trimestrales. Los requisitos reales dependen del número de transacciones con tarjetas de pago procesadas por una organización y otros factores, tales como anteriores incidentes de pérdida de datos.

PCI DSS versión 3.0 consta de seis principios básicos, apoyados por 12 requisitos que se acompañan, y más de 200 procedimientos específicos para el cumplimiento. Éstas incluyen

Principio 1: Construir y mantener una red segura:

Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de titulares de tarjetas.
Requisito 2: No utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.

Principio 2: Proteger los datos de titulares de tarjetas:

Requisito 3: Proteger los datos de titulares de tarjetas almacenados.

Requisito 4: Cifrar la transmisión de los datos de titulares de tarjetas a través de redes públicas abiertas.

Principio 3: Mantener un programa de gestión de vulnerabilidades:

Requisito 5: Usar y actualizar regularmente el software antivirus.

Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

Principio 4: Implementar medidas de control de acceso fuertes:

Requisito 7: Restringir el acceso a los datos de titulares de tarjetas según la necesidad de conocer.

Requisito 8: Asignar un identificador único a cada persona que tenga acceso a una computadora.

Requisito 9: Restringir el acceso físico a los datos de titulares de tarjetas.

Principio 5: Regularmente monitorear y prueba de redes:

Requisito 10: Seguir y controlar todos los accesos a los recursos de red y datos de titulares de tarjetas.

Requisito 11: Comprobar regularmente los sistemas y procesos de seguridad.

Principio 6: Mantener una política de seguridad de la información:

Requisito 12: Mantener una política que aborde la seguridad de la información.

Las sanciones por incumplimiento son aplicados por las marcas de tarjetas de pago y no incluyen la negación de procesar transacciones de tarjetas de crédito, multas de hasta $ 25,000 por mes para violaciónes de menor importancia, y multas de hasta $ 500,000 para violaciónes que dan lugar a los datos financieros perdidos o robados reales.