OBJETIVOS

GENERAL
Las empresas que trabajan con datos de tarjetas deben cumplir una
serie de requisitos de seguridad, tanto de cara a la seguridad del propio
cliente como a la seguridad propia de la compaa, ya que se enfrentan
a auditorias severas y un incumplimiento de las mismas puede acarrear
una cuantiosa multa.

ESPECIFICOS

La funcin de los miembros del PCI Security Standards Council es la de

supervisar y definir normas de seguridad de datos (PCI DSS), requisitos
de seguridad de transacciones con PIN (PCI PTS) y elaborar la norma de
seguridad para la aplicacin de pagos(PA-DSS).

MARCO TERICO
PCI DSS
Es un estndar que recoge los requisitos y normas de seguridad de
datos que deben seguir todas las compaas que trabajen con
transacciones de tarjetas de pago.
Es la que ms repercusin tiene, se aplica a todas las entidades que
participan en procesos de pago con tarjeta y recoge los requerimientos
tcnicos y operativos desarrollados para proteger los datos de los
usuarios.
Su adopcin es obligatoria desde junio de 2007 y las marcas pueden
imponer sanciones a las entidades que no realicen las auditorias
prescritas.
Fue actualizada en Octubre de 2010, proporcionndole mayor
flexibilidad, compresin y facilitando su implantacin por parte de
empresarios y comerciantes. Comenz a ser efectiva a partir del 1 Enero
de 2011, pero se les concedi un ao a las organizaciones para
adecuarse a la actualizacin.
La norma est dividida en 12 requisitos de cumplimiento, organizados en
6 secciones llamadas Objetivos de Control.
Estas secciones son las siguientes:

Desarrollar y Mantener una Red Segura

Proteger los Datos de los propietarios de tarjetas.
Mantener un programa de Manejo de Vulnerabilidad.
Implementar Medidas slidas de control de acceso.
Monitorear y Probar regularmente las redes.
Mantener una Poltica de Seguridad de la Informacin.

Cada una de las secciones recoge los requisitos necesarios para proteger
los datos titulares de tarjeta y en consecuencia, los pasos que deben
seguir las organizaciones para protegerse en case que ofrezcan el
servicio de pago con tarjeta.

Algo que nos puede llevar resultar curioso a las personas que
trabajamos en la gestin de la seguridad de la informacin es la
comparacin de PCI DSS con la norma ISO 27001 y buscar sus puntos
comunes. Ambas normativas comparten propsito, pero difieren mucho
en los mtodos. Tienen la finalidad de proteger y controlar los datos de
los clientes y ambas requieren auditorias peridicas, pero esos son los
nicos puntos que comparten.
En la pgina http://www.focusonpci.com/site/ se puede encontrar un
artculo que trata directamente estas diferencias, exponiendo adems
que ISO es una medida global para toda la empresa, mientras que PCI
est ms centralizada en la gestin de la informacin referida a los
pagos con tarjeta. Adems la ISO es voluntaria, mientras la PCI DSS es
obligatoria. Incluye tambin una tabla con algunas de las diferencias
ms notables:

En el portal de informacin http://www.iso27001security.com/ se puede

encontrar la relacin entre los requerimientos que exige el PCI DSS y qu
punto de la norma ISO 27.001 lo cubre.

PA DSS
Se aplica a los proveedores software. Segn su pgina web su objetivo
es ayudar a los proveedores de software y otros a desarrollar
aplicaciones de pago seguro que no almacenen datos prohibidos, como
la banda magntica completa, datos de PIN o de CVV2 (Valor de
verificacin de la tarjeta), y cerciorarse de que sus aplicaciones de pago
admitan el cumplimiento de la PCI DSS.
Este estndar est basado en las buenas prcticas de pago PABP
(Payment Application Best Practices), que Visa proporciona a los
proveedores de aplicaciones.
Estas buenas prcticas son voluntarias y aseguran que las aplicaciones
de pago no almacenan datos engaosos colaborando en el cumplimiento
del PCI DSS.
Esta norma est constituida por 14 requerimientos, al igual que PCI DSS,
fue actualizada en octubre de 2010.

PCI PTS
Aplica a los dispositivos de pago, definiendo los requisitos que debe
tener su proceso de fabricacin.
Esta norma recoge los requisitos de seguridad para transacciones con
PIN. Va dirigida a los productores de los dispositivos de pago, definiendo
los requisitos que deben seguir en el diseo, fabricacin y transporte de
estos dispositivos as como las entidades que los utilicen.

