Académique Documents
Professionnel Documents
Culture Documents
GENERAL
Las empresas que trabajan con datos de tarjetas deben cumplir una
serie de requisitos de seguridad, tanto de cara a la seguridad del propio
cliente como a la seguridad propia de la compaa, ya que se enfrentan
a auditorias severas y un incumplimiento de las mismas puede acarrear
una cuantiosa multa.
ESPECIFICOS
MARCO TERICO
PCI DSS
Es un estndar que recoge los requisitos y normas de seguridad de
datos que deben seguir todas las compaas que trabajen con
transacciones de tarjetas de pago.
Es la que ms repercusin tiene, se aplica a todas las entidades que
participan en procesos de pago con tarjeta y recoge los requerimientos
tcnicos y operativos desarrollados para proteger los datos de los
usuarios.
Su adopcin es obligatoria desde junio de 2007 y las marcas pueden
imponer sanciones a las entidades que no realicen las auditorias
prescritas.
Fue actualizada en Octubre de 2010, proporcionndole mayor
flexibilidad, compresin y facilitando su implantacin por parte de
empresarios y comerciantes. Comenz a ser efectiva a partir del 1 Enero
de 2011, pero se les concedi un ao a las organizaciones para
adecuarse a la actualizacin.
La norma est dividida en 12 requisitos de cumplimiento, organizados en
6 secciones llamadas Objetivos de Control.
Estas secciones son las siguientes:
Cada una de las secciones recoge los requisitos necesarios para proteger
los datos titulares de tarjeta y en consecuencia, los pasos que deben
seguir las organizaciones para protegerse en case que ofrezcan el
servicio de pago con tarjeta.
Algo que nos puede llevar resultar curioso a las personas que
trabajamos en la gestin de la seguridad de la informacin es la
comparacin de PCI DSS con la norma ISO 27001 y buscar sus puntos
comunes. Ambas normativas comparten propsito, pero difieren mucho
en los mtodos. Tienen la finalidad de proteger y controlar los datos de
los clientes y ambas requieren auditorias peridicas, pero esos son los
nicos puntos que comparten.
En la pgina http://www.focusonpci.com/site/ se puede encontrar un
artculo que trata directamente estas diferencias, exponiendo adems
que ISO es una medida global para toda la empresa, mientras que PCI
est ms centralizada en la gestin de la informacin referida a los
pagos con tarjeta. Adems la ISO es voluntaria, mientras la PCI DSS es
obligatoria. Incluye tambin una tabla con algunas de las diferencias
ms notables:
PA DSS
Se aplica a los proveedores software. Segn su pgina web su objetivo
es ayudar a los proveedores de software y otros a desarrollar
aplicaciones de pago seguro que no almacenen datos prohibidos, como
la banda magntica completa, datos de PIN o de CVV2 (Valor de
verificacin de la tarjeta), y cerciorarse de que sus aplicaciones de pago
admitan el cumplimiento de la PCI DSS.
Este estndar est basado en las buenas prcticas de pago PABP
(Payment Application Best Practices), que Visa proporciona a los
proveedores de aplicaciones.
Estas buenas prcticas son voluntarias y aseguran que las aplicaciones
de pago no almacenan datos engaosos colaborando en el cumplimiento
del PCI DSS.
Esta norma est constituida por 14 requerimientos, al igual que PCI DSS,
fue actualizada en octubre de 2010.
PCI PTS
Aplica a los dispositivos de pago, definiendo los requisitos que debe
tener su proceso de fabricacin.
Esta norma recoge los requisitos de seguridad para transacciones con
PIN. Va dirigida a los productores de los dispositivos de pago, definiendo
los requisitos que deben seguir en el diseo, fabricacin y transporte de
estos dispositivos as como las entidades que los utilicen.
Paso 2 - Formacin
Todas las personas que van a participar en la evaluacin de la seguridad
para los clientes de la compaa deben someterse y aprobar curso de
formacin QSA del Consejo y recibir la certificacin oficial. Se aplican
tasas individuales. Un representante del Consejo programar la
capacitacin de los empleados de la prospectiva QSA, y la empresa ser
notificado si pasan o no pasan la prueba al final del curso.
Paso 3 - Inscripcin
Cuando el equilibrio cuota de inscripcin ha sido recibida por el PCI
Security Standards Council, la empresa de seguridad recibir una carta
de aceptacin por parte del Consejo, y cada uno de sus empleados que
ha superado el curso de formacin recibirn un Certificado de
Calificacin. La nueva firma QSA se incluir en el sitio Web del Consejo,
los empleados se aadirn a la base de datos del Consejo de personal
certificado, y la empresa pueden ahora realizar auditoras para sus
clientes.
CONCLUSIN
Las normas son para mejorar la proteccin de los
datos de los titulares de las tarjetas y con ello facilitar
la adopcin de medidas comunes para reducir el
fraude en la industria de las tarjetas de crdito.
BIBLIOGRAFA
MVP, L. C.-C. (2016). SEGU.INFO.
Obtenido
de
http://blog.seguinfo.com.ar/2013/01/normas-de-seguridad-pcidss-pa-dss-y.html
PCI Security Standards Council, L. (2016). PCI.
Obtenido
de
https://es.pcisecuritystandards.orgTegucigalpa, C.
d. (2016). CCIT. Obtenido de https://www.ccit.hn