QSA PCI ASESOR DE SEGURIDAD

CALIFICADO
El PCI Security Satandards Council opera un programa en profundidad
para las empresas de seguridad que buscan convertirse en los Asesores
de Seguridad Calificados (QSA), y para volver a certificarse cada ao.
Los cinco miembros fundadores del Consejo reconocen los QSA
certificados por el PCI Security Standards Council como habilitadas para
evaluar el cumplimiento con la norma PCI DSS.
Debido a que la calidad de las evaluaciones de validacin de PCI DSS
puede tener un tremendo impacto en la aplicacin coherene y adecuada
de las medidas de seguridad y controles, los requisitos de calificacin
QSA el Consejo de Estndares de Seguridad de PCI son exigentes y
detallada, involucrando tanto a las empresas de seguridad y sus
empleados individuales.
El tiempo transcurrido desde la presentacin de la solicitud de un nuevo
QSA se enumeran en el sitio Web PCI Security Standards Council se
estima en tres meses.
Los requisitos de cualificacin de alto nivel son las siguientes.
Compaas potenciales QSA deben:

Aplicar como una firma para la calificacin en el programa;

Proporcionar la documentacin adherirse a los requisitos de

cualificacin para los Asesores de Seguridad v Calificado (QSA).

2.1
Clasifica los empleados individuales, a travs de la formacin y las

pruebas, para llevar a cabo las evaluaciones; y

Ejecutar un acuerdo con el desempeo de gobierno PCI Security
Standards Council.

El proceso de convertirse en un QSA

Paso 1 - Aplicacin

La empresa de seguridad debe primero presentar la documentacin

requerida, incluyendo certificaciones, licencias comerciales, certificados
de seguro y la cuota de inscripcin, que se acredita en contra de la
cuota inicial de inscripcin si la empresa se califica. Por favor, vea los
Requisitos de calificacin para los evaluadores calificados de Seguridad
(QSA) v. 2.1 Enviar su certificado a los requerimientos a:
PCI Security Standards Council - Programa QSA
401 Edgewater Place, Suite 600
Wakefield, MA 01880

Paso 2 - Formacin
Todas las personas que van a participar en la evaluacin de la seguridad
para los clientes de la compaa deben someterse y aprobar curso de
formacin QSA del Consejo y recibir la certificacin oficial. Se aplican
tasas individuales. Un representante del Consejo programar la
capacitacin de los empleados de la prospectiva QSA, y la empresa ser
notificado si pasan o no pasan la prueba al final del curso.

Paso 3 - Inscripcin
Cuando el equilibrio cuota de inscripcin ha sido recibida por el PCI
Security Standards Council, la empresa de seguridad recibir una carta
de aceptacin por parte del Consejo, y cada uno de sus empleados que
ha superado el curso de formacin recibirn un Certificado de
Calificacin. La nueva firma QSA se incluir en el sitio Web del Consejo,
los empleados se aadirn a la base de datos del Consejo de personal
certificado, y la empresa pueden ahora realizar auditoras para sus
clientes.

Para asegurarse de que las auditoras de seguridad se llevan a cabo en

los ms altos niveles de calidad y profesionalismo, el PCI Security
Standards Council anima a las marcas de pago y otras entidades a
presentar un formulario de respuesta de calidad de auditora, que sern

evaluados por el Grupo de Trabajo Tcnico del Consejo. Si un QSA se

juzga que es deficiente en sus esfuerzos de auditora, el Consejo
participar en dilogo para recomendar medidas de mejora. Si la mejora
no se considera suficiente, el resultado podra ser la inhabilitacin para
el QSA y la eliminacin de la lista Sitio Web.

CONCLUSIN
Las normas son para mejorar la proteccin de los
datos de los titulares de las tarjetas y con ello facilitar
la adopcin de medidas comunes para reducir el
fraude en la industria de las tarjetas de crdito.

BIBLIOGRAFA
MVP, L. C.-C. (2016). SEGU.INFO.
Obtenido
de
http://blog.seguinfo.com.ar/2013/01/normas-de-seguridad-pcidss-pa-dss-y.html
PCI Security Standards Council, L. (2016). PCI.
Obtenido
de
https://es.pcisecuritystandards.orgTegucigalpa, C.
d. (2016). CCIT. Obtenido de https://www.ccit.hn